Ejercicio de ingeniería social

20

Secure&IT dispone de una amplia experiencia y conocimiento sobre los principios básicos en los que se basa la ingeniería social:

  • Autoridad: Si el jefe nos solicita algo, no lo cuestionamos.
  • Reciprocidad: Los humanos somos por naturaleza recíprocos con nuestros actos. Un “instinto” social muy arraigado en nuestra naturaleza, y por tanto, fácilmente manipulable.
  • Urgencia: La mayoría de los ataques de ingeniería social, sobre todo los de hunting, se aprovechan de las víctimas por medio de la urgencia.
  • Consistencia: Somos animales de costumbres. Si alguien se hace pasar por miembro del equipo técnico de soporte y nos piden que realicemos una tarea, tendemos a obedecer.
  • Confianza: si nuestro interlocutor nos cae bien o está alineado con nuestras aficiones.
  • Validación social: Buscamos la aprobación del colectivo. Si se involucra a más personas del equipo, estaremos más confiados al formar parte de un grupo.

“Los ataques y amenazas dirigidas de ingeniería social son peores que el malware, porque es más difícil protegerse. El objetivo son las personas, no el sistema.”

Es necesario que las organizaciones impulsen la educación en materia de seguridad, con el fin de mitigar los riesgos.

La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema «los usuarios son el eslabón débil». 

Los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo, proporcionando detalles financieros a un aparente funcionario de un banco–, en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

En este ejercicio, un ingeniero social engañará a los usuarios, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente.

Una vez desarrollada la campaña de phishing, los usuarios que hayan caído en la “trampa”, serán desviados a un curso de sensibilización, con el objetivo de mejorar su nivel formativo.

Solicita información

Te informamos de que los datos que nos facilites serán incluidos en las actividades de tratamiento de Secure&IT, con la finalidad de atender tu petición, así como para enviarte comunicaciones de tu interés, en caso de que nos prestes tu consentimiento para ello. Puedes ejercer tus derechos en [email protected]. Puedes obtener más información en nuestra Política de Privacidad.