¿Qué es la ingeniería social y por qué está cambiando el enfoque de la seguridad cibernética?
Este concepto, que se refiere puntualmente a la modalidad a través de la cual, el atacante hace un seguimiento detallado de la víctima, recopilando información y buscando un espacio fuera de los cada vez más elaborados sistemas de seguridad informática, la psicología humana.
El ingeniero social recurre al estudio del consumo digital de los usuarios para crear un perfil de la víctima, pero también presta especial atención a su comportamiento cotidiano fuera del entorno tecnológico: salidas a restaurantes, centros comerciales o cualquier actividad recurrente o predecible.
La habilidad del delincuente consiste en convertir los datos obtenidos en oportunidades de atacar, a través de técnicas que generan curiosidad, sentido de urgencia o miedo en los posibles afectados, según su perfil y según la información que quieren obtener.
¿Te han llegado invitaciones o “promociones” en las que te ofrecen acceder a servicios de streaming de películas o música gratis? Seguramente. Aunque no lo creas, esta sigue siendo una modalidad efectiva de captación de datos personales y empresariales.
Ahora bien, imagina que ese es tan solo un intento al azar de los ciberdelincuentes. La ingeniería social va un paso más allá y genera acciones segmentadas y orientadas a la captación de los datos de determinada persona a través de:
Es la modalidad más efectiva de ataques de ingeniería social. Se trata del robo de datos, credenciales y contraseñas por medio de correos electrónicos maliciosos en los que suplantado marcas, personas e incluso perfiles laborales, con un clic de la víctima pueden generar la instalación de malware, la congelación del sistema como parte de un ataque de ransomware o el robo de información confidencial.
“El 91% de los ciberataques comienzan con un correo electrónico de spear phishing”
Se trata de un negocio tan rentable, que actualmente existe tono un entorno criminal dedicado a crear y proveer ataques de phishing, usando botnets globales para evitar el uso de rangos IP sospechosos, al mejor estilo de las más sofisticadas estrategias de marketing. En muchos casos con mejores resultados.
Es así como estamos comenzando a ver estafas BEC (Business Email compromise), un nuevo y peligroso subconjunto de ataques de phishing que permite a los atacantes ampliar sus beneficios dirigiéndolos contra objetivos corporativos de alto valor.
ingenieria-social
*Fuente: Verizon 2016 DBIR & Experian Email Benchmark Report Q4 2016
Indicios a los que hay que estar atentos para descubrir posibles intentos de pishing, toma nota:
Los correos electrónicos de phishing frecuentemente utilizan formulaciones genéricas como «Estimado cliente». Este uso de saludos impersonales les ahorra tiempo a los cibercriminales.
Información como tu puesto, empleo anterior o intereses personales pueden obtenerse en redes sociales como LinkedIn y se usa para hacer más convincente los correos electrónicos de phishing.
Estos mensajes falsifican correos electrónicos reales pidiéndote que verifiques tu cuenta. Busca siempre señales de phishing y cuestiona por qué se te pide que verifique algo, probablemente se trata de una estafa.
SOFTWAREONE Y SOPHOS Esta evolución permanente de la ciberdelincuencia, plantea un reto para las organizaciones y departamentos de IT, los cuales ahora además de pensar en soluciones de seguridad requieren de herramientas que sensibilicen sobre la importancia de estar alerta en escenarios laborales cada vez más dinámicos.
Enviar¡Deja un comentario para hacernos saber lo que piensas sobre este tema!
Deja un comentario
Blog Editorial Team
Trend Scouts
IT Trends and industry-relevant novelties
