Dentro del mundo hacker existen muchas técnicas para hacerse con el control de información delicada del usuario: passwords, datos bancarios, información personal, fotos…
Una de las más potentes y efectivas, y de las que menos estamos preparados para protegernos de ella, es la ingeniería social. Pero ¿qué es la ingeniería social y porque es tan efectiva?. Échale un ojo a este artículo y te explicaremos qué es y cómo protegerte de estas técnicas.
¿Qué es la ingeniería social?
La ingeniería social es un conjunto de técnicas y prácticas usadas para obtener información y acceso a información delicada. Esta práctica se sustenta en que el eslabón más débil de cualquier sistema informático es el ser humano.
Debido a esto, el ingeniero social tratará de engañar, embaucar y confundir a su víctima para que esta le de acceso a información útil y así poder introducirse en una red o equipo informático.
Cualquier persona dentro del ámbito empresarial o doméstico puede ser víctima de un ataque de ingeniería, y como veremos más adelante, seguramente todos hayamos sufrido alguno a lo largo de nuestra andadura por las redes.
Técnicas de ingeniería social
Hay muchas técnicas de ingeniería social, las cuales suelen clasificarse según el ámbito de actuación: local o remoto. En este artículo os detallaremos las más famosas, para que conozcáis en qué consisten y cómo evitar ser víctimas de ellas.
Dentro del ámbito local tenemos:
-
Pretexting / Impersonate:
Pueden darse cuando un atacante se hace pasar por un empleado del servicio técnico en una empresa. Se gana la empatía de la víctima y acto seguido la alerta de un funcionamiento anómalo en su equipo el cual requiere de su intervención con la intención de acceder a su red o instalar algún malware.
-
Dumpster Diving:
Aunque parezca una tontería, una de las técnicas más utilizadas y efectivas es rebuscar en la basura de la víctima para encontrar información relevante como contraseñas, números de teléfono, DNIs, cuentas bancarias… en documentación que no ha sido debidamente destruida.
-
Shoulder Surfering:
También conocido como mirar por encima del hombro. Consiste en mirar por encima del hombro de la víctima cuando se dispone a introducir una contraseña o información relevante en un dispositivo, como un pc, móvil o consola.
Estas son algunas de las muchas técnicas que existen dentro del ámbito local. Como vemos juegan con el descuido y la distracción de la víctima para poder realizar el ataque.
Dentro del ámbito remoto contamos con algunas técnicas ampliamente utilizadas y de las que a veces no somos conscientes de estar siendo una víctima:
-
Phishing:
Consiste en el envío de correos con contenidos adjuntos como malware o links a páginas web falsas con el objetivo de tomar el control del equipo de la víctima o establecer una relación con la misma. Muchos de estos correos son conocidos como SPAM.
-
Redes sociales:
Esta técnica tiene como objetivo obtener información de la víctima y a su vez entablar una relación afectiva. Datos como tus hábitos, gustos, lugares que frecuentas, etc son información muy valiosa para un hacker.
-
Telefónicos:
Es uno de los ataques más famosos sobre todo si se utilizan en conjunto con técnicas como el pretexting o Impersonate.
Técnicas basadas en software malicioso
Además de las ya citadas existen otras técnicas basadas en software malicioso:
-
Scareware:
Este tipo de software malicioso entra en los equipos de las víctimas y les engaña, advierte o asusta con un mensaje que les urge a llevar a cabo una acción, como pinchar un botón que descarga un supuesto antivirus, introducir la información de su cuenta o contraseña en una ventana de login, etc… Se suelen basar en la urgencia para que la víctima no tenga tiempo de pensar y actúe
-
Utilizar dominios con erratas:
También conocidos como Typosquatting. Consiste en crear dominios de páginas web similares a los de marcas conocidas pero con una errata. De esta forma el usuario que inconscientemente introdujo la dirección errónea en su buscador, entrará en la web falsa, con un aspecto totalmente similar a la real, para introducir su información personal, como el nombre de usuario y contraseña.
-
USB olvidado o Piggyback:
Una de las técnicas más eficaces es la del USB olvidado o perdido. La víctima encuentra un USB con un nombre que llama su atención sobre el contenido que puede albergar dentro, este puede ser “Fotos íntimas”, “Informes secretos”…
Una vez la víctima introduce el USB en su equipo este copia toda la memoria ram y con ello las contraseñas almacenadas en ella.
El Piggyback es una técnica muy utilizada y que todos conocemos como acceder al WIFI del vecino sin su consentimiento.
Cómo proteger tu web de ataques de ingeniería social y hacking.
Una vez conocemos cuales son las principales técnicas es fácil darse cuenta que lo fundamental es estar siempre alerta y pensar dos veces antes de actuar, ya que la mayoría requieren de una víctima que actúe de forma inconsciente para ser efectivos.
Aún así, es mejor prevenir, por lo cual existen diferentes herramientas que pueden mantener protegida nuestra empresa y nuestra web de posibles ataques, manteniendo a nuestros empleados blindados. Y es que, cómo hemos visto, la ciberseguridad en una empresa es una cuestión de vital importancia.
Por ello, las herramientas más comunes para protegernos son:
- Software Antispam: Una de las herramientas más utilizadas por los hackers es el phising, muchos de estos correos pasan nuestro “filtro mental” y son susceptibles de ser abiertos además de creerlos lícitos. Para evitar estos problemas existen herramientas y plataformas que monitorean el origen recurrente de estos mails y los bloquean por seguridad. Por ejemplo, podemos habilitar una de estas herramientas en nuestra web para que no entren correos fraudulentos a través de nuestros formularios de contacto.
- Antimalware: Uno de los problemas más frecuentes en la web es que nos instalen un software malicioso. Este tipo de softwares toman el control de nuestra web o se apoderan de la información de nuestros usuarios, también pueden instalar software en sus dispositivos para acceder a más información o convertir sus dispositivos en esclavos. Para ello siempre es recomendable contar con un buen software antimalware en nuestra página web.
- Limitar el número de fallos al loguearse: Muchos de estos hackers tienen scripts que tratan de descifrar las contraseñas de un usuario a la fuerza. Este método consiste en probar todas las combinaciones de letras, palabras y números que existan hasta que dan con la contraseña correcta. Por ello es recomendable limitar y bloquear aquellos intentos fallidos que hayan sido de forma continua.
- Comprobación de si el usuario es un robot o es humano: Actualmente existen muchas herramientas que sirven para comprobar que quien está logueandose en la web no es humano. ReCaptcha es una de ellas, a través de algunos parámetros es capaz de detectar comportamientos reiterados y sospechosos y bloquear la entrada de esa IP.
- Ocultación de la ruta de acceso: La gran mayoría de empresas y desarrolladores utilizan WordPress como gestor de contenido para sus webs. Esto hace que la mayoría de hackers se hayan especializado en esta plataforma. Por ello, ya que wordpress tiene una ruta de acceso igual en todas las páginas web desarrolladas con esta tecnología, es importante cambiar y ocultar la ruta de acceso y también el nombre de sus archivos principales. Si el ladrón no sabe dónde está la puerta o la ventana, lo tendrá más difícil para entrar en casa.
Nestrategia, expertos en sitios web
Estas son solo algunas de las estrategias que se pueden llevar a cabo para proteger tu web. Si tienes interés o necesitas proteger tu web consulta con nosotros. En Nestategia somos expertos en todo lo relacionado con la gestión, el mantenimiento y la protección de tu web. Tenemos los mejores profesionales para darte el mejor servicio. Contacta ahora, sin compromiso.
Dejar un comentario