INGENIERÍA
SOCIAL
Es
un método utilizado para obtener información como bien pueden ser datos personales,
identidades, entre otras, es decir no tiene un límite de tipo de información y los
fines con que se usara esa información obtenida dependerán directamente del
agresor.
Cabe
mencionar que un ingeniero social no precisamente es aquel que accede a
sistemas ni tocan ordenadores pero son cruciales para los que llevan a cabo
estas actividades. Un aspecto relevante
sobre este tema es que la ingeniería social se basa en la psicología teniendo
como motivación ciertos factores clave,
que tienen los individuos que llegan a ser víctimas de este ataque, entre los
cuales están esa búsqueda de aceptación por partes ajenas a nuestro grupo de
confort, la orientación social, reciprocidad, consistencia, autoridad por mencionar
algunas.
La
ingeniería social tiene varios tipos de penetración por los cuales hace uso de
sus técnicas con tal de sacarle información al usuario, unas de estas pruebas
de penetración es por medio del phising el cual como ya es sabido principalmente
ataca cuentas bancarias, el objetivo principal es obtener la información
bancaria de la víctima, otra prueba de penetración viene siendo lo que es
pretexting el cual consiste en llamadas telefónicas a las víctimas con el
objetivo de hacer preguntas indirectas y así obtener la información necesaria.
Otra manera es referida a los archivos multimedia como dispositivos USB o bien
discos con el objetivo de esparcir información y malversarla para obtener
información de la víctima. Esta técnica también utiliza tres fases
para llevar a cabo su obtención de información y estas son la fase de acercamiento para ganarse la confianza del
usuario, una fase de alerta para medir la capacidad así como la velocidad de
reacción del usuario y por último una distracción que esta será la que nos
lleve a adquirir la información relevante. Los medios por los cuales se lleva a
cabo la aplicación de la ingeniería social son diversos tales como: teléfono,
correo electrónico, correo convencional, mensajería instantánea, por mencionar
algunos.
Aunque suene raro hay
una manera de protegerse contra este tipo de amenaza y
consiste en utilizar el sentido común y no divulgar información que podría
poner en peligro la seguridad de la compañía. Sin importar el tipo de
información solicitada, se aconseja que se conozca bien la identidad del
usuario, verificar la información requerida y por ultimo preguntar que
relevancia tiene la información solicitada.En este contexto, puede ser necesario capacitar a los usuarios para que tomen conciencia acerca de los problemas de seguridad.
No hay comentarios.:
Publicar un comentario