En el ámbito de la seguridad, se denomina ingeniería social a la práctica de obtener información confidencial manipulando a los usuarios. La ingeniería social se basa en que el eslabón más débil de cualquier sistema son los usuarios, por lo que aprovechando la tendencia de las personas a reaccionar de manera predecible se puede obtener información que permita el acceso al sistema.
Qué es la ingenieria social
La ingeniería social consiste en obtener información confidencial a través de la manipulación de los usuarios legítimos.
El principio en que se fundamenta la ingeniería social es que los usuarios son el eslabón más débil de un sistema, de tal manera que los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, para conseguir acceder a un sistema sin tener que encontrar agujeros de seguridad en el sistema.
La ingeniería social es una técnica utilizada habitualmente por ciertas personas, como investigadores privados, criminales o ciber-delincuentes, para obtener información, acceso o privilegios en un sistema con el objetivo de realizar actos ilegítimos.
Probablemente el ingeniero social más famosos de todos los tiempos es Kevin Mitnick, según el cual la ingeniería social se basa en estos cuatro principios:
- Todos queremos ayudar.
- El primer movimiento es siempre de confianza hacia el otro.
- No nos gusta decir No.
- A todos nos gusta que nos alaben.
Existen numerosos métodos basados en la ingenieria social que se utilizan para atacar la seguridad de un sistema, como por ejemplo:
- Llamadas telefónicas: un ingeniero social usa generalmente el teléfono para engañar a la gente, fingiendo ser, por ejemplo, un empleado del banco, un compañero de trabajo, un técnico o un cliente.
- Phishing: consiste en intentar obtener información confidencial de forma fraudulenta haciéndose pasar el estafador por una persona o empresa de confianza en una comunicación oficial electrónica, generalmente un correo electrónico o algún sistema de mensajería instantánea, aparentemente legítimas, llevando así a revelar información sensible o a violar las políticas de seguridad. Los phisher suelen enviar solicitudes de renovación de permisos de acceso a páginas web, mensajes en los que hacen creer al usuario que un administrador del sistema está solicitando una contraseña, mensajes en los que solicitan información de la tarjeta de crédito con motivo de reactivar una cuenta o e-mails aparentemente provenientes de alguna persona conocida con archivos adjuntos que ejecutan código malicioso.
- Cara a cara: la ingeniería social se aplica con éxito al acto de manipulación cara a cara para obtener acceso a los sistemas.
- Conocimiento sobre la víctima: el conocimiento sobre la víctima, respondiendo a la pregunta qué contraseña introduciría yo si fuese la víctima, o conociendo sus circunstancias personales o dónde acostumbra a guardar sus contraseñas, permite al ingeniero social deducir en muchas ocasiones nombres de usuario y passwords.
- Contraseñas habituales: el empleo en numerosas ocasiones por parte de los usuarios de contraseñas comunes, lógicas o débiles, causa graves problemas de seguridad.