Ingeniería Social, un ataque peligroso.

0
1048

Sabías que, según Digital Guardian (una compañía americana de prevención de pérdida de datos, creada para detener acciones maliciosas en la web), el 97% de los ataques informáticos no aprovechan una falla en el software, sino que utilizan técnicas de Ingeniería Social para lograr las credenciales necesarias para vulnerar la seguridad informática.

La Ingeniería Social se puede definir como una conducta social destinada a adquirir información de las personas cercanas a un sistema. Mediante la Ingeniería Social se logra conseguir de un tercero aquellos datos de interés para el atacante por medio de habilidades sociales.

Por eso, la Ingeniería Social continúa siendo el método de propagación de ataques informáticos más usados por los creadores de malware (es la abreviatura de “Malicious software”, palabra que engloba a todo tipo de programa o código informático malicioso cuyo fin es dañar un sistema o causar un mal funcionamiento), quienes aprovechan las ventajas de cualquier medio de comunicación para engañar a los usuarios y conseguir que éstos terminen cayendo en una trampa que suele apuntar muchas veces a un fin económico.

A raíz de diversos tipos de engaños, tretas y artimañas se apunta a que el usuario comprometa al sistema y brinde información valiosa por medio de acciones que van: desde un clic hasta atender un llamado telefónico y que pueden derivar en la pérdida de información confidencial, personal o de la empresa donde la persona trabaja, o peor aún, en ponerla en manos de personas que buscan un rédito económico.

De acuerdo a Kevin Mitnick, quien es uno de los personajes más famosos del mundo por delitos usando la Ingeniería Social como principal arma, señala que “Las personas pueden contar con la mejor tecnología, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se requiere es un llamado a un empleado desprevenido e ingresar sin más. Tienen toda la información en sus manos”

Es así como la Ingeniería Social, se centra en conseguir la confianza de las personas para luego engañarlas y manipularlas para el beneficio propio de quien la implementa. La persuasión es una habilidad clave, ya que el secreto no está en preguntar sino en la forma de hacer la pregunta.

Este “arte de engañar” puede ser usado por cualquier persona, desde un vendedor que se interesa en saber las necesidades de sus compradores para brindarles sus servicios, hasta creadores de malware y atacantes que buscan que un usuario revele su contraseña de acceso a un determinado sistema.

En el mundo de la seguridad de la información, el “arte de engañar” es usado para dos fines específicos, principalmente:

  1. El usuario es tentado a efectuar una acción necesaria para vulnerar o dañar un sistema: esto pasa cuando el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto, abrir la página web recomendada o visualizar un supuesto video.

Un caso de “éxito” de este tipo de infecciones es el gusano Sober que, por medio de  un sencillo mensaje, logró ser el de mayor propagación del año 2005. Este malware consiguió una distribución masiva con asuntos de correos tales como “Re:Your Password” o “Re:Your email was blocked”.

  1. El usuario es llevado a confiar información requerida para que el atacante realice una acción fraudulenta con los datos obtenidos. Este es el caso del Scam y el Phishing, en los que el usuario facilita información al “delincuente” creyendo que lo hace a una entidad de confianza.