cisco40 40x40f oracle40 oracle40 lgo4

¿Cómo prevenirse de ataques basados en Ingeniería Social?

ins

Cuando pensamos en la gente que suele realizar ataques informáticos, lo primero que nos viene a la mente suele ser un experto informático capaz de descifrar la mejor de las contraseñas o aprovecharse de vulnerabilidades desconocidas para el común de los mortales. Pero por lo general, para robarte la cuenta de Facebook o Gmail ni siquiera hay que tener grandes conocimientos informáticos, vale con esperar a que tú se la des amablemente.

Es lo que se conoce como la ingeniería social, una técnica de ataque muy utilizada debido a su alto nivel de eficacia. Parte de la base de que las personas somos el eslabón más débil de un sistema de seguridad, y ya sea mediante labia o automatismos intenta engañarnos para que acabemos relevando datos clave para comprometer nuestros sistemas.

Muchos atacantes deciden estudiar informática para acceder a los sistemas aprovechándose de los bugs de un software, pero hay quienes prefieren especializarse en engañar y manipulara los propios usuarios. Para ello no hacen falta ni vulnerabilidades ni hackeos increíbles, sino conocer muy bien la mente humana y la forma de pensar de tu víctima, y aprovecharlo para que te de los datos necesarios para acceder a su ordenador, a los servidores de su empresa o por qué no, a sus correos electrónicos o cuentas de redes sociales.

Para profundizar un poco más en el mundo de la ingeniería social hablamos con un experto con más de 11 años de experiencia en el mundo de la seguridad informática. Se trata de Josep Albors, director de comunicación y responsable del laboratorio de ESET España, y que también colabora con la Guardia Civil y el Ejercito de Tierra en la formación de nuevos agentes en materia de seguridad informática.

Josep  cuenta que la ingeniería social es un riesgo que deberíamos tomarnos en serio, porque apunta al eslabón más débil en la mayoría de situaciones: el ser humano. "El atacante puede jugar con las emociones de la víctima", nos cuenta, "o incluso averiguar información personal de la misma a partir de publicaciones en redes sociales para intentar convencerla de que le proporcione información o le permita saltarse sistemas de seguridad establecidos"

Si eres el dueño de una empresa alguien podría estar cotilleando tus redes sociales o espiándote en persona. Con algunos de los datos que consiga obtener sobre tu persona se intentará hacer pasar por ti para darle a tus proveedores una dirección bancaria fraudulenta. Con ella, en vez de pagarte a ti le estarían pagando directamente al suplantador.

Lo que nos quiere decir es que seamos cautos cuando estemos conociendo a personas nuevas, un clásico de los tiempos de la vida offline. Tenemos que ser conscientes de qué tipo de información compartimos y cual puede ser utilizada en nuestra contra. No deberíamos herir sentimientos previniendo, porque lo lógico es que cualquier persona entienda que no le contemos nuestra vida las primeras veces que hablamos.

Otro de los métodos clásicos utilizados por los atacantes es el phishing mediante ingeniería social. Nos pueden enviar SMS, correos electrónicos o una URL a una web aparentemente real, pero que es sólo una copia de la original diseñada específicamente para engañarnos y obtener nuestros datos. ¿Cómo podemos diferenciarlas?

Albors  cuenta que lo primero que nos debería hacer sospechar es que sea un mensaje que no esperamos. Si alguna vez te encuentras pensando que es raro que tu banco o una web se ponga en contacto contigo por este medio para un tema que nunca habíais tratado así, mejor desconfiar. Y cuidado con abrirlos por pura curiosidad, porque puede jugarnos malas pasadas.

"Algunos consejos que podríamos ofrecer es desconfiar de los ficheros adjuntos, especialmente si son ejecutables (la minoría) o vienen comprimidos y utilizan una extensión poco frecuente (js, vbs, hta, etc.)", nos explica, "además de revisar los enlaces que nos proporcionan, puesto que suelen estar acortados o suplantar alguna web original (phising)".

Nuestro hacker de cabecera también explica que existen varias herramientas como el framework Metasploit o el SET (Social-Engineering Toolkit), diseñadas para automatizar estos ataques. También nos advierte de que otro método utilizado es el abandonar USBs con contenidos que puedan ser de interés para la víctima e inciten a abrir el fichero.

"Por ejemplo, dejar un pendrive abandonado en una oficina con una hoja de cálculo Excel con el sugerente título 'Relación despidos 2017'", nos cuenta. "Estoy seguro que muchos deshabilitarían las medidas de seguridad que incorpora MS Office por defecto, y que no permiten la ejecución de Macros maliciosas, con tal de ver su contenido".

Nunca se sabe cuándo podemos estar siendo víctimas de un ataque de ingeniería social, salvo que estemos especialmente entrenados, y esa persona tan simpática que acabamos de conocer en la cola de embarque de un avión puede estar queriendo sacarnos información que no deberíamos compartir.

Una de las herramientas más populares es el Social-Engineering Toolkit o SET. Se trata de una única recopilación de herramientas para realizar ataques avanzados contra el elemento humano. Esto puede ser útil tanto para crackers como para empresarios que quieren testar la seguridad de su empresa y cómo se comportan sus empresarios ante estas amenazas.

Entre otras cosas, esta herramienta permite diseñar y crear ataques de phishing mediante correos electrónicos que se le envían a la víctima. También permite utilizar múltiples ataques basados ​​en la Web para comprometer la seguridad de la posible víctima, como por ejemplo clonar páginas como Facebook alojándolas en nuestro servidor para obtener los datos que rellene quien entre.

A su vez, la aplicación permite simplificar la creación de ficheros .exe maliciosos, o realizar ataques masivos enviando correos electrónicos a múltiples víctimas personalizando los mensajes. Entre sus funciones el SET también ofrece la posibilidad de crear medios infectados con metasploits que utilizan el archivo autorun.inf.

Como conclusión podemos decir que efectivamente nosotros somos el mayor punto débil de nuestra seguridad, y que los atacantes no sólo lo saben, sino que llevan años aprovechándose de ello. Por lo tanto toca tomar conciencia de estos peligros y estar atentos, sobre todo tratando de no revelarle a un desconocido información sensible y estando atento a las posibles estafas mediante correos electrónicos o mensajes de móvil.

Cursos disponibles
Inscribite hoy mismo!
CCNA 1 v7: Introduction to Networks
Inicia: 16/01/2025
Online | Intensiva
CCNA 2 v7: Routing, Switching and Wireless Essentials
Inicia: 16/01/2025
Online | Intensiva
CCNA 3 v7: Enterprise Networking, Security and Automation
Inicia: 16/01/2025
Online | Intensiva
ver todas