Llevar a cabo la selección de víctimas y pretextos en ataque de ingeniería social depende del vector que vaya a usarse, ya que de un modo se puede usar un perfil u otro. Por norma general, el objetivo es que el usuario proporcione credenciales o ejecute algún tipo de malware, por lo que se suele buscar una persona que no sea muy experta en temas de tecnología e informática para obtener toda la información confidencial posible por medio de ataques pretexto, estafas de phishing, spear phishing y cualquier otro tipo de ataques de ingeniería que puedan funcionar, ya se por correo electrónico o por cualquier otro medio.
En este artículo, veremos algunos ejemplos de perfiles interesantes que podemos seleccionar como víctimas y pretextos en ataque cibernético de ingeniería social.
Víctimas y pretextos en ataque cibernético
Las víctimas y pretextos en ataque cibernético hacen referencia a las personas o entidades que son objeto del ataque y se manipulan para revelar información confidencial, tomar acciones no deseadas o comprometer la seguridad de un sistema. Las víctimas pueden ser individuos, organizaciones o incluso sistemas informáticos.
Una vez seleccionadas las víctimas y pretextos en ataque, la fase final consiste en desarrollar todos los detalles de la persona y situación que se va a simular.
Algunos ejemplos de víctimas y pretextos en ataque cibernético pueden ser:
Gente mayor que tenga menos conocimiento de informática
Las personas mayores que tienen menos experiencia o conocimiento en informática pueden ser más vulnerables a los ataques de ingeniería social, por tanto pueden ser mejores víctimas y pretextos en ataque. Esto se debe a que es posible que no estén tan familiarizadas con las prácticas de seguridad en línea y pueden tener menos conocimientos sobre los diversos tipos de estafas y engaños en internet. Los atacantes pueden aprovecharse de su falta de conocimiento técnico para manipularlos y obtener información confidencial o acceso no autorizado.
Sectores completamente ajenos a la tecnología, como abogados, recursos humanos, etc.
Los sectores y departamentos que no tienen un enfoque principal en informática pueden ser más susceptibles a los ataques de ingeniería social. Estos profesionales pueden no estar al tanto de las últimas amenazas cibernéticas o no tener el mismo nivel de conocimiento técnico que los expertos en tecnología de la información. Los atacantes pueden aprovecharse de esta falta de experiencia para manipular a estas personas y obtener acceso a información confidencial o sistemas corporativos.
Externos, ya que no conocen muy bien el organigrama ni la forma de trabajar de la organización
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaLas personas externas a una organización, como proveedores, contratistas o visitantes, pueden ser víctimas de ataques de ingeniería social debido a su falta de familiaridad con el organigrama y la forma de trabajar de la organización. Los atacantes pueden aprovecharse de esta falta de conocimiento para hacerse pasar por empleados o representantes de la organización y solicitar información confidencial o acceso a sistemas.
Gente que no lleve muchos años en la empresa
Los empleados que son nuevos en una organización y no tienen mucha experiencia en ella pueden ser más susceptibles a los ataques de ingeniería social. Pueden no estar completamente familiarizados con las políticas de seguridad de la empresa o las prácticas habituales de comunicación interna. Los atacantes pueden aprovecharse de su falta de conocimiento y confianza en los procedimientos internos para manipularlos y obtener información confidencial o acceso a sistemas.
Que no tengan un cargo intermedio o de dirección
Las personas que no ocupan un cargo intermedio o de dirección en la empresa pueden ser víctimas de ataques de ingeniería social, debido a que pueden tener menos acceso a información privilegiada o sistemas críticos. Sin embargo, esto no significa que no puedan ser objeto de ataques o que no tengan información valiosa para los atacantes. Los atacantes pueden intentar obtener información a través de estas personas como un punto de entrada en la organización, o pueden utilizarlos como medio para llegar a personas de mayor jerarquía.
¿Quieres seguir aprendiendo?
Ahora que hemos visto algunas de las víctimas y pretextos en ataque que podemos usar para planear mejor nuestros ejercicios de intrusión, ¿qué te parece si seguimos aprendiendo? Si te ha gustado el tema y quieres saber mucho más sobre ciberseguridad, accede a nuestro Ciberseguridad Full Stack Bootcamp para convertirte en todo un profesional del sector. Con esta formación de alta intensidad, nuestros profesores expertos te enseñarán a nivel teórico y práctico para impulsar tu carrera en poco tiempo. ¡Pide más información y cambia tu vida!
