La ingeniería social: ¿Qué es? ¿Hemos sido víctimas de ella?

Por tal de poder desarrollar este artículo, primeramente deberíamos conocer a qué hace referencia el concepto de “ingeniería social”. Dicho concepto se refiere, en términos generales, a “el esfuerzo para influir en actitudes, relaciones y/o acciones sociales en la población (…)”.

En nuestro caso, dicha definición nos es de utilidad, aunque nos centraremos más en el entorno empresarial. Para ello, utilizaremos la definición planteada en lo que concierne a  la seguridad informática de las empresas:

La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica utilizada para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto perjudicial o exponga a la empresa a algún riesgo”.

Como se puede apreciar, la ingeniería social se basa en el hecho que, en cualquier sistema, el usuario más débil es el usuario, por lo que es posible que haya personas o empresas interesadas en realizar ingeniería social por tal de obtener cierta información de nuestra empresa.

La concienciación y formación de nuestros empleados respecto la ingeniería social cobra especial importancia, dado el hecho que los trabajadores de una empresa pueden enfrentarse a diversas técnicas psicológicas por tal de obtener información sobre la empresa. Por ello, deben conocer las diversas técnicas a las que pueden enfrentarse, tanto las más convencionales como las técnicas relacionadas con el uso de las redes sociales.

Algunas de las técnicas más utilizadas (aunque con un proceso de elaboración cada vez más elevado) son:

Pop-Up Window Attack: Se trata del hecho que un malware pueda estar actuando en vez de la página web legítima. Se basa en el hecho que, navegando por las pantallas, por ejemplo, de nuestra banca online, el sistema avise del hecho que la sesión ha expirado y que se requiere de informar, de nuevo, del usuario y la contraseña.

Suplantación de identidad (Phishing): Una de las más habituales. Se trata de suplantar la identidad del administrador de un sistema y solicitar, a los usuarios, contraseñas u otros datos sensibles mediante acciones consideradas benignas como reactivar una configuración concreta. Normalmente, se utiliza la herramienta de email, aunque el uso intensivo de las redes sociales ha facilitado nuevas acciones de phishing.

Uso del Protocolo Voz (Vishing): En este caso se utiliza la vía telefónica. Haciéndose pasar por alguna entidad o empresa que nos pueda generar confianza, pueden llegar a obtener información muy sensible acerca de la persona al otro lado de la línea. Puede suceder, por ejemplo, el envío de un SMS como confirmación de una compra realizada (aunque el usuario no lo ha hecho) y un número de teléfono. Al llamar, recolectan información del usuario.

En definitiva, como apuntaba Kevin Mitnick, exdelincuente informático y actualmente asesor de seguridad, es mucho más fácil engañar a alguien para facilitar el acceso a un sistema de información que diseñar complejos planes para encontrar las fugas y entrar en un sistema de información.

Share this article

Cofundador de Markonomia. Licenciado en Administración y Dirección de Empresas por la Universitat de Barcelona (EUS) y master en Business Intelligence y Big Data en Universitat Oberta de Catalunya. Cerca de 5 años desarrollando proyectos de análisis de datos en el sector bancario. Fotógrafo freelance en eventos deportivos nacionales e internacionales.

Facebook Comments

Deja un comentario