Ingeniería social

En el ámbito de la seguridad, se denomina ingeniería social a la práctica de obtener información confidencial manipulando a los usuarios. La ingeniería social se basa en que el eslabón más débil de cualquier sistema son los usuarios, por lo que aprovechando la tendencia de las personas a reaccionar de manera predecible se puede obtener información que permita el acceso al sistema.

Ingenieria social

Qué es la ingenieria social

La ingeniería social consiste en obtener información confidencial a través de la manipulación de los usuarios legítimos.

El principio en que se fundamenta la ingeniería social es que los usuarios son el eslabón más débil de un sistema, de tal manera que los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, para conseguir acceder a un sistema sin tener que encontrar agujeros de seguridad en el sistema.

La ingeniería social es una técnica utilizada habitualmente por ciertas personas, como investigadores privados, criminales o ciber-delincuentes, para obtener información, acceso o privilegios en un sistema con el objetivo de realizar actos ilegítimos.

Probablemente el ingeniero social más famosos de todos los tiempos es Kevin Mitnick, según el cual la ingeniería social se basa en estos cuatro principios:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.

Existen numerosos métodos basados en la ingenieria social que se utilizan para atacar la seguridad de un sistema, como por ejemplo:

  • Llamadas telefónicas: un ingeniero social usa generalmente el teléfono para engañar a la gente, fingiendo ser, por ejemplo, un empleado del banco, un compañero de trabajo, un técnico o un cliente.
  • Phishing: consiste en intentar obtener información confidencial de forma fraudulenta haciéndose pasar el estafador por una persona o empresa de confianza en una comunicación oficial electrónica, generalmente un correo electrónico o algún sistema de mensajería instantánea, aparentemente legítimas, llevando así a revelar información sensible o a violar las políticas de seguridad. Los phisher suelen enviar solicitudes de renovación de permisos de acceso a páginas web, mensajes en los que hacen creer al usuario que un administrador del sistema está solicitando una contraseña, mensajes en los que solicitan información de la tarjeta de crédito con motivo de reactivar una cuenta o e-mails aparentemente provenientes de alguna persona conocida con archivos adjuntos que ejecutan código malicioso.
  • Cara a cara: la ingeniería social se aplica con éxito al acto de manipulación cara a cara para obtener acceso a los sistemas.
  • Conocimiento sobre la víctima: el conocimiento sobre la víctima, respondiendo a la pregunta qué contraseña introduciría yo si fuese la víctima, o conociendo sus circunstancias personales o dónde acostumbra a guardar sus contraseñas, permite al ingeniero social deducir en muchas ocasiones nombres de usuario y passwords.
  • Contraseñas habituales: el empleo en numerosas ocasiones por parte de los usuarios de contraseñas comunes, lógicas o débiles, causa graves problemas de seguridad.

Artículos en la categoría "Controles de acceso"

  1. Política de seguridad
  2. Funcionamiento de los controles de acceso
  3. Administración de identidades
  4. Identificación
  5. Autenticación
  6. Autorización
  7. Robo de identidad
  8. Ingeniería social
  9. Contraseñas
  10. Número de identificación personal (PIN)
  11. Certificado digital
  12. Firma digital
  13. Firma electrónica
  14. Token de seguridad
  15. Controles de acceso en domótica
  16. Control de acceso a PC
  17. Tarjetas inteligentes
  18. Lectores de tarjetas inteligentes
  19. Documento de identidad electrónico
  20. Autenticación e identificación biométrica
  21. Huellas dactilares
  22. Lector de huellas dactilares
  23. Tipos de lectores de huellas dactilares
  24. Cómo funcionan los lectores de huellas dactilares
  25. Pasaporte biométrico
  26. Reconocimiento de iris
  27. Lector de iris
  28. Reconocimiento de la firma
  29. Reconocimiento de voz
  30. Reconocimiento facial
  31. Seguridad física
  32. Controles de acceso físico
  33. Reloj de fichar
  34. Control de asistencia
  35. Control de presencia
  36. Controles de acceso de vehículos
  37. Automatismos para puertas
  38. Etiquetas RFID

Los comentarios están cerrados