1. CONTENIDO
1. Introducción.....................................................................................................................2
2. Que es la ingeniería social...............................................................................................2
3. Cuál es la relación entre ingeniería social y seguridad informática. ...............................3
3.1 Procesos cognitivos que interfieren .........................................................................4
4. Defensas, consideración y buenas prácticas....................................................................4
5. Reflexión personal...........................................................................................................5
6. Cibergrafia.......................................................................................................................5
2. 1. Introducción.
La ingeniería social no es una amenaza nueva, ha existido desde el origen de los tiempos, es
una mezcla de ciencia y psicología. Por esta razón veremos las dos caras de esta estrategia
desde el punto de vista del atacante y del atacado. (Naciones, organizaciones, personas).
En el marco de la seguridad informática es importante resaltar la ingeniería social teniendo
en cuenta que omite el dominio de cuestiones y se basa en el aprovechamiento del eslabón
más débil del usuario; sin importar lo fuerte que sea el sistema de seguridad implementado
en las organizaciones. La ingeniería social puede ser utilizada por los atacantes como
estrategia para obtener información de forma ilegal, pero también puede ser utilizada de
forma defensiva por las organizaciones las cuales deberían generar planes de sensibilización
y concientización a los usuarios sobre la importancia de la seguridad de la información.
No existe una limitación en cuanto al tipo de información y tampoco en la utilización
posterior de la información obtenida. Un hecho importante es que el acto de ingeniería social
acaba en el momento en que se ha conseguido la información buscada. Las acciones que esa
información puede facilitar o favorecer no se enmarcan bajo este término.
2. Que es la ingeniería social
Cualquier acto que influye en una persona a tomar una acción que pueden o no ser de su
interés. No siempre es negativo, pero abarca la forma en que nos comunicamos; con nuestros
padres, terapeutas, hijos, cónyuges y otros.
Según laboratorios ESET “La ingeniería social puede definirse como una acción o conducta
social destinada a conseguir información de las personas cercanas a un sistema. Es el acto de
conseguir de un tercero aquellos datos de interés para el atacante por medio de habilidades
sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos. Las
personas son activos de información y pueden ser explotadas mediante técnicas psicológicas
y de manipulación.
La ingeniería social se ha empleado habitualmente con objetivos fraudulentos, como el
pishing, pero podría ser usada aun con más efectividad como una nueva arma en el soporte a
operaciones psicológicas en los conflictos. Surge entonces la cuestión de hasta qué punto
estamos preparados para comprender, detectar, detener y contrarrestar los efectos de estas
operaciones.
En la actualidad debido a las nuevas plataformas tecnológicas, los nuevos riesgos y retos de
la industria (redes sociales, comercio electrónico, transacciones bancarias, almacenamiento
en la nube, entre otros) afectan tanto a personas como organizaciones que son susceptibles
3. de sufrir ataques basados en ingeniería social; teniendo en cuenta que se aprovechan del
eslabón más débil “las personas”. La mayoría de estos ataques en las organizaciones son
controlados y/o contrarrestados en inversión de equipos, tecnología y aun creemos que es
suficiente, pero realmente estamos descuidando la concientización de los usuarios con
relación a la seguridad de su información.
3. Cuál es la relaciónentre ingeniería socialy
seguridad informática.
La seguridad informática tiene por objetivo el asegurar que los datos que almacenan nuestros
ordenadores se mantengan libres de cualquier problema, y que el servicio que nuestros
sistemas prestan se realice con la mayor efectividad y sin caídas.
Lo primero que debemos recordar es que el usuario es el punto más débil en la infraestructura
de seguridad, debido que con una sola acción permite la omisión de todas las protecciones
tecnológicas implementadas detrás de él. La finalidad de la ingeniería social es manipulas a
una persona en su entorno laboral o personal para que de forma directa o indirecta realice
actividades que conlleven a la consecución de un fin específico para quien aplica esta técnica.
En pocas palabras es la habilidad de engañar para conseguir información de forma ilegal de
una persona o sistema.
Un ejemplo son los médicos que a menudo utilizan elementos que se consideran de ingeniería
social para “manipular” a sus pacientes para que realicen acciones que son buenas para ellos,
en cambio un estafador utiliza estos mismos elementos de ingeniería social para convencer a
su víctima para que realice acciones que le perjudican. Aunque el resultado es muy diferente,
el proceso puede ser similar.
Debemos tener en cuenta que en gran parte de las intrusiones en sistemas se realizan
utilizando datos que se obtienen de sus usuarios mediante diferentes métodos y con la
intervención de personas especialmente entrenadas, los ingenieros sociales.
Antes de que los atacantes tuvieran acceso a las nuevas tecnologías, para aplicar las técnicas
de ingeniería social era necesario acceder a cada víctima potencial de forma individual por
contacto social era necesario acceder a cada víctima potencial de forma individual por
contacto directo, por correo, fax o telefonía tradicional.
Estos métodos requerían una inversión importante en tiempo y dinero, y limitaban su impacto.
En el nuevo escenario de internet esto cambia. Se puede utilizar un ataque global, por lo que
ya no se habla de objetivo si no de audiencia objetivo.
4. 3.1 Procesos cognitivos que interfieren
El psicólogo social Sagarin explica que cuando procesamos la información sistemáticamente,
pensamos con detenimiento y de forma racional una petición antes de tomar una decisión.
Por lo contrario, si la procesamos a través del descubrimiento no racional, tomamos atajos
mentales para tomar las decisiones. Por ejemplo podemos acceder a una petición en función
de quien afirma ser el que hace la petición, en lugar de fijarnos en la confidencialidad de la
información que ha solicitado. Intentamos funcionar en el modo cuando el tema es importante
para nosotros. Pero la presión del tiempo, la distracción o una emoción fuerte nos hace
cambiar.
4. Defensas,consideracióny buenas prácticas
Es importante que tanto las personas como las organizaciones se pregunten ¿Existe defensas
efectivas en contra de la ingeniería social? La respuesta a esta cuestión es si, per todos los
mecanismos se basan en la cultura informática y no en cuestiones cien por ciento técnicas,
cabe aclarar que una parte significativa de la seguridad recae en os usuarios, tanto en las
comunicaciones personales como en la vida real. Por esta razón es importante que las
personas entiendan que existen situaciones de las que debemos desconfiar o ser manejadas
con cuidado para evitar riesgos.
Como punto de partida algunas amenazas específicas, a continuación se describen
recomendaciones que permiten disminuir de forma significativa la posibilidad de ser víctimas
de alguna técnica de ingeniería social aplicada:
- Si se recibe cualquier correo de remitentes desconocidos, debe tratarse con extremo
cuidado, ya que no solamente puede tratarse de un correo con información falsa, sino
que puede contener archivos maliciosos adjuntos.
- Como medida de protección general, se debe saber que las entidades bancarias nunca
solicitaran información confidencial por correo electrónico, o incluso cualquier tipo
de información del usuario.
- No enviar información de acceso personal por correo electrónico. El no aplicar este
tipo de medidas a pesar de su sencillez, es causa de innumerables inconvenientes en
términos de seguridad informática, recordemos que la ingeniería social permite
obtener información sensible y representa un problema económico para las víctimas.
- En concreto, la ingeniería social realmente representa un problema serio de seguridad.
No se necesita que el usuario sea un experto conocedor de seguridad, pero más allá
de las consideraciones básicas se debe tener presente por lo menos como o en donde
5. están las amenazas, que muchas veces no serán virus, programas o equipos infectados,
sino simplemente técnicas de engaño.
5. Reflexiónpersonal
Al mantenerme distante del uso de las redes y el contacto con
personas por estos, no me veo involucrado en situaciones que
me puedan llegar a afectar. Por otro lado, la distancia que aún
tengo a un ambiente laboral representa estar en un entorno cerrado a cualquier afectación por
el mismo. La seguridad del usuario como indica el texto, no solo está en los distintos
mecanismos de seguridad técnica, también involucra el uso comprometido de las plataformas
tecnológicas, que en la actualidad están en un auge desaforado y por lo tanto el usuario debe
mantenerse informado y tener cierta responsabilidad del uso de estas.
6. Cibergrafia
(de Salvador,2011)
(Espitia,UniversidadPilotode Colombia,s.f.)
(Nms/George,2011)
(Barrera,2015)