Se denomina como Ingeniería social como «tácticas utilizadas para obtener información o datos de naturaleza sensible de una persona (INCIBE, pág. 25). Suelen valerse de la buena voluntad y falta de precaución de los usuarios (CCN, 2015, pág. 539).»
Según el Glosario de Términos de Ciberseguridad establecida por la Resolución 1523/2019.
Algunos ejemplos comunes de ingeniería social son:
1. Phishing: Los atacantes envían correos electrónicos falsificados o mensajes de texto para engañar a las personas y obtener información confidencial, como contraseñas o números de tarjeta de crédito.
2. Ingeniería social telefónica: Los atacantes se hacen pasar por representantes de servicios legítimos y solicitan información personal o financiera a través de llamadas telefónicas.
3. Spear phishing: Los atacantes personalizan los mensajes de phishing para que parezcan provenir de una fuente confiable y persuadir a los destinatarios a revelar información sensible.
4. Ingeniería social en redes sociales: Los atacantes utilizan perfiles falsos o información personal disponible en redes sociales para manipular a las personas y obtener acceso a sus cuentas o datos personales.
Para prevenir la ingeniería social, se pueden seguir estos consejos:
1. Desconfiar de mensajes no solicitados: No abrir ni hacer clic en enlaces o archivos adjuntos en correos electrónicos, mensajes de texto o mensajes en redes sociales sospechosos.
2. Verificar la identidad del remitente: Antes de proporcionar información confidencial, verificar la autenticidad del remitente a través de fuentes confiables, como llamar directamente a la empresa o institución.
3. Mantener sistemas actualizados: Mantener el software y los dispositivos actualizados con las últimas actualizaciones y parches de seguridad para mitigar posibles vulnerabilidades explotadas en ataques de ingeniería social.
4. Educación y concientización: Capacitar a los empleados y usuarios sobre las técnicas de ingeniería social más comunes y cómo reconocer y evitar los intentos de manipulación.
5. Configuración de privacidad en redes sociales: Revisar y ajustar la configuración de privacidad en las cuentas de redes sociales para limitar la cantidad de información personal que se comparte públicamente.
6. Uso de autenticación de dos factores: Habilitar la autenticación de dos factores en las cuentas en línea para agregar una capa adicional de seguridad y proteger contra accesos no autorizados.
7. Implementar políticas de seguridad: Establecer políticas claras sobre el manejo de información confidencial y la verificación de identidad, y asegurarse de que se cumplan en todos los niveles de la organización.
Recuerda siempre estar alerta y utilizar el sentido común al interactuar con mensajes o solicitudes que parezcan sospechosos o inusuales.
El ataque a Target en 2013
En 2013, la cadena de tiendas Target fue víctima de un ataque cibernético masivo que comprometió la información personal y financiera de millones de clientes. El atacante utilizó ingeniería social para infiltrarse en la red de Target. El ataque comenzó con la obtención de credenciales de acceso a través de un proveedor de servicios HVAC (calefacción, ventilación y aire acondicionado) que estaba conectado a la red de Target. Los atacantes enviaron correos electrónicos de phishing aparentemente legítimos a los empleados del proveedor, engañándolos para que hicieran clic en enlaces maliciosos que llevaron a la instalación de malware.
Fallas en la seguridad: La ingeniería social fue exitosa debido a la confianza en los proveedores externos y a la falta de conciencia de los empleados sobre las amenazas de phishing. Además, la falta de segmentación adecuada en la red permitió que el malware se propagara fácilmente.
El ataque a RSA en 2011
En 2011, RSA, una empresa líder en seguridad informática, fue objeto de un sofisticado ataque que comprometió sus sistemas de autenticación de dos factores, utilizados por numerosas organizaciones. Los atacantes utilizaron un correo electrónico de phishing personalizado dirigido a empleados específicos de RSA. El correo electrónico contenía un archivo adjunto malicioso que se disfrazaba como un documento de recursos humanos. Al abrir el archivo, se activó un exploit que permitió a los atacantes tomar el control de la máquina.
Fallas en la seguridad: La ingeniería social fue exitosa porque los atacantes investigaron cuidadosamente a los empleados objetivo y crearon un correo electrónico convincente. Además, la falta de detección avanzada de amenazas permitió que el ataque pasara desapercibido durante un tiempo.