Skip to main content

Ingeniería Social

Ingeniería social
Que es Ingeniería social?

Ingeneria social La ingeniería social es la práctica ilegítima de obtener información confidencial a través de la manipulación de usuarios legítimos. Es un conjunto de técnicas que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información que les permitan realizar daños a la persona u organismo comprometidos y es utilizado en diversas formas de estafas y suplantacion de identidad. El principio que sustenta la ingeniería social es el de que, en cualquier sistema, los usuarios son el «eslabón débil».

En la naturaleza se conoce dos motivadores más poderosos para cualquier acción humana son el miedo y la curiosidad. Cada uno de ellos puede inducir a acciones ilógicas y estúpidas que no siempre resultan ser algo bueno.
En los últimos años se ha aumentado drásticamente el "hackeo de personas", exponiéndolas a ataques de ingeniería social y probando qué tan resistentes son a la manipulación por parte de atacantes reales. Estos ataques se basan en las peculiaridades de la psicología humana: al jugar con los sentimientos de la víctima, los estafadores, bajo diversos pretextos, la obligan a actuar en su propio interés.

Ingeniería social
Amenaza a la empresa

seguridad empresa Tan pronto como una persona se convierte en empleado de una empresa, las llamadas que amenazan con bloquear la tarjeta se convierten en mensajes de "socios", las solicitudes del código se transforman en cartas con enlaces de phishing y los "servicios públicos" mutan en "trabajo motivado e interesado". El objetivo principal en estos casos no es una persona, sino toda empresa.

 Los empleados no capacitados son la forma más fácil para que un atacante acceda a los datos de la empresa
Todos los esfuerzos para proteger la infraestructura de la empresa pueden fracasar debido a la falta de conocimiento de sus empleados sobre las reglas de seguridad de la información. Un correo electrónico de phishing o una contraseña débil pueden causar un ataque cibernético a sus activos

90% de los incidentes dentro de la organización se deben al desconocimiento de las normas de ciberseguridad por parte de los empleados

Hasta el 80% los usuarios de los servicios de intercambio de información abren archivos adjuntos maliciosos y no están capacitados en seguridad informática

Métodos de ataques de Ingeniería Social

 Según análisis, cada vez los atacantes atacan más a los ciudadanos, que hackean directamente las empresas, ya que es más rápido y más eficiente. Al mismo tiempo, muy pocas empresas informan que han hackeado su infraestructura a través de la ingeniería social.
 Dichos ataques no se detectan rápido, se eliminan durante mucho tiempo y casi siempre se cubren en los medios, porque la información sobre estos incidentes puede generar pérdidas financieras y de reputación. Entonces el estado real de las cosas solo se puede adivinar.
 En nuestra práctica hay muchos casos cuando los empleados abrieron correos electrónicos con archivos adjuntos maliciosos recibidos bajo la apariencia de una propuesta de negocio. Es decir, los propios empleados dieron a los atacantes acceso a su computadora y como resultado - a todos los archivos y correspondencia y la red corporativa.

 Obviamente, es mucho más interesante y rentable para los estafadores atacar a toda una empresa, en lugar de a una persona individual.
 Al "hackear" a un empleado, un atacante puede obtener acceso a toda la infraestructura interna e información de la organización: lista de socios y clientes, estados financieros, datos personales de los empleados, presupuestos para próximo año o información sobre sus propios desarrollos etc.

Para "enganchar" a un funcionario de la empresa con algo, se crean esquemas completos y vectores individuales:

  • Todas las redes sociales disponibles se escanean en busca de información potencialmente valiosa
  • Se estudian perfiles en portales profesionales
  • Toda la información obtenida se utiliza luego para seleccionar el "blanco" o leyenda óptima que se ajuste a una organización en particular
Miedo

Mensaje de mentira ingeniería social Muchos atacantes van por el camino viejo y tratan de asustar a sus víctimas. La mayoría de las veces, se utilizan amenazas de despido o multas, mensajes marcados como "es para ayer" o "muy importante", a veces llegan por correo solicitudes para verificar algún servicio. Pero las generaciones se cambian y el miedo como motivador está cada vez menos efectivo.
 Pero con la curiosidad es otra cosa. Veo este motivador como el más ventajoso, ya que da más posibilidades para la implementación creativa. Lo usamos en la gran mayoría de proyectos exitosos como impulso a algún tipo de acción. Los métodos y casos más memorables se presentarán a continuación.

Regalado sale caro

 Este vector de ataque se inspiró en el deseo infinito del estudiante a obtener todo gratis.
 En una empresa, además de la actividad principal, participaban activamente en la comercialización: vendían las mismas cosas en las que no desea gastar dinero, pero sería bueno si simplemente estuvieran sobre la mesa. Demorando 20 minutos, mi colega y yo registramos un dominio, creamos un sitio web con elementos de estilo corporativo, creamos un formulario de registro simple, recopilamos direcciones de correo electrónico y trabajamos en una leyenda.
 Al día siguiente, los empleados de la empresa recibieron las siguientes cartas:
“Compañeros, por lanzamiento pronto de una nueva colección de nuestros productos, se ofrecerá a los empleados de nuestra empresa todos productos con descuento de 40%. No más de tres cosas en una mano. Para controlar la distribución en la empresa registrese en siguiente formulario con link. Date prisa, la cantidad es limitada"
 El ataque fue más que exitoso. Solo la cantidad de empleados que nos respondieron que el sitio no funcionaba se puede contar por docenas, sin mencionar a los que dejaron sus credenciales en un sitio de phishing y hasta ejecutaron el troyano.

"Hackeo físico"

 Un día mi colega disfrazado de mensajero debía entregar un hermoso ramo de flores, una caja de chocolates y... una memoria USB (con malware) a una empleada de una empresa financiera importante.
 Encontramos su perfil en LinkedIn y obtuvimos su número de teléfono. Luego llamaron aparentemente de una tienda de cosméticos popular con la que ella interactuaba en redes sociales. Le dijeron que ganó un regalo por pedidos frecuentes, lealtad y publicaciones positivas en redes sociales, especificó un horario conveniente para la entrega, eligiendo específicamente el horario de trabajo.
 Mi colega entregó una memoria USB, flores y dulces a la niña. Y 15 minutos después teníamos acceso a su computadora de trabajo y en poco tiempo a toda la red interna de la empresa.
 No hace falta decir que comprometimos documentos financieros, credenciales para acceder a varios portales financieros y obtuvimos acceso a todos servidores de la corporación.

Para obtener curso completo, tiene costo de $200
Ingeniería Social