¿Qué es la Ingeniería Social? – Definición, Tipos y Amenazas

Publicado el • 6 minutos y 27 segundos de lectura

Métodos de ingeniería social

La ingeniería social es un método de ataque tecnológico que se basa en gran medida en la interacción humana y consiste principalmente en engañar a las personas para que no respeten los procedimientos normales de seguridad. Así como un estafador trata de usar la codicia, la ambición o la vanidad de las personas en su contra, el ingeniero social moderno fabrica formas de hacerlo utilizando la tecnología.

Hay muchos tipos diferentes de ataques de ingeniería social. Discutiremos cinco ataques diferentes.

  1. Cebo
  2. Suplantación de identidad
  3. Pretextando
  4. Espantapájaros
  5. Abrevadero

Cebo

El cebo explota nuestra curiosidad por lo desconocido o nuestro amor por las cosas gratis. Los ataques de hostigamiento vienen en muchas formas, pero uno de los tipos más famosos de ejemplos de hostigamiento se realizó para probar un punto. En 2006, Secure Network Technologies estaba realizando una evaluación de seguridad de uno de sus clientes. Pusieron un virus troyano en docenas de unidades USB y simplemente los colocaron en áreas donde los empleados de su cliente los verían. Muchos empleados tomaron la unidad USB y la conectaron a sus computadoras, lo que le dio al equipo de Secure Network Technologies acceso a la red y la capacidad de registrar las credenciales de inicio de sesión del empleado. Este ejemplo puede hacerle pensar dos veces acerca de las unidades USB gratuitas que se entregan en conferencias o ferias comerciales.

Un ejemplo de un ataque de hostigamiento en línea es un anuncio que presenta música o descargas de juegos gratis. Después de hacer clic en el sitio de música o juego, pueden decir que necesitan sus credenciales para iniciar sesión en un sitio que puede parecer legítimo (como usar su ID de Apple en un sitio que se ve exactamente como el sitio web de Apple). Después de darles su identificación, la usan para acceder a su cuenta y venden sus credenciales a otros delincuentes en línea.

  ¿Qué temas estudia la Microsociología?

Suplantación de identidad

El phishing es probablemente la forma más común de ingeniería social. Casi todos los que tienen una cuenta de correo electrónico, redes sociales, mensajería instantánea o mensajes de texto están familiarizados con este ataque. Los estafadores intentan engañar a las personas para que proporcionen información confidencial o para que visiten sitios web que comprometerán su sistema, la mayoría de las veces con malware y virus.

Los ataques de phishing generalmente son un mensaje disfrazado de mensaje legítimo que requiere que comparta información personal o visite un enlace. A menudo, los enlaces se verán como si fueran un sitio web legítimo, pero si se hace clic en ellos, lo envían a un clon de un sitio web legítimo, por lo que pueden robar su información de inicio de sesión.

Los intentos de phishing generalmente intentan atraerlo con una línea de asunto alarmante, algo así como «Se detectó actividad inusual en la cuenta», «Entrega de UPS: último intento», «Política de vacaciones revisada: se requiere acción urgente». Algunos usuarios se alarman o sienten curiosidad y hacen clic en los enlaces que se proporcionan en el correo electrónico fraudulento.

Pretextando

Pretextar es una forma menos conocida de ingeniería social y no se usa con tanta frecuencia porque requiere más tiempo y esfuerzo por parte del estafador. En un ataque de pretexto, el estafador miente y engaña a alguien para que proporcione información personal o financiera. Este ataque ha sido comparado con otra estafa llamada «catfishing».

Un ejemplo de un ataque de pretexto son los miembros de una organización que reciben correos electrónicos informativos de una supuesta persona de TI que no requieren acción, solo brindan información. Después de enviar varios de estos correos electrónicos «útiles», el estafador enviará un mensaje diciendo que su cuenta ha sido comprometida. Dado que los usuarios se han acostumbrado a recibir correos electrónicos de esta supuesta persona de TI, hay más posibilidades de obtener información privada o acceso a la red que de un solo correo electrónico de phishing.

  Escucha social: definición y propósito en la venta social

Espantapájaros

Si alguna vez ha visto una ventana emergente que le dice que su máquina está infectada con un virus, o que ha descargado software ilegalmente y necesita descargar algún software para escanear y limpiar su máquina, entonces ha visto un ejemplo de scareware.

El scareware generalmente genera ventanas emergentes que emulan un cuadro de alerta de mensaje del sistema de Windows. A menudo, estos parecen ser un mensaje de alerta antivirus. La alerta del sistema fraudulento informará al usuario que se han encontrado archivos infectados en la máquina y que necesitan escanear y limpiar su sistema. Cuando se hace clic en el botón de escanear, el malware se instala en la computadora. Algunos pueden recordar algunos productos Scareware infames como WinFixer, WinAntivirus, ErrorSare o DriveCleaner. Estos ‘productos’ han infectado miles de computadoras a lo largo de los años.

Abrevadero

Un ataque de abrevadero se compara con un león que espera para atacar en un abrevadero. Los estafadores suelen apuntar a páginas web de ciertos tipos de industrias, por lo que sus objetivos suelen tener un hilo común. Un ejemplo de un ataque Watering Hole involucró el sitio web de una universidad pública que aparentemente había sido pirateado y se le inyectó un virus en el código del sitio web. Cuando los visitantes iban al sitio, este instalaba el virus en su computadora tan pronto como se cargaba la página.

Un ataque Watering Hole utiliza métodos de inyección que varían de un sitio a otro. Algunos sitios web pueden ser atacados mediante inyecciones de JavaScript, mientras que otros pueden ser atacados mediante una inyección de SQL o una variante de SQL. Después de la inyección, el sitio web corrupto actúa como un sistema de distribución de virus para los usuarios que visitan el sitio.

  ¿Qué es el código moral del Islam?

Resumen de la lección

Los ataques de ingeniería social son muy costosos e invasivos. Los métodos engañosos utilizados en los ataques de ingeniería social siempre están cambiando y es difícil adelantarse a ellos.

  • Los ataques de cebo generalmente se aprovechan de nuestra curiosidad o deseo de obtener cosas gratis. Las descargas gratuitas de películas o música pueden parecer atractivas, pero pueden ser un intento fraudulento de obtener acceso a su computadora o robar sus credenciales de inicio de sesión.
  • Los intentos de phishing en su correo electrónico, mensajes de texto o redes sociales son muy comunes. Por lo general, no es una buena idea descargar o visitar enlaces de un correo electrónico o mensaje que no está seguro de que sea legítimo.
  • Los ataques de pretexto suelen ser un juego de estafa más largo. El estafador necesita más tiempo y esfuerzo para obtener información confidencial o acceder a su máquina al convertirse en una fuente confiable de información.
  • El scareware está diseñado para sorprenderlo y asustarlo para que piense que su computadora está infectada con un virus, por lo que descarga software fraudulento que en realidad instala un virus en su computadora.
  • El ataque del abrevadero es cuando un pirata informático apunta y piratea sitios web específicos. El pirata informático inyectará un virus, generalmente un troyano, en la página web del sitio para que todos los visitantes de la página se infecten con su virus.

Continúa con:

  1. Historia Mundial

    Religión y cambio social en el protestantismo y la teología de la liberación

    Nota: Para los propósitos de este video, el instructor está usando la pronunciación americana del...

  2. Filosofía

    La ética de la ingeniería genética

    ¿Por qué considerar la ética en la ingeniería genética? Si tuvieras la capacidad de hacerte...

  3. Ciencias Económicas

    Teoría del intercambio social en las relaciones: definición, ejemplos y predicciones

    Definición de la teoría del intercambio social ¿Puedes pensar en alguien que solía ser tu...

  4. Introducción a la psicología

    El reloj social: definición y teoría

    Explicación del reloj social ¿Alguna vez ha tenido la sensación de que se suponía que...

Selecciona un tema para seguir aprendiendo

Rodrigo Ricardo
Rodrigo Ricardo Editor y fundador