Los ataques de ingeniería social. Recomendaciones contra una de las amenazas más extendidas de ciberseguridad.

El pasado 5 de febrero fue el día Mundial de la Seguridad a Internet. En el marco de celebración de este día, aprovechamos para compartir unas recomendaciones de seguridad contra los ataques de ingeniería social.

La seguridad de un sistema radica en la seguridad del eslabón más débil. Es por ello que cuando se diseña un sistema informático se revisa cuidadosamente que toda la tecnología (servicios, aplicaciones, protocolos, etc.) tenga unas mínimas garantías de seguridad. Lo que a veces no se revisa tan cuidadosamente es la robustez del sistema frente a descuidos o fallos humanos, y esto siempre es un punto débil de los sistemas.

La ingeniería social es el conjunto de acciones que tienen como finalidad el robo de información o el acceso no autorizado a sistemas informático mediante la manipulación psicológica de usuarios reales, aprovechando las tendencias naturales y las reacciones emocionales de las personas.

¿Cómo te pueden atacar?

Una de las prácticas más habituales de ingeniería social es la del phising, correos electrónicos que simulan venir de instituciones de confianza y que nos redirigen a una página web falsa donde nos piden información sensible y la víctima, de forma vuluntaria, introduce sus datos personales y claves de acceso.

Otra de las modalidades de ingeniería social es el baiting. Esta modalidad tiene como objetivo robar datos corporativos. Consiste en dejar, por ejemplo, un USB infectado al alcance de un empleado para que este lo encuentre y lo conecte en su ordenador. Una vez instalado, el usb ejecuta software malicioso que permite a los atacantes acceder a los datos de la compañía.

Otro ejemplo de estos ataques es el pretexting, en el que un atacante finge necesitar información sensible de una víctima para realizar una tarea crítica, y obtiene dicha información a través de una serie de mentiras ingeniosamente elaboradas. El atacante se hace pasar por un compañero de trabajo, un polícia, u otra persona con un rango de autoridad, para así ganarse el derecho a conocer datos personales importantes de la víctima.

También existen ataques de ingeniería social que se realizan a través de las redes sociales. En esta modalidad, una persona con dotes de gentes se puede ganar la confianza de sus víctimas para pedirles información comprometida. Uno de los ejemplos de este tipos de ataques es el grooming, en el que un adulto crea una conexión emocional con un menor de edad para aprovecharse sexualmente de él en un futuro.

¿Qué podemos hacer para no ser víctimas de los ataques de ingeniería social?

A continuación damos unas recomendaciones básicas para evitar ser víctimas de este tipo de ataques:

  • Actúa despacio. Los ataques de ingenierían social buscan que la víctima actue rápido y sin pensar. Si recibes un mensaje con tácticas de presión se escéptico; no dejes que la urgencia influya en tu decisión.
  • Sospecha de los correos electrónicos que piden información sensible. Investiga los hechos. Incluso si has recibido correos de un amigo, pregunta al amigo por otros canales si realmente te ha enviado esta información; es frecuente que los atacantes envien mensajes de correo haciéndose pasar por personas conodicas. Y no confies en los enlaces del mensaje. Si quieres acceder a algunos de los enlaces proporcionados, escribe manualmente en el navegador la dirección de la web facilitada. Esto hará que te percates de si la dirección de una página conocida ha sido alterada o de si ha habido algun ataque homógrafo en el que el atacante intenta enviarte a una página falsa que tiene un nombre que visualmente es igual que la página original.
  • Sé prudente con las descargas. Si no conoces al remitente de un mensaje, no te descargues los archivos que el mensaje lleve embedidos.
  • Configura filtros de spam a un nivel alto en tu correo. Esto filtrará buena parte de los correos fraudilentos.
  • Protege tus dispositivos informáticos. Instala antivirus y cortafuegos, y mantén el software actualizado.
  • Usa sistemas de autenticación de dos factores siempre que sea posible.
  • Comprueba la identidad de tus contactos en las redes sociales. Comparte información solo con perfiles verificados y no des información sensible a través de la red.

Helena Rifà-Pous. Directora del Máster Universitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones por la UOC, UAB y URV.

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Leer entrada anterior
Los trade-offs en ingeniería informática

Dicen que en la vida no se puede todo, y esta afirmación es aún más vigente en el campo de la ingeniería....

Cerrar