Le ingeniería social es una técnica que consiste en obtener acceso o información a las personas sin que estas se den cuenta. A diferencia de otros ataques, no requiere software.
El pirata informático usa la confianza de alguien para obtener información en general acerca de un sistema informático. Esta práctica utiliza la defectos humanos y aspectos sociales de la víctima, a quien está vinculado el sistema informático objetivo.
La técnica más clásica es acudir a una empresa con una "orden de misión" para actualizar el antivirus en la estación de trabajo del asistente, por ejemplo. En su lugar, instalaremos un keylogger que capturará todas las contraseñas ingresadas.
La ingeniería social no es nueva. Siempre ha existido, con ingenieros famosos como Kevin Mitnick o Frank Abagnale. De acuerdo a Kevin Mitnick: es más fácil explotar la naturaleza humana que explotar los defectos del software.
En este artículo veremos en detalle las diferentes técnicas de ingeniería social que utilizan los hackers.
Ingeniería social por teléfono
Por teléfono, es fácil ser engañado por un individuo. El objetivo del hacker es obtener la información lo más rápido posible.
Un buen hacker habrá preparado su personaje y su discurso. Con unas pocas frases bien colocadas y el tono adecuado, le resultará bastante fácil extraer información confidencial.
Algunos piratas informáticos tienen algunas técnicas para mejorar su credibilidad, como reproducir una cinta previamente grabada de ruidos de oficina en una grabadora, o incluso usar una modificador de voz imitar el de una secretaria.
Una prueba de ingeniería social
Una prueba realizada durante el Conferencia defcon permitió evaluar el riesgo de divulgación de información secreta por parte de los empleados de la empresa.
135 empleados, de 17 grandes empresas, incluidas Coca-Cola, Ford, Pepsi, Cisco, Wal-Mart, fueron probados como parte de este concurso de piratería.
Los resultados son impactantes, ya que el 96% de ellos, consultados por teléfono, revelaron información considerada "sensible".
Ingeniería social a través de Internet
Le ingeniería social a través de Internet es similar a por teléfono. Se puede hacer por correo electrónico, mediante sitios web falsificados (Phishing ).
A menudo, estos ataques comienzan con laenviar un correo electrónico por un hacker que afirma ser alguien o algo que usted conoce o en quien confía, como un amigo o su banco favorito.
Estos correos electrónicos le solicitan que realice una acción como hacer clic en un enlace, abrir un archivo adjunto o responder a un mensaje. los los piratas informáticos elabore estos correos electrónicos para que sean muy convincentes, enviándolos a millones de personas en todo el mundo.
Los piratas informáticos no tienen un objetivo específico en mente, ni saben exactamente quién será la víctima. Simplemente saben que cuantos más correos electrónicos envíen, más personas serán engañadas.
Ingeniería social por contacto directo
Incluso si un hacker puede hacer muchas cosas por teléfono o Internet, a veces es necesario ir al campo. Así, puede estudiar el inventario, tomar una contraseña escrita en un papel o instalar Malware en el ordenador de la víctima.
El hacker debe estar bien equipado para que el objetivo no se dé cuenta de nada. La apariencia importará mucho. Traje, corbata, muy bien vestido, muy limpio, maletín, agenda llena, documentos varios, tarjeta de visita, placa... Necesitará tener una actitud confiada, la mirada fija y la frente en alto.
Si el hacker corre tales riesgos es porque está decidido a obtener la información deseada. Por lo tanto, será muy persuasivo.
