Ingenieria social

El principio en el que se basa la ingeniería social es el que en cualquier sistema los usuarios son el eslabón débil. En la práctica, un ingeniero social usará el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna empresa, un compañero de trabajo, un técnico o un cliente. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertos contexto, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

Quizá el ataque más simple pero efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para propósitos legítimos. Los usuarios de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de «crear una cuenta», «reactivar una configuración», u otra operación benigna; a este tipo de ataques se los llama phishing.

Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo su trabajo.

Otro ejemplo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos «íntimas» de alguna persona famosa o algún programa «gratis» pero que ejecutan código malicioso (por ejemplo, usar la máquina de la persona para enviar cantidades masivas de spam). Muchos usuarios, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese esa persona?.

La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas. Uno de los ingenieros sociales más famosos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:

  1. Todos queremos ayudar.
  2. El primer movimiento es siempre de confianza hacia el otro.
  3. No nos gusta decir No.
  4. A todos nos gusta que nos alaben.