robot de la enciclopedia para niños

Ingeniería social (seguridad informática) para niños

Enciclopedia para niños
Archivo:Graphic on Fake News by VOA
Gráfico sobre sitios web de noticias falsas elaborado por VOA News.

La ingeniería social es una forma de obtener información secreta o privada usando la manipulación de personas. No se trata de atacar computadoras directamente, sino de engañar a los usuarios para que ellos mismos entreguen datos importantes. Es como un conjunto de trucos que algunas personas usan para conseguir acceso o permisos en sistemas de información. Su objetivo es causar daño a la persona o empresa afectada.

La idea principal de la ingeniería social es que, en cualquier sistema, las personas son el "punto más débil". Esto significa que es más fácil engañar a una persona que encontrar fallos en un programa de computadora.

Investigaciones recientes han mostrado que la ingeniería social será un gran desafío en los próximos años. Es muy importante que las organizaciones y los países aprendan sobre esto, ya que puede afectar incluso la política mundial.

¿Cómo funciona la Ingeniería Social?

Un "ingeniero social" suele usar el teléfono o Internet para engañar a la gente. Pueden hacerse pasar por un empleado de un banco, un compañero de trabajo, un técnico o un cliente. Por Internet, a veces envían correos electrónicos falsos que piden que renueves permisos de acceso a páginas web o que respondas con tus datos. También usan las famosas "cadenas de mensajes". Así, logran que las personas revelen sus contraseñas o información personal y privada.

Con este método, los ingenieros sociales aprovechan que las personas suelen reaccionar de forma predecible en ciertas situaciones. Por ejemplo, alguien podría dar sus datos bancarios a una persona que parece ser un empleado del banco. Esto es más fácil que buscar fallos en los sistemas de seguridad de las computadoras.

En 2018, una empresa llamada Equifax sufrió un ataque de ingeniería social muy conocido. Esto causó un robo de información que expuso datos personales de muchas personas, como números de identificación importantes y números de teléfono. Los atacantes se hicieron pasar por representantes de bancos para acceder a esta información.

  • La ingeniería social es un ataque que busca engañar a un usuario o administrador para ver información que no deberían.
  • Se hace para conseguir acceso a sistemas o datos útiles.
  • Los objetivos de la ingeniería social son el fraude o entrar sin permiso a una red.

Tipos de Ataques de Ingeniería Social

Pretextos: Historias Inventadas

El pretexto es cuando alguien inventa una historia o un escenario falso para que la víctima revele información personal o haga algo que normalmente no haría. Esta mentira elaborada a menudo requiere que el atacante investigue un poco sobre la víctima antes. Así, puede usar datos reales (como la fecha de nacimiento o información bancaria) para que la historia parezca verdadera.

El atacante puede hacerse pasar por un compañero de trabajo, la policía, el banco, o cualquier otra persona que la víctima crea que tiene derecho a pedir información. El "pretexter" solo necesita tener respuestas preparadas para las preguntas que la víctima pueda hacer. A veces, solo necesita una voz que suene con autoridad, un tono serio y la capacidad de inventar sobre la marcha.

Redes Sociales: Demasiada Información

Uno de los mayores peligros es que los usuarios, sobre todo los más jóvenes, ponen mucha información personal en sus redes sociales. Suben fotos de su familia, los lugares que visitan, sus gustos y otros detalles personales. Las redes sociales dan mucha información a los delincuentes para que puedan planear un ataque, como robar tu identidad o simplemente ser muy convincentes para ganarse tu confianza.

Phishing: Correos y Mensajes Falsos

El phishing es un ataque muy común y efectivo. Consiste en engañar a un usuario para que piense que un administrador del sistema le está pidiendo una contraseña por una razón legítima. Los usuarios de Internet a menudo reciben mensajes que piden contraseñas o información de tarjetas de crédito. Los motivos que dan suelen ser "crear una cuenta", "activar una configuración" o algo similar. A este tipo de ataques se les llama phishing (se pronuncia como "fishing", que significa "pesca"). Es muy importante que los usuarios sepan que nunca deben dar sus contraseñas o información privada a nadie que diga ser un administrador.

Otro ejemplo de ataque de ingeniería social son los archivos adjuntos en correos electrónicos. A veces, ofrecen fotos "privadas" de alguna persona famosa o un programa "gratis". Estos correos suelen parecer que vienen de alguien conocido, pero en realidad contienen programas maliciosos. Estos programas pueden, por ejemplo, usar tu computadora para enviar muchos correos no deseados (spam). Aunque ahora los programas de correo suelen evitar que los archivos adjuntos se abran solos, muchos usuarios los abren sin pensar, y así el ataque funciona.

La ingeniería social también se usa para manipular a las personas cara a cara y obtener acceso a sistemas informáticos. Por ejemplo, un atacante puede conocer mucho sobre la víctima para adivinar sus contraseñas, pensando: "¿Qué contraseña pondría yo si fuera esta persona?".

La mejor defensa contra la ingeniería social es educar y enseñar a los usuarios sobre las normas de seguridad y asegurarse de que las sigan.

Vishing: Llamadas Engañosas

El vishing es cuando se hacen llamadas telefónicas falsas, a menudo bajo la excusa de una encuesta. El objetivo es sacar información personal sin que la víctima sospeche.

Por eso, debemos tener cuidado y no dar información personal por teléfono, incluso si dicen ser de nuestra compañía de teléfono, electricidad o agua. Podría ser un atacante que nos ha llamado al azar.

Troyana: Programas Escondidos

El método del caballo de Troya se ha usado en ataques a sistemas de "computación en la nube". Un ataque troyano intenta meter una aplicación o servicio en el sistema que puede cambiar o detener sus funciones. Cuando el sistema en la nube cree que el ataque es legítimo, el programa malicioso se ejecuta y puede dañar o infectar el sistema.

Baiting: Dispositivos Infectados

En el baiting, se usa un dispositivo de almacenamiento (como un CD, DVD o USB) que tiene un programa malicioso. Se deja en un lugar donde sea fácil de encontrar, como baños públicos, ascensores o aceras. Cuando la víctima encuentra el dispositivo y lo conecta a su computadora, el programa se instala y permite que el atacante obtenga todos los datos personales del usuario.

Quid pro quo: "Algo por Algo"

Quid pro quo significa "algo por algo". En este ataque, el atacante llama a números al azar en una empresa, diciendo que llama del soporte técnico. Le dice a alguien que tiene un problema real y se ofrece a ayudarle. Durante el proceso, consigue los datos de acceso de la persona y puede instalar un programa malicioso.

En una encuesta de seguridad de 2003, el 90% de los trabajadores de una oficina dieron lo que decían ser su contraseña a los atacantes a cambio de un bolígrafo. Estudios similares en años posteriores tuvieron resultados parecidos usando chocolates u otros objetos baratos.

Personas Conocidas en Ingeniería Social

Frank Abagnale Jr.

Frank Abagnale Jr. es un consultor de seguridad de Estados Unidos. Es famoso por haber sido un estafador y falsificador cuando era muy joven, entre los 15 y los 21 años. Se hizo pasar por muchas personas, como un piloto de avión, un médico, un agente del gobierno y un abogado. Abagnale escapó de la policía dos veces antes de cumplir 22 años. La película "Atrápame si puedes", dirigida por Steven Spielberg, está basada en su vida.

Kevin Mitnick

Kevin Mitnick fue un consultor de seguridad informática y autor. Fue conocido por su arresto en 1995 y su condena de cinco años por varios delitos relacionados con computadoras y comunicaciones.

Susan Headley

Susan Headley fue una experta en seguridad informática activa en los años 70 y 80. Era muy respetada por su habilidad en ingeniería social y en engañar a las personas. Era conocida por su especialidad en entrar en sistemas informáticos militares. Se involucró con Kevin Mitnick en Los Ángeles, pero luego los acusó de borrar archivos de un sistema, lo que llevó a la primera condena de Mitnick. Después, se dedicó a jugar al póquer de forma profesional.

Hermanos Badir

Los hermanos Ramy, Muzher y Shadde Badir, que nacieron ciegos, lograron crear un gran plan de fraude telefónico y por computadora en Israel en los años 90. Usaron ingeniería social, imitación de voces y computadoras con Línea braille.

Christopher J. Hadnagy

Christopher J. Hadnagy es un ingeniero social y consultor de seguridad en tecnología de la información de Estados Unidos. Ha escrito cuatro libros sobre ingeniería social y seguridad cibernética. También es el fundador de la Innocent Lives Foundation, una organización que ayuda a rastrear e identificar a personas que hacen daño a niños, usando técnicas de seguridad y colaborando con la policía.

Véase también

Kids robot.svg En inglés: Social engineering Facts for Kids

kids search engine
Ingeniería social (seguridad informática) para Niños. Enciclopedia Kiddle.