Vamos a actualizar nuestra Política de privacidad próximamente. Te recomendamos consultar el avance.

Ingeniería social para IT

La excusa dentro de un ataque vía ingeniería social

¡Prueba gratis durante 10 días

nuestros 1289 cursos !

Prueba gratis Mostrar modalidades de suscripción
Las personas necesitamos razones para entender por qué pasan las cosas y, sobre todo, para dejar que otras personas hagan lo que hacen. Esto es lo que nos va a dar siempre un ingeniero social: una excusa o un pretexto.

Transcripción

La excusa es tanto una de las bases de la ingeniería social como una técnica en sí misma. ¿Por qué? Pues es uno de los fundamentos, porque sea lo que sea lo que un atacante quiera que hagamos, será más fácil si hay una excusa, una motivación para hacerlo. Y es una técnica, porque da nombre a la historia que el atacante construye para que nos creamos su excusa. A esta técnica se le conoce normalmente como "pretexting" y consiste por parte del atacante en construir un personaje, unas circunstancias y una motivación. A partir de ese diseño de personaje jugando ese rol, el ingeniero social acudirá a nosotros con el pretexto, la excusa que ha diseñado para dicho personaje. Hay experimentos que demuestran que cualquier excusa o pretexto, por absurdo que sea, puede hacer que las personas que lo escuchan cedan ante quien lo cuenta. El caso más curioso, el de una fila de gente esperando turno para hacer fotocopias. Si pretendemos por las buenas adelantarnos a los demás que hay haciendo cola y ponernos los primeros, no nos lo permitirán, pero si pronunciamos cualquier excusa, el nivel de reticencia bajará. Algo tan sencillo como "disculpa, tengo prisa" o tan absurdo como "es que tengo que hacer unas fotocopias", obviamente tienes que hacerlas, por eso estás allí, pero en el momento en que emites el pretexto, la primera reacción subconsciente de quienes estaban esperando antes de ti es pensar que tienes una excusa. Luego quizás reaccionen al pensar que carece de sentido, pero ya has ganado gran parte del camino. Obviamente los pretextos de un atacante que desea que desvelemos información de nuestra empresa o acceder a áreas restringidas de la misma están más elaborados, aunque muchas veces, a falta de planes mejores, se basan en estereotipos. El pretexto permite al atacante entablar la conversación con el objetivo. Puede ser un falso repartidor que acude a nuestra oficina a entregar un paquete o alguien cuyo nombre desconoce. Puede ser una llamada telefónica avisándonos de un problema en nuestra cuenta del banco o sobre un problema informático. O un email que nos alerta de que tenemos una carta pendiente de entrega. En todos los ejemplos siempre hay pretextos comunes y cotidianos. Cualquiera tenemos cuentas bancarias, recibimos correo o paquetería, tenemos problemas con la computadora y muchas cosas más. La excusa o el pretexto pasa de ser un fundamento a una técnica cuando el ingeniero social desarrolla su personaje. Se ha inventado nombre y apellidos, una tarjeta de visita, una acreditación de la empresa para la que simula trabajar, un uniforme, etc., cualquier cosa que le haga parecer quien dice ser. Incluso si la aproximación a su víctima es flirteando en un pub, debe aparentar que está ahí para eso. Todo el personaje, desde el calzado al peinado, pasando por la forma de hablar y de moverse, debe respaldar el pretexto del atacante. Además, el atacante deberá construir la historia, esa que da excusa a su personaje para aproximarse a nosotros, que puede ser cualquier cosa cotidiana, como los ejemplos anteriores, o cosas más específicas si ha podido estudiarnos y recopilar información, como por ejemplo pretender ser un profesor de la escuela de nuestros hijos, empleado de una empresa concreta que sea proveedora o cliente de la nuestra. Una vez que el atacante tiene su rol y su excusa lo que debe hacer es mantenerlas, no puede dudar o nosotros lo notaremos. Cuanto mejor prepare sus escenarios, más fácil le resultará mantener la mentira y es así como nosotros podemos intentar descubrir el engaño. Como hemos dicho, estamos psicológicamente educados para pensar que toda acción tiene una reacción. Vivimos en un mundo casual, por lo que si alguien quiere algo y tiene una excusa o motivo para ello, tendemos a verlo normal incluso aunque no lo sea. Por eso, la pregunta que más nos hacemos ante los actos de los demás es ¿por qué? Porque aceptamos mejor cualquier cosa que esté motivada, aunque sea de forma ilógica. Para defendernos tenemos que preguntar, siempre preguntar. Cuantas más preguntas hagamos a esa persona que no conocemos y que llega solicitando ayuda o información, que parece tan natural pero que no sabemos de dónde viene o con qué intenciones, más probabilidades tendremos de detectar inconsistencias en su historia, en su pretexto y en su personaje. Cuanto más acosemos al potencial atacante con preguntas que deben ser siempre lógicas, más probable es que alcancemos un nivel de profundidad para el que el personaje no tenga respuestas, por lo que el ingeniero social tendrá que improvisar: que no es solo pararse a pensar la nueva respuesta, sino que además tiene que estar seguro de que no se contradice en nada con lo que nos ha estado contando antes. Por eso los protocolos de actuación en todo aspecto de nuestra empresa son la mejor defensa, porque anulan o minimizan la interacción de nuestra psique, reduciendo la ventana de oportunidad de los atacantes. Y si logran mantener la conversación y continuar con ella, tenemos que tratar de descubrir su veracidad o mentira mediante preguntas y también contrastarla con fuentes que no proporcione el mismo potencial atacante.

Ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.