1.1. En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
2. Qué tiene que ver la Ingeniería Social con la seguridad informática
2.1. La seguridad informática tiene por objetivo el asegurar que los datos que almacenan nuestros ordenadores se mantengan libres de cualquier problema, y que el servicio que nuestros sistemas prestan se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares como: Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas. La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente. La definición de entornos en los que las copias de seguridad han de guardarse para ser seguros y como hacer esas copias. El control del acceso físico a los sistemas. La elección de un hardware y de un software que no de problemas. La correcta formación de los usuarios del sistema. El desarrollo de planes de contingencia.
3. Tecnicas de ingenieria social
3.1. Técnicas Pasivas: -Observación Técnicas no presenciales: -Recuperar la contraseña -Ingeniería Social y Mail -IRC u otros chats -Teléfono -Carta y fax Técnicas presenciales no agresivas: -Buscando en La basura -Mirando por encima del hombro -Seguimiento de personas y vehículos -Vigilancia de Edificios Inducción -Entrada en Hospitales -Acreditaciones -Ingeniería social en situaciones de crisis -Ingeniería social en aviones y trenes de alta velocidad -Agendas y teléfonos móviles -Desinformación Métodos agresivos -Suplantación de personalidad -Chantaje o extorsión -Despersonalización -Presión psicológica
4. ¿Cómo puede protegerse?
4.1. La mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido común y no divulgando información que podría poner en peligro la seguridad de la compañía. Sin importar el tipo de información solicitada, se aconseja que: averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico); si es posible, verifique la información proporcionada; pregúntese qué importancia tiene la información requerida. En este contexto, puede ser necesario capacitar a los usuarios para que tomen conciencia acerca de los problemas de seguridad.
5. El arma infalible
5.1. La Ingeniería Social continúa siendo una de las metodologías de ataque más utilizada por creadores de malware y usuarios con fines maliciosos debido al alto nivel de eficacia logrado engañando al usuario. Frente a este panorama, resulta fundamental que los usuarios conozcan las artimañas que circulan en Internet para evitar ser víctimas de engaño que suelen apuntar al robo de identidad o de dinero. Autor: Cristian Borghello, Technical & Educational Manager de ESET Latinoamérica. En el informe "El arma infalible: la Ingeniería Social" se analiza la importancia de conocer cómo funciona la Ingeniería Social, cuáles son los objetivos que persigue, quiénes son sus víctimas y cuáles son las razones por las que continúa siendo una de las principales técnicas de ataque utilizadas actualmente por los creadores de malware y usuarios con fines maliciosos. En el articulo además, se explican las formas de Ingeniería Social más utilizadas en la actualidad. Para leer el artículo en forma completa, se puede ir al enlace http://www.eset-la.com/pdf/prensa/informe/arma_infalible_ingenieria_social.pdf
6. Ataque simple
6.1. Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.
