Fundamentos de la ingeniería social para IT

Clasificación de ataques de ingeniería social

¡Prueba gratis durante 10 días

nuestros 1144 cursos !

Prueba gratis Mostrar modalidades de suscripción
Clasificación tradicional de los ataques de ingeniería social en función del método de acceso a la víctima. Los métodos son: digitales, telefónicos o en persona. Todos válidos y dependientes de las posibilidades, las motivaciones y los objetivos.

Transcripción

La ingeniería social, en su concepto más puro, es la que trata de la interacción con personas para que estas hagan algo que aporte beneficio el ingeniero social. Pero la relación entre víctima y el atacante puede establecerse por distintas vías, ya que en ningún momento se establece que la ingeniería social es efectiva únicamente en conversaciones cara a cara. La primera clasificación que podemos hacer –y la más elemental– es la relativa a la presencia física del atacante en el entorno de la víctima. Los ataques presenciales serían ataques en persona. El ingeniero social se presenta físicamente ante su víctima y desarrolla tanto su personaje como su pretexto para influir o manipular a la víctima. Para que estos ataques sean efectivos el atacante debe encajar física y verbalmente en el contexto en el que se presenta a su personaje, ya que la víctima percibirá toda la actuación, como mínimo, con la vista, el oído y el olfato, y cualquier cosa que no encaje de forma consciente o inconsciente puede hacer que la víctima se ponga a la defensiva, incluso sin estar segura de por qué. El siguiente grupo, el de los ataques no presenciales, puede dividirse entre interactivos o no interactivos, aunque podemos reducir ambas opciones a sus modalidades más comunes: ataques telefónicos y ataques telemáticos. Los ataques interactivos son aquellos en que atacante y víctima conversan de forma que el atacante va retroalimentando su actuación en base a las reacciones y respuestas de la víctima. Por eso, los ataques interactivos no presenciales más comunes son las llamadas telefónicas, aunque también abarca opciones como chats, videollamadas y demás. En el caso de las llamadas, la víctima debe basarse únicamente en la forma de hablar y en el contenido de la conversación para creerse o no el personaje y argumentos del atacante. Además, el atacante tendrá un retorno de información de igual calidad. Tan solo podrá basarse en lo que su víctima diga y en cómo lo diga, aunque nunca hay que descartar el valor de los silencios, que según el contexto pueden significar falta de atención, duda o querer que la otra persona continúe hablando. En el caso de las videollamadas, hay además información visual, pero no es el medio más común. El más complejo de los formatos para los atacantes es el de los chats, ya que se pierde la información que dan la entonación y las formas. En este caso, el atacante deberá centrar todos sus esfuerzos en el contenido de lo que cuenta y en hacer las preguntas de forma correcta y en el momento apropiado de la conversación. Del otro lado, la víctima tendrá la misma dificultad para percibir matices que le indiquen que se encuentra bajo ataque, aunque también cuenta con la facilidad del chat, que le permite ser más resistente a la empatía y por tanto disponer de más tiempo y control para verificar la información y saber si se encuentra ante un interlocutor válido o no. El tercer gran grupo de ataques de ingeniería social es el que carece de la presencia del atacante en el entorno de la víctima y además no puede haber interactividad entre ambas partes. Es el clásico escenario telemático, cuya versión más conocida es el "phising" o e-mails fraudulentos. El atacante envía los e-mails y espera a que la víctima lo abra, los lea e interactúe con ellos en base a sus propios deseos. Ya sea respondiendo al e-mail, ejecutando un archivo adjunto o accediendo a un determinado enlace. Otra versión de los ataques no presenciales y no interactivos sería el "dropping", que consiste en dejar olvidado de forma deliberada por parte del atacante una memoria USB, un disco o un teléfono, para que la víctima se sienta tentada a usarlo. Aunque este tercer tipo de ataques –los no presenciales ni interactivos– pueden desarrollarse incluso por correo postal, no es en la actualidad el medio más común, quedando reducido su uso al formato más habitual: el subconjunto de ataques telemáticos. Desde los ataques presenciales e interactivos a los remotos y no interactivos, la víctima tiene cada vez menos información sensorial sobre su atacante, pero el atacante también pierde la retroalimentación para saber cómo de bien o de mal está funcionando su estrategia. También, por este motivo, los ataques presenciales son muy especiales y limitados, mientras que los telemáticos son los más comunes en ataques masivos e indiscriminados, es decir, sin un objetivo concreto. Como potenciales víctimas ante conversaciones con desconocidos que pudieran estar tratando de engañarnos –cosa que no podemos saber– debemos preguntar. Hacer que sea la otra persona la que hable y pueda cometer errores. Además, el objetivo de esa otra persona es que nosotros hablemos o actuemos. De forma que debemos tomarnos las cosas con calma. En cuanto a ataques remotos, sean telefónicos o telemáticos, debemos tomarnos tiempo para verificar la información que nos aporta el interlocutor. Dado que no tenemos a la persona cara a cara, nos resultará más fácil poder despedirnos instándole, si es necesario, a contactar más tarde, cuando hayamos podido corroborar su argumentación.

Fundamentos de la ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.