Global Preloader
Vulnerabilidad
(08/Feb/2018) Ingeniería Social y métodos de ataque mas comunes

Ingeniería Social y métodos de ataque mas comunes

La ingeniería social se basa en la interacción humana y está impulsada por cibercriminales que usan el engaño con el fin de violar los procedimientos de seguridad que normalmente deberían haber seguido. Se trata de ataques dirigidos contra el eslabón más débil: las personas.

Los ataques de suplantación de identidad, como el 'phishing' o el 'vishing' --ejecutado a través de llamadas de teléfono--, se encuentran entre los tipos de ataques de ingeniería social más comunes.

La forma más habitual de realizar un ataque de ingeniería social es la recepción de correos electrónicos en los que el usuario abre el mismo y en ocasiones interactúa con él, presionando en los iconos o enlaces incluidos en el correo.

En la actualidad, se han utilizado 'emails' en los que se incluye un archivo adjunto con un 'malware' denominado 'ransomware'. En estos casos, el usuario descarga el archivo adjunto y ejecutaría, sin querer, un código malicioso que cifraría todos los documentos del equipo de computo, con lo que se produciría una pérdida total de los datos en el caso de no poseer de una copia de seguridad.

Aunque el método más utilizado para redirigir al usuario a páginas webs fraudulentas o mandar archivos infectados con virus siga siendo el correo electrónico, la mensajería instantánea está cobrando cada vez más relevancia debido a la popularización de este tipo de comunicaciones. Los cibercriminales han decidido adaptar los métodos utilizados en los 'emails' mandando direcciones URL acortadas a través de aplicaciones de mensajería instantánea como WhatsApp o Skype, entre otras.

Es posible realizar un ataque de ingeniería social mediante el abandono intencionado, en lugares fáciles de encontrar para la víctima, de un dispositivo de almacenamiento USB con un archivo malicioso en su interior para la recolección de datos privados.

Este método utiliza dos de las mayores debilidades de ser humano: la curiosidad y la codicia. Por dicho motivo, suelen usarse etiquetas llamativas con palabras como 'Confidencial' o 'Información secreta'. Una vez que la víctima abre el archivo contenido en el dispositivo, se recogerá diversa información privada o se infectará el dispositivo con un 'malware'.

Ser víctima de un ataque de ingeniería social a través del escaneo de un código QR también es posible, debido a que la víctima no sabe a dónde será redirigida cuando realice esta acción.

Los atacantes o cibercriminales crean puntos de acceso falsos con mensajes atrayentes para las víctimas, como pueden ser 'WiFi gratis', 'Free WiFi' o un nombre similar a una red legítima, para conseguir datos de todos aquellos usuarios que se conecten a la red.

Habitualmente, los usuarios solo se fijan en la apariencia estética de las páginas web que visitan. Sin embargo los atacantes pueden clonar estos sitios y suplantar los originales para recoger credenciales de las víctimas u otro tipo de información privada.

Existen multitud de formas de ser víctima de un ataque de ingeniería social. Por este motivo, es muy importante conocer cada una las posibilidades para evitar ser afectados por un atacante