Realizado por Beatriz Maldonado
La ingeniería social puede definirse como una acción o conducta social destinada a obtener información de las personas cercanas a un sistema. Es el arte de conseguir de un tercero aquellos datos de interés para el atacante por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos.
Mitnick (2.007) plantea que la Ingeniería Social:
Es el tipo de ataque más difícil de detectar y del que defenderse. El ingeniero social, o atacante diestro en el arte del engaño, se alimenta de las mejores cualidades de la naturaleza humana: nuestra tendencia natural a servir de ayuda y de apoyo, a ser educado, a colaborar y el deseo de concluir un trabajo. El principio que sustenta la ingeniería social es el que en cualquier sistema los usuarios son el eslabón débil.
En el ambiente informático, es muy conocido el dicho “una computadora apagada es un computadora segura”. Ahora bien, si la computadora está apagada, ¿quién es el objetivo? El usuario. No hay un solo sistema en el mundo que no dependa de un ser humano, lo que conlleva una vulnerabilidad independiente de la plataforma tecnológica.
Por eso, la ingeniería social continúa siendo el método de propagación de ataques informáticos más utilizado por los creadores de malware, quienes aprovechan las ventajas de cualquier medio de comunicación para engañar a los usuarios y lograr que éstos terminen cayendo en una trampa que suele apuntar a un fin económico. El hecho que una persona pudiera persuadir a alguien para que le suministre sus datos personales e información financiera, como por ejemplo, el número de su tarjeta de crédito, puede parecer algo poco factible, sin embargo se suministran datos confidenciales diariamente en distintos medios, como el papel que se arroja a la basura en la oficina o el sticker adhesivo con el password (contraseña) debajo de un teclado.
La técnica más conocida de ingeniería social en la actualidad para llevar a cabo un fraude electrónico bancario es el Phishing, el cual puede producirse de varias formas, desde un simple mensaje a un teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico, en donde es utilizada la imagen del banco y en cuyo contenido se le pide al usuario realizar una acción en específico como lo puede ser dar click a un link en donde la acción pudiera obedecer a actualizar sus datos en un sitio “Seguro”, direccionado a una página simulada del Banco y es ahí en donde el ladrón de identidades logra que el usuario escriba su nombre y contraseña bancaria.
Recomendaciones:
Evitar el suministro de información laboral o dejarla expuesta a terceros y familiares, ya que puede ser utilizada inadecuadamente en contra de su seguridad e integridad laboral, la de su familia y la de su empresa.
Abstenerse de digitar informaciones confidenciales, tales como nombres de usuario contraseñas, en paginas no seguras cybers al realizar transacciones en línea, cajeros y comercios.
Evitar el suministro de información confidencial, a través de llamadas telefónicas desconocidas.
Notificar hechos sospechosos, que intenten comprometer nuestra seguridad, a los responsables de la organización.
Sea precavido al consultar información clasificada en el computador cuando hayan personas ajenas detrás de usted, incluyendo compañeros de trabajo.
Destruir la información impresa que es sensible al negocio, antes de arrojarla a la papelera.
El factor humano es parte esencial de la seguridad de la información. No existe un sistema informático que no dependa de un operador humano, es por esta razón que se debe concientizar sobre los riesgos y vulnerabilidades presentes día a día que atentan sobre la seguridad de la información.
Bibliografía consultada:
Mitnick, K. (2.007) El Arte de la Intrusión. México D.F.:RA-MA.
