Video: Cómo ser un hacker o experto en seguridad informática 2025
La ingeniería social aprovecha el eslabón más débil en las defensas de seguridad de la información de cualquier organización: las personas. La ingeniería social es "piratear personas" e implica explotar maliciosamente la naturaleza de confianza de los seres humanos para obtener información que pueda utilizarse para obtener beneficios personales.
La ingeniería social es uno de los hackeos más difíciles de cometer, ya que se necesita valentía y habilidad para parecer confiable para un extraño. También es, de lejos, lo más difícil de proteger porque las personas que toman sus propias decisiones de seguridad están involucradas.
En un escenario de ingeniería social, aquellos con malas intenciones se hacen pasar por otra persona para obtener información a la que probablemente no podrían acceder. Luego toman la información que obtienen de sus víctimas y causan estragos en los recursos de la red, roban o eliminan archivos, e incluso cometen espionaje corporativo u otra forma de fraude contra la organización a la que atacan. La ingeniería social es diferente de las exploits de seguridad física , como la navegación de hombros y el buceo en contenedor, pero los dos tipos de piratería están relacionados y, a menudo, se usan en tándem.
Estos son algunos ejemplos de ingeniería social:
-
" Personal de soporte " afirmando que necesitan instalar un parche o una nueva versión del software en la computadora de un usuario, hablen usuario para descargar el software y obtener control remoto del sistema.
-
" Proveedores " que afirman que necesitan actualizar el paquete de contabilidad o el sistema telefónico de la organización, solicitan la contraseña del administrador y obtienen acceso total.
-
" Empleados " notifican al servicio de seguridad que han perdido su credencial de acceso al centro de datos, reciben un conjunto de claves de seguridad y obtienen acceso no autorizado a dispositivos físicos y electrónicos información.
-
Mensajes de correo electrónico de phishing enviados por cualquiera que reúna los ID de usuario y las contraseñas de destinatarios desprevenidos. Estos ataques pueden ser de naturaleza genérica o más dirigidos, algo llamado ataques de spear-phishing . Los delincuentes luego usan esas contraseñas para instalar malware, obtener acceso a la red, capturar propiedad intelectual, y más.
A veces, los ingenieros sociales actúan como gerentes o ejecutivos confiados y conocedores. En otras ocasiones, podrían desempeñar el papel de empleados extremadamente desinformados o ingenuos. También pueden hacerse pasar por forasteros, como consultores de TI o trabajadores de mantenimiento. Los ingenieros sociales son excelentes para adaptarse a su público. Se necesita un tipo especial de personalidad para lograr esto, a menudo parecido al de un sociópata.
La seguridad de la información efectiva, especialmente la seguridad requerida para combatir la ingeniería social, a menudo comienza y termina con sus usuarios. Nunca olvide que las comunicaciones e interacciones humanas básicas tienen un profundo efecto en el nivel de seguridad de su organización en un momento dado.
El adagio candy-security es "Difícil, crujiente afuera; suave, masticable por dentro. "El exterior duro y crujiente es la capa de mecanismos, como los cortafuegos, los sistemas de prevención de intrusos y el filtrado de contenido, de los que las organizaciones suelen depender para proteger su información. El suave, masticable en el interior es la gente y los procesos dentro de la organización. Si los malos pueden pasar la gruesa capa exterior, pueden comprometer la capa interna (en su mayoría) indefensa.
