Ingeniería Social

La Ingeniería Social en el aspecto de seguridad es intentar conseguir información confidencial o privada y aprovecharse de la confianza y naturaleza humana. Esto es llevado a cabo al tomar información pública (normalmente encontrada en los sitios web sociales como Facebook) y usarla para manipular a las personas y conseguir de ellas o tomar de ellas la información que quieren.

Mas debajo señalaremos algunas tácticas básicas de la ingeniería social más usadas para que así estés atento de lo que son y cómo prevenirlo.

Sitios de Redes Sociales

Sitios web como Facebook y Twitter hacen muy fácil que te quedes informado de tus amigos y familia. Sin embargo, también es una canasta llena de información para las personas con malas intenciones si no te controlas en lo que subes o a quien aceptas como amigo y las configuraciones de seguridad que usas.


Toma el siguiente caso como ejemplo:

 Un viejo amigo del colegio te agrega a Facebook; no te recuerdas de él, así que haces lo correcto y verificas que la escuela que tiene listada es la misma a la que atendiste. Comienzas a conversar con él por el chat que está en el sitio web y hablan de los buenos tiempos que tuvieron en la escuela. Suena como si conociera a los profesores y quienes estaban allí, así que te sientes más seguro de tenerlo en tu lista de amigo. Después de un tiempo, recibes un correo de el con fotos que encontró cuando buscaba en sus cosas viejas. Abres las fotos adjuntadas para encontrar fotos aleatorias de lo que parecer ser tu colegio.


Lo que no sabes a este punto que esos archivos incluyen virus Trojan, permitiéndole acceder a tu computadora. Esto incluye todos tus archivos, tus contraseñas, historial de buscador y mucho más.


Como sabe tanta información?

A menos que tu configuración de seguridad este configurada correctamente, él ha podido ver a cuál escuela fuiste. De esta información nada mas, él ha podido conseguir copias de las fotos de graduación (las fotos que escaneó y te envió), información de los profesores y más. Una vez él fue agregado como amigo, él fue capaz de ver toda la otra información que tu tenías disponible en tu perfil. Numero telefónico, ubicación, correo electrónico (si lo tienes público), amigos, fotos, cuando te graduaste, etc.

Como podíamos haber prevenido esto?

Una de las mejores formas para prevenir esto es mantener tu información privada, solo así, privada. Si tus amigas/gos en Facebook te conocen, ellos no necesitan ver tu información de colegio, correo electrónico o número telefónico. Tal vez quieras configurar tu configuración de seguridad para que la información más personal se quede personal. También deberías revisar el perfil de la otra persona antes de aceptarlo/la como amigo/ga. Si su línea de tiempo es publica, asegúrate de revisar su historial para ver cuando agrego información de colegio. Si lo agrego recientemente, puede ser una señal de que quiere comenzar una ingeniería social.

También podemos prevenir ataques como este al hacerle preguntas un poco difíciles de responder usando solo información pública. Si no sabe todavía a que escuela fuiste (verifica tu configuración de perfil de seguridad), pregúntale por nombres de estudiantes o profesores. También puedes hablarle a alguno de tus amigos que fueron a la misma escuela y ver si alguno de ellos lo conocen.

Es cuestión de ser cuidadoso y tener en cuenta de que hay personas como él/ella en el internet.

Aquí tenemos otro ejemplo:

 Te despiertas para ver que has recibido un correo electrónico informándote de que tu contraseña de banco ha sido cambiada. Intentas de entrar tus credenciales, pero notas que en verdad ha cambiado la contraseña de como la tenías anteriormente. Llamas al banco para resolver el problema. Cuando puedes entrar a tu cuenta con tus credenciales, notas que tu cuenta ha sido usada completamente y tu tarjeta de crédito de ese banco fue utilizada con todos los fondos.

¿Cómo esto pudo haber pasado?

Las preguntas de seguridad son normalmente la respuesta a esta situación.

Mayoría de los sitios web te permiten cambiar la contraseña con simplemente responder algunas preguntas de seguridad. Muchas de esas preguntas de seguridad parecen “personal”, pero en realidad con la ingeniería social, la información que se considera privada, no es tan privada ya.

Toma las siguientes 3 preguntas simples como ejemplo…

¿En qué ciudad o país fue tu primer trabajo?

 

Esta es fácil, miramos en tu perfil de LinkedIn y vimos que el primer trabajo al cual fuiste a trabajar fue en “Small Town Company, LLC” (ejemplo) y después de hacer una búsqueda simple en el internet, encontramos que solo tienen una sucursal en Washington, D.C.

¿Cuál era el nombre de tu escuela de bachillerato?

Este está listado en tu página de Facebook. En mayoría de los casos, no tienes que ni estar agregado como amigo para ver esta información.

¿Cuál era el nombre de tu primera mascota?

Este depende de que tanto subes fotos de tu mascota en tu perfil. Si tu mascota se murió y lo pones en tu Facebook o en Twitter o en algún momento hablas de él; sería fácil para el asaltante ver esto en tu perfil.

¿Cómo podemos prevenir esto?

Eso puede ser simple. Si tienes buena memoria, no uses las respuestas que son reales en las preguntas de seguridad. O si tienes la opción, crea tu propia pregunta de seguridad y utiliza algo en el que nunca mencionarías en público. Recomendamos estos dos pasos.

Este es otro escenario que puede pasar:

Un viejo compañero de trabajo solicita ser tu amigo. Como trabajabas en una compañía grande, es difícil recordad todas las personas allí, así que lo permites. Él ahora tiene acceso a todas tus fotos, viejos posts de tu línea de tiempo. Se acerca semana santa y es tiempo para tu semana larga de vacaciones que usualmente tomas en este tiempo. Cuando regresas a la casa, encuentras todo desordenado y tus pertenencias personales desaparecidas.

Los robos ocurren todo el tiempo, sin embargo, mayoría del tiempo los asaltantes no tienen mucho tiempo porque ellos no saben cuándo vas a volver o que tipo de cosas tienes. En esta situación, ellos pudieron ver que te ibas de la ciudad por una semana por semana santa. También porque tenías fotos de tu nueva pantalla de TV y un sistema de sonido que conseguiste hace un par de semanas, ellos saben que iban a conseguir algo al ir a tu casa solamente por eso. Saben también el planteamiento de tu casa y tu vecindario al mirar tus álbumes de foto.

¿Cómo me conocía?

Aunque él te agrego por Facebook, él te encontró por tu perfil de LinkedIn. Esto muestra la compañía en el que trabajas y otras en las que trabajaste. De esa información él pudo haber buscado más información de la compañía y hacer un perfil de Facebook para que lo agregaras.

Los mismos principios se aplican a esta situación igual que a las anteriores. Cuídate de las personas que aceptas como amigos. También, se cuidadoso en qué tipo de información subes y donde lo subes. Si tienes que mantener información del trabajo público, asegúrate de no subir tantos detalles en línea.

También podemos prevenir esto tomando cuidado de lo que subimos como “privado” en Facebook. No muestres ningún patrón, porque esto puede proveer a los asaltantes con la información que ellos necesitan para planificar algo malicioso. También es buena idea no poner ningún detalle relacionado a viajes o vacaciones que tomaras fuera de la ciudad hasta después de volver. Así puedes prevenir que algo pase en lo que no te encuentras.

Llamadas Telefónicas

Otra táctica común en usar la ingeniería social como un tipo de ataque es usar un teléfono. Tenemos una confianza inherente cuando hablamos con las personas por el teléfono. Desafortunadamente, esto puede funcionar para el asaltante.

Aquí tenemos un ejemplo…

El teléfono suena y ves que el ID del llamador está en blanco. Contestas y luego un representante del banco procede a preguntarte un conjunto de preguntas para confirmar tu identidad. Una vez la llamada es terminada encuentras que tu contraseña de banco ha cambiado y todo tu dinero fue usado.

Esta es otra táctica para obtener respuestas a las preguntas de seguridad, número de seguro social, cumpleaños y más.

¿Cómo el numero pareció ser de mi banco?

Hay muchos servicios (muchos de ellos gratis) que te dejan llamar a las personas cambiando el ID para parecer de cualquier numero o entidad. Una buena precaución es llamar a tu banco directamente si ves que hay algo malo. Simplemente informa a la persona llamándote que llamaras para atrás por razones de seguridad. Mayoría del tiempo, ellos entenderán y te darán un numero de ticket o una extensión directa que puedes usar. Solo asegúrate de que uses el numero directo del banco listado en tu extracto de cuenta o en su sitio web.

Utilizamos los bancos, Facebook y LinkedIn en nuestros ejemplos, pero puede ser remplazado por cualquier otro servicio o negocio. Solo ten en cuenta la información que estás dando y a quien se lo das.

¿Fue útil la respuesta? 5 Los Usuarios han Encontrado Esto Útil (5 Votos)