Ataque de ingeniería social
La ingeniería social es un ataque psicológico en el que los piratas informáticos manipulan a las personas para que revelen secretos, den sus contraseñas o concedan acceso.
La ingeniería social explota la psicología humana en lugar de vulnerabilidades técnicas para engañar a los usuarios y conseguir que revelen datos confidenciales o concedan acceso a sistemas seguros. Este tipo de ataque es bastante complejo, ya que manipula la confianza, la urgencia o la autoridad para eludir controles de seguridad que son tan heurísticos como técnicos.
¿Cuáles son las tácticas comunes de ingeniería social?
- Cebo: Dejar una unidad USB infectada con malware en un lugar público, con la esperanza de que un empleado curioso la conecte a una computadora de trabajo.
- Pretextos: Crear un escenario inventado (el "pretexto") para robar información, como por ejemplo un atacante que se hace pasar por un auditor de TI y necesita "verificar" sus credenciales.
- Seguir de cerca: Seguir a una persona autorizada a un área física restringida (como una oficina o sala de servidores) simplemente caminando detrás de ella.
- Compensación: Ofrecer un servicio o beneficio (como "soporte técnico gratuito") a cambio de información confidencial o acceso al sistema.
¿Por qué es tan efectiva la ingeniería social?
Un sistema se puede arreglar, pero la naturaleza humana es constante. Los atacantes suelen utilizar IA generativa para investigar objetivos en LinkedIn y las redes sociales, lo que les permite crear ataques de "spear phishing" altamente personalizados que son casi indistinguibles de las solicitudes legítimas.