¿Qué es ingeniería social? [4 principios]

Autor: | Última modificación: 30 de mayo de 2022 | Tiempo de Lectura: 4 minutos
Temas en este post:

¿Sabes qué es ingeniería social? Este concepto lleva décadas en el mundo del hacking, debido a que es una de las estrategias más utilizadas por los atacantes. Los ciberataques no solo están relacionados con el malware, también se relacionan con las técnicas que utilizan los ciberdelincuentes para instalar virus y robar información.

Los hackers maliciosos pondrán en práctica cualquier herramienta que les permita irrumpir en un sistema, incluso si se trata de mentir para manipular a alguien, infiltrarse en las instalaciones de una empresa, sobornar empleados, etc. Por ello, el concepto de ingeniería social es el que define este tipo de prácticas dentro del marco de la ciberseguridad.

¿Qué es ingeniería social?

Si estás estudiando ciberseguridad, te encontrarás con el concepto de qué es ingeniería social. No todo en el hacking requiere de conocimientos técnicos; algunos de los ataques más comunes se realizan engañando a los usuarios con trucos simples o complejos, como hacerse pasar por el CEO de una empresa y convencer a un empleado de hacer una transacción de dinero.

La ingeniería social consiste en manipular a través de engaños para que, voluntariamente, hagan algo que no deberían hacer. Este método se ha explotado desde el principio de la historia del hacking y aún se utiliza para realizar ataques.

Los principios de la ingeniería social

Uno de los hackers informáticos más conocidos, Kevin Mitnick, se infiltró a los 17 años en la central de operaciones informáticas de una gran empresa de telecomunicaciones. La información que robó con sus amigos tenía un valor aproximado de 200.000 USD y fue enviado a la cárcel durante tres meses, juzgado como menor de edad.

Mitnick tuvo serios problemas con la ley durante la década de 1990; pasó cinco años en prisión, de los cuales ocho meses estuvo en una celda de aislamiento, por temor de las autoridades a sus habilidades míticas. Tras ese periodo, la justicia concluyó que la motivación de Kevin Mitnick no era la de perjudicar a otros, sino que sentía gran pasión por los retos y una inevitable curiosidad por encontrar fallos en sistemas informáticos.

Después de largos años, el mundo se dio cuenta de que las habilidades de Mitnick podían utilizarse a favor de la sociedad. Actualmente, Mitnick dirige su propia compañía de ciberseguridad y, en el pasado, fue quien estableció los cuatro principios de la ingeniería social:

  1. Todos queremos ayudar.
  2. El primer movimiento siempre debe ser la confianza hacia el otro.
  3. Detestamos tener que decir «no».
  4. A todos nos encanta que nos elogien.

Phishing e ingeniería social

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Si te interesa aprender qué es el phishing, también vas a querer conocer qué es ingeniería social. El phishing es uno de los tipos de ataques más comunes en ciberseguridad. Según el 2022 BrightCloud Threat Report, la actividad mundial de los ataques de phishing se incrementó en un 770% durante el año 2021.

Los ataques de phishing consisten en el envío masivo de mensajes a direcciones de correo electrónico, SMS o, incluso, vía llamada telefónica, con el fin de engañar a los usuarios para que descarguen un software malicioso, hagan transferencias de dinero u obtener acceso a información confidencial valiosa.

Estos ataques apuestan por la probabilidad de que, de un elevado número de personas que reciben el mensaje, algún porcentaje pequeño caiga en el engaño. Para ello, los atacantes deben encontrar la forma más convincente de ganarse la confianza de sus víctimas, para así manipularlos según sus fines.

Otro ejemplo de qué es ingeniería social puede ser visto en el spear phishing. Este tipo de ataque no se realiza en masa, sino que se dirige a una persona que genere un interés particular. Por ejemplo, podría ser el caso de un empleado que tenga acceso a realizar transacciones financieras en una compañía.

Por medio de técnicas de ingeniería social, los ciberdelincuentes intentan engañar a personas en posiciones de poder, para que descarguen archivos adjuntos con malware o hagan transacciones de grandes sumas de dinero, pensando que están cumpliendo una orden de sus superiores. Sobre esto, es útil recordar para tener más cuidado que el principal vector de ataque en ciberseguridad es el correo electrónico.

¿Cómo prevenir ataques de ingeniería social?

Para entender qué es ingeniería social, es necesario tener en cuenta que dicha técnica no requiere de conocimientos informáticos; al menos, ninguno que sea muy avanzado. Sin embargo, el éxito de estos ataques recae en lo convincentes que sean a la hora de hacer confiar a la víctima.

Un sistema informático es difícil de proteger, debido a que siempre dependerá del comportamiento de los usuarios. En este sentido, para una mayor seguridad, es útil asumir que siempre, en algún punto, ocurrirá algún fallo humano. Entonces ¿cómo se preparan los equipos de ciberseguridad para evadir estos ataques?

Los equipos de seguridad informática deben conocer qué es ingeniería social y cómo mitigar este vector de ataque, que depende de la conducta de los usuarios. Para ello, el Red Team del equipo, encargado de simular ataques a la compañía en búsqueda de fallos, puede hacer simulacros de phishing, spear phishing y todo tipo de ingeniería social.

Uno de los métodos para prepararnos ante estos ataques es el de educar a los usuarios. Por medio de simulacros e información didáctica, los miembros de las empresas pueden aprender a prestar atención e identificar este tipo de ingeniería social.

¿Cómo aprender más?

Ahora que sabes qué es ingeniería social, aprende más conceptos y transfórmate en un experto de la ciberseguridad. Visita nuestro Ciberseguridad Full Stack Bootcamp y conviértete en especialista en menos de 7 meses. ¿A qué esperas? ¡Inscríbete ahora!

[email protected]

¿Sabías que hay más de 24.000 vacantes para especialistas en Ciberseguridad sin cubrir en España? 

En KeepCoding llevamos desde 2012 guiando personas como tú a áreas de alta empleabilidad y alto potencial de crecimiento en IT con formación de máxima calidad.

 

Porque creemos que un buen trabajo es fuente de libertad, independencia, crecimiento y eso ¡cambia historias de vida!


¡Da el primer paso!