Cuando ves piratas informáticos en la televisión, siempre son expertos digitales. Tocan agresivamente los teclados en habitaciones oscuras, derribando cortafuegos e infiltrándose en redes descifrando códigos informáticos y rompiendo protocolos de seguridad. Como puede suponer, esto tiene poco que ver con lo que hacen los hackers exitosos del mundo real. Muchos piratas informáticos modernos ni siquiera atacan principalmente a las computadoras. En cambio, atacan a las personas, superando los obstáculos de seguridad a través de técnicas de ataque de ingeniería social.
La ingeniería social es una técnica nefasta utilizada por los estafadores para ganarse su confianza. Al imitar fuentes confiables y explotar la psicología humana, los piratas informáticos lo manipulan para que divulgue libremente información confidencial. Al aprender algunos ataques comunes de ingeniería social y cómo prevenirlos, puede evitar convertirse en una víctima.
Ataques de phishing
Los ataques de phishing son, con mucho, la forma más común de ataque de ingeniería social. Por lo general, un atacante imita un correo electrónico de una parte en la que usted confía. Por ejemplo, pueden crear un correo electrónico que imite un mensaje de su banco. Ese correo electrónico puede verse exactamente como los correos electrónicos de su banco y puede parecer que proviene de una dirección de correo electrónico propiedad de su banco. Pero si realiza la acción que exige el correo electrónico para desbloquear su cuenta, estará caminando directamente hacia las garras del atacante. También verá correos electrónicos falsos que pretenden provenir de un contacto personal que le solicita que visite un enlace de Google Drive.
Para combatir los ataques de phishing, verifique dos veces cualquier correo electrónico sospechoso a través de un canal de comunicación separado. Si recibe un correo electrónico de su banco solicitando que se comunique con ellos, no use la información contenida en el correo electrónico. En su lugar, busque el número de teléfono de su banco en su sitio web oficial y llámelos para confirmar la veracidad de la comunicación. Si recibe un correo electrónico inusual de un amigo o colega, envíeles un correo electrónico por separado o llámelos para asegurarse de que el correo electrónico sea legítimo.
Ataques de abrevadero
Los ataques de abrevadero son más sutiles que los ataques de phishing. Se basan en la incrustación de malware dentro de un sitio web confiable que el objetivo ya visita. Esto comienza con una explotación técnica en el código del sitio web, pero solo tiene éxito cuando la víctima hace clic en un enlace envenenado. Es un ataque difícil del que protegerse, pero se basa en la tendencia del usuario a confiar en información sospechosa si aparece en un sitio confiable. Es útil estar al tanto del contenido de apariencia sospechosa, sin importar dónde lo vea.
pretextando
En los ataques de pretexto, los atacantes crean un escenario falso diseñado para manipular a los objetivos para que entreguen información. Una técnica común implica que los atacantes soliciten información para confirmar su identidad. Las versiones avanzadas de este ataque podrían incluso convencer a las víctimas de realizar acciones que permitan a los piratas informáticos acceder a una red segura.
Como regla general, nunca debe brindar información confidencial a nadie que lo llame o le envíe un correo electrónico de manera inesperada, y tenga precaución respetuosa con los extraños. Si su trabajo implica enviar información confidencial, asegúrese de seguir los protocolos de la empresa al pie de la letra: generalmente están diseñados para protegerse contra estos escenarios. Los atacantes confían en que infrinjas las reglas.
Seguir de cerca
Los ataques de seguimiento se basan en la rapidez con la que la mayoría de las personas generan confianza para obtener acceso a ubicaciones físicas. Al entablar conversaciones amistosas y actuar como si pertenecieran, los atacantes pueden abrirse camino en áreas seguras. Las historias comunes involucran tarjetas de acceso perdidas o, mejor aún, soporte técnico solicitado por la alta dirección. El nombre proviene de la forma más rudimentaria de la técnica en la que los atacantes violan una ubicación restringida siguiendo de cerca a una persona autorizada.
Tenga cuidado con la identidad de todos los extraños y nunca los ayude a acceder a un lugar seguro, incluso si parecen legítimos. Esto se aplica doblemente a los reparadores inesperados o trabajadores de servicios públicos.
cebo
A veces, los atacantes “ceban” a las personas ofreciéndoles algo que desean. Por ejemplo, los atacantes pueden ofrecer descargas gratuitas de música, películas o pornografía. Estas descargas, por supuesto, contienen programas maliciosos. Encontrará esto con frecuencia en torrents ilegales u otras descargas que subvierten los derechos de autor. Debido a que los objetivos quieren el cebo, no sospecharán tanto de los programas obviamente maliciosos. Los atacantes también podrían irse unidades USB misteriosas tirados, con la esperanza de que un alma curiosa conecte uno a su computadora y permita que el malware de ejecución automática descargue su carga útil.
Cuestione siempre las ofertas que parecen demasiado buenas para ser verdad. Nunca descargue música o películas gratis, y obtenga su material para adultos de fuentes confiables. Y si conecta un dispositivo misterioso a su computadora, se merece lo que obtenga.
Conclusión
Puede evitar la mayoría de los ataques de ingeniería social disminuyendo la velocidad y pensando antes de actuar. Sea amable pero cauteloso con los extraños que solicitan información incluso inocua y aumente su nivel general de sospecha. No crea una historia solo porque suena bien o porque la fuente parece creíble. Y, por supuesto, nunca proporcione información confidencial, o acceso a esa información, a personas desconocidas.
Credito de imagen: galletas saladas, Conversacion