La ingeniería social es el término empleado para una diversidad de actividades maliciosas realizadas a través de interacciones humanas. Este tipo de prácticas maneja la manipulación psicológica para atrapar a los usuarios para que ejecuten errores de seguridad o cedan información confidencial. Tal como, lo señala el autor Mitnick (1963) se refiere a la aplicación de técnicas, que los hackers utilizan para engañar a un usuario autorizado de sistemas informáticos.
Los ataques de ingeniería social pueden ejecutarse en uno o más pasos. Un criminal primero rastrea a la víctima para así reunir la información necesaria, como posibles puntos de entrada y formalidades de seguridad débiles, que son necesarios para continuar con el ataque. Posteriormente, el ciberdelincuente se realiza maniobras para conquistar la confianza de la víctima y provee estímulos para operaciones posteriores que vulneren su confidencial o acceso a recursos.
La ingeniería social se basa en errores humanos no vulnerabilidades de los software y sistemas operativos ya que los fallas son menos predecibles y más difíciles de registrar e impedir que una intrusión en un programa maligno. Además, los ataques se ejecutan de manera diferentes y se pueden perpetrar en cualquier lugar donde esté implicada la interacción humana. A continuación, listaremos algunas de las técnicas de ataque en la ingeniería social:
- Hostigar: Los ataques de señuelos utilizan una falsa promesa para estimular la apetencia o curiosidad de la víctima. Cautivan a los usuarios en un engaño que sustrae su información personal o instala programa maligno en sus sistemas.
- Software de seguridad falso: Es un programa que bombardeadas a las víctimas de falsas alarmas y amenazas ficticias. Las personas son engañadas al pensar que su equipo está infectado con programa maligno y le solicita que instale un nuevo software sin beneficio real.
- Piratas Informáticos: Aquí, el ciberdelincuente adquiere información a través de una serie de engaños sutilmente elaboradas. El robo suele ser iniciado por un criminal que aparenta necesitar información confidencial para efectuar un trabajo.
- Suplantación de identidad: Las estafas de ciberdelincuencia operan a través de mensajes de texto y correos electrónicos con la intención de crear sensación de premura, curiosidad o miedo en las víctimas para estimular el develamiento de información confidencial.
- Correo electrónico o comunicaciones: Esta es una versión más concreta del hurto en la ciberdelincuencia y este se realiza mediante mensajes en función de las características, puestos de trabajo y contactos que rodean a la víctima para que sea menos notorio.
En síntesis, los actores maliciosos que se involucran en ataques de ingeniería social se aprovechan de la psicología humana y curiosidad para comprometer la información de sus objetivos. Con este enfoque centrado en el ser humano en mente, depende de las organizaciones ayudar a sus empleados a contrarrestar este tipo de ataques.
