Tips de seguridad de la información

 

Ingeniería social

 

En el ámbito de la seguridad de la información, la Ingeniería Social es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para obtener información o hacer que la víctima ejecute actividades más elaboradas.


Ciclo de la Ingeniería social

 

  • Investigación. El ciberdelincuente investiga a la víctima recogiendo información pública sobre ella, que sea de utilidad (en redes sociales, por ejemplo).

  • Gancho. El atacante elabora el engaño en torno a una o varias historias; tomando un rol en estas, que eventualmente le permitan ganarse la confianza de la víctima y tomar control de la situación.

  • Ejecución. El atacante pone en marcha su plan intentando manipular a la víctima para que le facilite la información que necesita o para que realice las actividades que se le indican.

  • Salida. Una vez logrado el objetivo, el ciberdelincuente corta la interrelación con la víctima. e intenta borrar los rastros que pudiera haber dejado para no ser descubierto.

 

Técnicas más comunes de Ingeniería social

 

Pretexting. 

Base de cualquier ataque de Ingeniería Social. Consiste en elaborar un escenario/historia ficticia donde el atacante tratará de que la víctima revele información que en circunstancias normales no revelaría.

Sextorsión. 

Chantaje donde amenazarán a la víctima con distribuir supuesto contenido comprometido de esta (aun cuando no exista tal contenido) si no accede a las peticiones del ciberdelincuente

Phishing / Smishing / Vishing

Correo electrónico, mensajes de texto o llamadas, donde el atacante simula ser una organización o persona de confianza, para solicitar información o distribuir malware mediante archivos o links anexos

Baiting

Se emplea un cebo con software malicioso a la vista de sus víctimas (una usb “olvidada” en un lugar público, por ejemplo), para que ellos mismos infecten sus dispositivos.

Shoulder Surfing

Consiste en mirar por “encima del hombro”. Al atacante le basta con observar lo que escribes o tienes en pantalla para obtener información muy útil

Dumpster Diving / Trashing

Se refiere al acto de “husmear en la basura” para obtener documentos con información personal o financiera

Quid pro Quo

Prometen un beneficio a cambio de información personal y suelen ser compensaciones en un formato de “regalo”

Redes Sociales

Mediante cupones de descuento, juegos, concursos, retos o tendencias,  recaban información adicional al perfil público


¿Cómo puedes protegerte?

 

  1. Ten cuidado con lo que publicas y compartes física, verbal o digitalmente en redes sociales, foros, grupos, eventos o ante cualquier tipo de encuestas.

  2. Si recibes llamadas, mensajes o visitas inesperadas, ignora, corta la conversación y si es posible bloquéala. Enso nunca te pedirá tus contraseñas para la atención de una solicitud de soporte.

  3. Antes de  hacer lo que te piden, comprueba que la persona o servicio que te visita, o está detrás de la llamada o mensaje, es realmente quien dice ser. Analiza los detalles, pregúntate si es correcto lo que te piden, y verifica con otras fuentes de confianza en caso de duda.

  4. Si crees ser víctima de un fraude, analiza tu dispositivo con un antivirus, cambia tus contraseñas y revisa las operaciones realizadas; busca periódicamente en internet información que te identifique para evitar mal uso de tu información personal. En caso de que encuentres que están usando tu información sin tu aprobación, reportalo y levanta una denuncia ante las instancias correspondientes.


Clave de publicación: CACE-SI-28-11-2022