En el ámbito de la seguridad informática, se denomina ingeniería social a aquellas técnicas cuyo objetivo es obtener información confidencial a través de la manipulación del usuario. La ingeniería social se fundamenta en que el eslabón débil en un sistema informático es el usuario, y es muy utilizada por delincuentes e investigadores privados para obtener información.
Qué es la ingeniería social en seguridad informática
En el sector de la informática se define como ingeniería social, a la manera que ciertos criminales, investigadores privados o delincuentes obtienen información confidencial de los usuarios a través de la manipulación.
El objetivo es tener acceso a información privilegiada que les permita abusar o poner en riesgo la integridad de la persona u organismo comprometido.
Esta estrategia se basa en que, en opinión de muchos expertos en seguridad, el eslabón más débil de cualquier sistema es el usuario.
Las prácticas más comunes de la ingeniería social es hacerse pasar por representantes de servicios legítimos, ya sea como soporte técnico, empleado o gerente de algún banco, un compañero o un potencial cliente.
Uno de los ataques más simples y efectivos es hacer creer al usuario que un administrador de sistema requiere de su contraseña para propósitos legales, ya que el usuario en muchas ocasiones colabora con las solicitudes de contraseñas para renovar la información de su tarjeta de crédito u otras operaciones legítimas si confía en su interlocutor.
A estos ataques sutiles se les denomina phishing y los usuarios deben ser advertidos acerca de no divulgar su información y mucho menos sus contraseñas, ya que los verdaderos administradores del sistema rara vez requieren este tipo de datos para realizar sus operaciones.
El spam puede considerarse otra expresión de la ingeniería social. Muchos archivos adjuntos en los e-mails, como programas gratis o fotografías comprometedoras de algún famoso (aunque pareciera que proceden de un correo conocido) ejecutan un programa malicioso, que por ejemplo puede utilizar la máquina de la víctima para el envío masivo de spam. Por eso no se debe ejecutar ciegamente los archivos adjuntos a los correos recibidos.
Actualmente estamos en una era donde el uso y la obtención de la información son cruciales, por lo que es preciso tomar precauciones frente a este tipo de prácticas, ya que todo usuario corre el riesgo de ser manipulado para la obtención de sus datos personales.