Fundamentos de la ingeniería social para IT

Emulación de problemas técnicos como método de ataque

¡Prueba gratis durante 10 días

nuestros 1145 cursos !

Prueba gratis Mostrar modalidades de suscripción
Todos hemos sufrido problemas técnicos con el correo electrónico, la web, la computadora, la tarjeta de crédito, etc. Apelar a la empatía y a la emergencia es una técnica muy básica pero de muy alto rendimiento cuando la víctima no está mentalizada.

Transcripción

El que más y el que menos ha sufrido un bloqueo de la computadora, algún mensaje de error inesperado o una infección por malware que nos ha –como poco– interrumpido en nuestras actividades profesionales o lúdicas. Los problemas informáticos son algo que sufrimos en mayor o menor medida todos los que usamos computadoras. El hardware envejece y se estropea. El software tiene fallos o incompatibilidades con otras aplicaciones o con el propio sistema operativo. Tocamos configuraciones que no debemos. Las causas son casi tantas como los propios problemas. Uno de los pretextos más tradicionales empleados por ingenieros sociales es precisamente el del fallo informático y el soporte técnico. Es tan común, que incluso ha sido ilustrado con acierto en películas en las que los hackers parecen cualquier cosa menos informáticos. Tradicionalmente, el desarrollo de estos ataques está orientado a personas poco cualificadas en el uso de computadoras. Las víctimas pueden saber utilizar algunas aplicaciones muy bien como parte de su trabajo diario, pero carecen de verdaderos conocimientos de informática y es de lo que se aprovechan los atacantes. Además de ese dato sobre conocimientos, el perfil de la víctima se completa indicando su verdadera necesidad del uso de la computadora, lo que hoy es normal en una inmensa cantidad de puestos de trabajo. Cuando una de estas personas tiene un problema informático, normalmente llama al departamento de informática de su empresa –si es que existe– al servicio de soporte técnico que tenga subcontratado o a ese pariente o amigo que sabe de ordenadores para que se lo resuelva. Quitando el último de los tres casos, los otros dos interlocutores suelen ser gente preparada con una jerga profesional propia y que, como se suele decir, arreglan problemas que el empleado no sabía que tenía de una forma que no entienden. El pretexto del ingeniero social será anticipar el problema. El ataque se realiza normalmente por teléfono, interrumpiendo el trabajo de la víctima, que ya se encuentra frente a su computadora. El atacante se identificará como trabajador de un departamento o empresa de referencia en el que la víctima puede confiar. Si la empresa que sufre el ataque es lo suficientemente grande, el atacante puede hacerse pasar por miembro del departamento de administración de sistemas. Pero también es muy común que se haga pasar por empleado de una empresa proveedora de software. Uno de los pretextos más comúnmente utilizados por los atacantes ha sido ser ingenieros de Microsoft, ya que, estadísticamente, en cada empresa hay más de una computadora con Windows. Si el ingeniero social ha hecho investigaciones previas y sabe cómo funciona y a qué se dedica la empresa víctima, puede saber si emplean productos de Microsoft, de Apple o Linux, si emplean tecnología de Oracle o cuál es el proveedor de servicio de hosting web o incluso de acceso a Internet. Cualquier empresa cuyo nombre le resulta familiar a la víctima y cuyos productos usen en la empresa despertará confianza. El siguiente paso del atacante será informar a la víctima sobre un problema que realmente no existe, pero que es muy importante. Puede tratarse tan solo de una actualización para evitar un nuevo malware que está arruinando a otras empresas o puede ser un problema totalmente inventado. La gravedad del problema, junto con la oportunidad de solucionarlo y que no sea su computadora la que abra una brecha de seguridad de la empresa incitan a la víctima cooperar. Si el atacante convence a la víctima de la necesidad de poner remedio o prevenir el problema, el resto del proceso será indicar de dónde debe descargar una aplicación que realizará la actualización, corregirá el problema o lo que sea que el atacante prometiese. Como en algunas ocasiones, el atacante no sabe quién le responderá al teléfono, aprovechará para obtener datos de la persona e incluso pedirle la dirección de correo electrónico para, durante la conversación, enviarle un e-mail con el enlace de descarga de la solución al falso problema. Hemos presentado este tipo de ataques de ingeniería social orientados al hacking, pero pueden emplearse para conseguir acceso como falsos operarios de mantenimiento a un recinto o para cualquier otra idea similar. La defensa ante estos casos es la doble comprobación por vía alternativa. Lo primero es preguntarnos por qué una gran empresa de software nos llamaría a nosotros en lugar de al departamento de informática y por qué saben si tenemos o no un problema. Lo propio es que quien llame hable con el departamento de informática, y si carecemos de él, entonces lo más probable es que esa gran empresa no tenga nuestro número de teléfono, además de que ninguna empresa da soporte técnico gratuito. Si seguimos con dudas, siempre comprobad llamando a la empresa por vías alternativas, es decir, sin recurrir a la información de contacto que nos proporciona la persona, cuya identidad resulta sospechosa.

Fundamentos de la ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.