Autor: Mariano Amoroso, Consultor de Seguridad Informática
Es sabido que las personas son consideradas el eslabón más débil de la seguridad de la información de las organizaciones. La ingeniería social es el arte de manipular psicológicamente a las personas para obtener información confidencial como nombres de usuarios, contraseñas, correos electrónicos, home-banking, accesos a sistemas o dispositivos finales.
¿Cuáles son las técnicas de ingeniería social más comunes?
- Phishing
Se trata de obtener información a través de un mensaje de correo electrónico, enviado desde una fuente que aparenta ser legítima, como un proveedor de servicios o institución confiable. El objeto de esta técnica, es inducir al usuario a acceder a los enlaces acompañados en el mensaje e introducir allí sus datos personales.
- Malvertising
Este es el acto de incorporar programas maliciosos en publicidades de sitios web. Actualmente no hace falta que un usuario descargue ni seleccione un anuncio para ser infectado, basta con tener plugins o software desactualizados (y no contar con una solución de seguridad apropiada) y visitar una página infectada.
Si un atacante tiene acceso a los datos de navegación de la víctima, tratará de explotar eventuales vulnerabilidades en nuestro sistema operativo.
Quizás la modalidad más novedosa en el creciente mercado de malvertising es la subasta en tiempo real, proceso en el cual se ofrece la información del usuario a múltiples empresas de publicidad, que hacen sus ofertas según el perfil del entorno.
- Phone scams
Las estafas telefónicas fueron las primeras técnicas conocidas como ingeniería social. Son llamadas telefónicas para convencer a los individuos a divulgar información sobre ellos mismos u otras personas. A medida que la tecnología va evolucionando, éstas metodologías van quedando fuera de uso y los nuevos atacantes prefieren otros tipos de ataques más modernos.
¿Cómo podemos protegernos?
La mejor manera de protegernos es estar informados. La cultura y la educación continua nos permiten aprender sobre posibles amenazas y a su vez concientizar a nuestro entorno. Un buen ejercicio, que debería ser parte de la estrategia de seguridad corporativa, es capacitar a sus empleados acerca de las últimas amenazas, políticas y procedimientos que reflejan la visión y misión de seguridad de la información. De esta forma aumentará la conciencia sobre los riesgos de seguridad, estarán más prevenidos sobre posibles ataques y comprenderán su rol dentro de la seguridad de la información.
A continuación enumeramos algunas recomendaciones importantes que deberíamos tener en cuenta:
- Mantener nuestro sistema operativo actualizado.
- Disponer de antivirus y antispyware.
- Nunca responder solicitudes de información personal a través de correos electrónicos.
- No ejecutar archivos adjuntos de correos electrónicos hasta analizarlos previamente con un antivirus.
- Tener precaución con aquellas entidades con las que se intercambie información sensible y que no dispongan de certificados de autentificación.
- Comunicar al área correspondiente cada vez que hayamos sido víctimas de un ataque.
- Usar el sentido común, es la mejor herramienta de protección frente a cualquier tipo de ataque de seguridad.
En este artículo hemos visto algunos de los tipos de ingeniería social más conocidos y cómo protegernos en contra de ellos. Este tipo de amenazas siempre están presentes en Internet, y tenemos que analizar el escenario para no ser víctimas de una estafa.
La educación y cultura del usuario son elementos necesarios para poder protegernos ante posibles amenazas. La continua actualización de conceptos permite estar preparados ante escenarios de ingeniería social. Asimismo, es necesario complementar dicha práctica con soluciones de seguridad a fin de establecer la integridad, autenticidad y confidencialidad de la información.