Siempre se ha dicho que el mejor antivirus del mundo somos nosotros mismos, pero también llegamos a ser el eslabón más débil de la cadena de la seguridad, mediante el desconocimiento o exceso de confianza.
Debido a que la mente humana llega a ser un recurso para almacenar información sensible esta puede ser atacada por cibercriminales mediante Ingeniería social, es la técnica con la que confunden o engañan al usuario según los intereses del cibercriminal; es la habilidad de manipular a las personas para eludir los sistemas de seguridad.
Existen diversos métodos que se utilizan para obtener información confidencial o reservada, entre los cuales podemos hablar de:
- Obtención de Información: búsqueda de información que puede ser utilizada para penetrar en un sistema. Los atacantes crean un vínculo de confianza para animar al usuario a compartir información. La obtención de información puede utilizarse para atacar la seguridad lógica y perimetral de la Organización.
- Piggybacking: es un método muy antiguo para realizar infiltraciones, esta técnica consiste en seguir a una persona sobre una zona de acceso restringido. También se opta por pretender suplantar a una persona para obtener el acceso legítimo de otra persona.
- Phishing: es una de las técnicas más conocidas para realizar un ataque de ingeniería social. Es el engaño de un correo electrónico que ínsita a visitar una web mediante enlaces que suplantan algún sitio oficial. Es normal recibir correos falsos de entidades bancarias y gubernamentales; obteniendo así datos personales que pueden terminar en un fraude.
- Las cartas nigerianas: se conocen así a los mensajes falsos que nos llegan invitándonos o a conseguir una gran cantidad de dinero a cambio de un pequeño desembolso inicial. Un caso frecuente es el de la herencia multimillonaria que ha tenido la gentileza de compartir con nosotros. Otra modalidad es el premio de lotería con el que hemos sido agraciados sin ni siquiera haber jugado.
- Ataques por teléfono: realizar llamadas haciéndose pasar por otra persona, como un técnico de soporte o un empleado de la misma organización.
- Leer el lenguaje corporal: el lenguaje corporal puede generar con pequeños detalles una mejor conexión con la otra persona. Respirar al mismo tiempo, corresponder sonrisas, ser amigable, son algunas de las acciones más efectivas. Si la víctima parece nerviosa, es bueno reconfortarla.
- Explotar la sexualidad: un ingeniero social puede ganar la confianza al mostrarse atractivo para un individuo en la sociedad, e incluso salir con la persona y el desarrollo de una relación íntima. A veces, un coqueteo hará el truco, y el objetivo será proporcionar la información sin problemas de seguridad perimetral.
La Ingeniería Social es un arte que pocos desarrollan debido a que no todas las personas tienen «habilidades sociales». Grandes hackers han usado la ingeniería social en sus ataques y algunos han llegado a ser auténticos maestros del engaño, como el norteamericano Kevin Mitnick. Según Mitnick, la ingeniería social se basa en cuatro principios básicos de pura psicología: todos queremos ayudar, siempre tendemos a confiar de entrada en el otro, no nos gusta decir que no y sí nos gusta que nos alaben.
Cómo reforzar la seguridad
Una de las mejores prácticas para detectar los ataques de Ingeniería Social es concientizar y educar al personal. Educarles sobre ¿Qué es la seguridad? ¿Cómo poder identificar algún ataque? Y sobre todo reforzar que la información con la que operan puede ser el activo más valioso de la organización. Otros métodos de seguridad pueden ser:
- No divulgar información sensible con personas desconocidas, desarrollar en las personas el sentido razonable de la desconfianza.
- Ser cuidadosos con los correos electrónicos, verificar la autenticidad del remitente y evitar abrir cualquier archivo adjunto proveniente de correos electrónicos de dudosa procedencia.
- Crear contraseñas robustas, evitar utilizar palabras comunes y fáciles de adivinar.
- La responsabilidad y el sentido común de cada persona puede evitar este tipo de ataques.
- Hacer uso de antivirus y antispam.
- Crear planes de concientización que pueden abarcar desde pláticas, videos, audios, mails e incluso realizar pruebas de ingeniería social hacia los empleados.
De acuerdo con expertos de International Institute of Cyber Security, si los empleados están condicionados a pensar y actuar de forma segura, es más probable que lo hagan cuando se enfrentan a una amenaza real.