Cuando se ven hackers en la televisión, siempre son expertos digitales. Golpean agresivamente los teclados en habitaciones oscuras, derribando cortafuegos e infiltrándose en las redes descifrando el código informático y rompiendo los protocolos de seguridad. Como puede adivinar, esto tiene poco que ver con lo que hacen los hackers de éxito en el mundo real. Muchos hackers modernos ni siquiera atacan principalmente a los ordenadores. En su lugar, atacan a las personas, superando los obstáculos de seguridad mediante técnicas de ataque de ingeniería social.
La ingeniería social es una técnica nefasta utilizada por los estafadores para ganarse su confianza. Imitando a fuentes de confianza y explotando la psicología humana, los hackers le manipulan para que divulgue libremente información confidencial. Aprendiendo algunos ataques comunes de ingeniería social y cómo prevenirlos, puede evitar convertirse en una víctima.
Contenido
Ataques de suplantación de identidad
Los ataques de phishing son, con mucho, la forma más común de ataque de ingeniería social. Lo más habitual es que un atacante imite un correo electrónico de una parte en la que usted confía. Por ejemplo, pueden crear un correo electrónico que imite un mensaje de su banco. Ese correo electrónico puede tener el mismo aspecto que los correos electrónicos de su banco, y puede parecer que procede de una dirección de correo electrónico propiedad de su banco. Pero si realiza la acción que el correo electrónico exige para desbloquear su cuenta, estará cayendo en las garras del atacante. También verá correos electrónicos falsos que pretenden proceder de un contacto personal que le pide que visite un enlace de Google Drive.
Para combatir los ataques de phishing, compruebe dos veces cualquier correo electrónico sospechoso a través de un canal de comunicación distinto. Si recibe un correo electrónico de su banco pidiéndole que se ponga en contacto con él, no utilice la información contenida en el mismo. En su lugar, busque el número de teléfono de su banco en su página web oficial y llámeles para confirmar la veracidad de la comunicación.Si recibe un correo electrónico inusual de un amigo o colega, envíele otro correo electrónico o llámele para asegurarse de que el correo electrónico es legítimo.
Ataques de riego
Los ataques de «watering hole» son más sutiles que los de «phishing». Se basan en la incrustación de malware dentro de un sitio web por lo demás fiable que el objetivo ya visita. Esto comienza con un exploit técnico en el código del sitio web, pero sólo tiene éxito cuando la víctima hace clic en un enlace envenenado. Se trata de un ataque contra el que es difícil protegerse, pero se basa en la tendencia del usuario a confiar en información por lo demás sospechosa si aparece en un sitio de confianza. Es útil estar atento a los contenidos de aspecto sospechoso, independientemente de dónde los vea.
Pretexting
En los ataques de pretexto, los atacantes crean un escenario falso diseñado para manipular a los objetivos para que entreguen información. Una técnica común consiste en que los atacantes soliciten información para confirmar su identidad. Las versiones avanzadas de este ataque pueden incluso convencer a las víctimas para que realicen acciones que permitan a los hackers acceder a una red segura.
Como norma, nunca debe dar información sensible a nadie que le llame o le envíe un correo electrónico de forma inesperada, y tenga una precaución respetuosa con los desconocidos. Si su trabajo implica el envío de información sensible, asegúrese de seguir los protocolos de la empresa al pie de la letra: normalmente están diseñados para proteger contra estos escenarios. Los atacantes confían en que usted se salte las reglas.
Atasco
Los ataques «tailgating» se basan en la rapidez con la que la mayoría de la gente genera confianza para acceder a lugares físicos. Entablando conversaciones amistosas y actuando como si pertenecieran al grupo, los atacantes pueden hablar para entrar en zonas seguras. Las historias más comunes tienen que ver con la pérdida de tarjetas llave o, mejor aún, con el apoyo técnico solicitado por la alta dirección.El nombre proviene de la forma más rudimentaria de la técnica en la que los atacantes entran en un lugar restringido siguiendo de cerca a una persona autorizada.
Sea cortésmente cauteloso con la identidad de todos los extraños, y nunca ayude a los desconocidos a acceder a un lugar seguro, aunque parezcan legítimos. Esto se aplica doblemente a los reparadores o trabajadores de servicios públicos inesperados.
Cebo
Los atacantes a veces ponen un «cebo» a los individuos ofreciéndoles algo que desean. Por ejemplo, los atacantes pueden ofrecer descargas gratuitas de música, películas o pornografía. Estas descargas, por supuesto, contienen programas maliciosos. Encontrará esto con frecuencia en torrents ilegales u otras descargas que subvierten los derechos de autor. Como los objetivos quieren el cebo, no sospecharán tanto de los programas obviamente maliciosos. Los atacantes también pueden dejar misteriosas unidades USB por ahí, con la esperanza de que un alma curiosa conecte una a su ordenador y permita que el malware autoejecutable descargue su carga útil.
Cuestione siempre las ofertas que parezcan demasiado buenas para ser verdad. No descargue nunca música o películas gratuitas, y obtenga su material para adultos de fuentes acreditadas. Y si conecta un dispositivo misterioso a su ordenador, se merece lo que le pase.
Conclusión
Puede prevenirse de la mayoría de los ataques de ingeniería social frenando y pensando antes de actuar. Sea amable pero precavido con los desconocidos que le soliciten incluso información inocua, y eleve su nivel general de sospecha. No se crea una historia sólo porque suene bien o porque la fuente parezca creíble. Y, por supuesto, nunca proporcione información confidencial, o acceso a esa información, a desconocidos.
Crédito de la imagen: Crackers, Conversación
