La ingeniería social es la técnica no-informática más efectiva usada por los creadores de códigos maliciosos (malware) y delincuentes, dado que no se basa en la tecnología, sino en atacar la vulnerabilidad humana.
Es básicamente la manipulación de la tendencia del ser humano a confiar, con el objetivo de hacer que una persona haga algo que el delincuente quiera (descargar un archivo desde Internet, acceder a un enlace, brindar información confidencial, tomar una decisión en particular, etc).
Esta técnica tiene sus fundamentos en la curiosidad del ser humano, así como en sus ganas de ayudar, en la persuasión, la creación de confianza, y todo aquello que haga que una persona baje las defensas.
Podemos ver la aplicación de la ingeniería social relacionada al malware en muchos aspectos de ellos: el tipo de mensajes de correo electrónico usados para engañar al usuario (eventos de relevancia, información confidencial, fotos de acontecimientos importantes, pornografía, etc), en el phishing, en los banners engañosos, en la forma utilizada para reproducir malware por MSN Messenger, etc. El creador del código malicioso trabaja en encontrar la mejor forma de que el usuario confíe y ejecute/instale el malware.
Pero no solo en el malware se utiliza, sino también en muchos otros aspectos. La ingeniería social tradicional comenzó, y sigue utilizándose, a través del teléfono. Por ejemplo, un delincuente que llama a un empleado de una empresa haciéndose pasar por alguien de soporte técnico interno de la compañía para obtener información de acceso.
Todo, absolutamente todo, lo que se usa para hacer que una persona confíe en otra, con el objetivo de obtener información del mismo y/o llevarlo a realizar alguna acción, es básicamente ingeniería social.
Para defenderse contra la ingeniería social no hay otra forma que la concientización y educación de las personas para saber la importancia de la seguridad informática y cómo aplicarla y respetarla.
Para más información:
No hay comentarios:
Publicar un comentario