En el contexto de la seguridad de la información , la ingeniería social es la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial . Un tipo de truco de confianza con el fin de recopilar información, fraude o acceso al sistema, se diferencia de una "estafa" tradicional en que a menudo es uno de los muchos pasos en un esquema de fraude más complejo. [1] También se ha definido como "cualquier acto que influya en una persona para que realice una acción que puede o no ser lo mejor para sus intereses". [2]
La investigación realizada en 2020 ha indicado que la ingeniería social será uno de los desafíos más destacados de la próxima década. Tener competencia en ingeniería social será cada vez más importante para las organizaciones y los países, debido también al impacto en la geopolítica . La ingeniería social plantea la cuestión de si nuestras decisiones estarán informadas con precisión si nuestra información primaria está diseñada y está sesgada. [3]
Los ataques de ingeniería social han aumentado en intensidad y número, lo que consolida la necesidad de nuevas técnicas de detección y programas educativos sobre seguridad cibernética. [4]
Todas las técnicas de ingeniería social se basan en atributos de la toma de decisiones humana conocidos como sesgos cognitivos . [5] [6]
Un ejemplo de ingeniería social es un individuo que entra a un edificio y publica un anuncio de aspecto oficial en el boletín de la empresa que dice que el número del servicio de asistencia ha cambiado. Entonces, cuando los empleados piden ayuda, el individuo les pide sus contraseñas e identificaciones, obteniendo así la capacidad de acceder a la información privada de la empresa. Otro ejemplo de ingeniería social sería que el hacker se pusiera en contacto con el objetivo en un sitio de redes sociales e iniciara una conversación con él. Poco a poco, el pirata informático se gana la confianza del objetivo y luego utiliza esa confianza para obtener acceso a información confidencial como contraseñas o detalles de cuentas bancarias. [7]
En 2018, Equifax fue víctima de un notable ataque de ingeniería social, que resultó en una violación de datos que expuso información personal, incluidos números de seguro social, detalles de licencia de conducir y números de teléfonos móviles. Esta infracción afectó a 145,5 millones de estadounidenses. Como empresa de informes crediticios, la empresa se convirtió en el objetivo de los piratas informáticos que hábilmente se hacían pasar por representantes de instituciones financieras como Bank of America para acceder ilícitamente a los datos personales de las personas. [ cita necesaria ]
Pretextar (adj. pretextual ) es el acto de crear y utilizar un escenario inventado (el pretexto ) para involucrar a una víctima específica de una manera que aumente las posibilidades de que la víctima divulgue información o realice acciones que serían poco probables en circunstancias normales. [8] Una mentira elaborada , que a menudo implica alguna investigación o configuración previa y el uso de esta información para suplantación ( por ejemplo , fecha de nacimiento, número de Seguro Social , monto de la última factura) para establecer la legitimidad en la mente del objetivo. [9]
Water holing es una estrategia de ingeniería social dirigida que aprovecha la confianza que los usuarios tienen en los sitios web que visitan regularmente. La víctima se siente segura para hacer cosas que no haría en una situación diferente. Una persona cautelosa podría, por ejemplo, evitar intencionadamente hacer clic en un enlace de un correo electrónico no solicitado, pero la misma persona no dudaría en seguir un enlace de un sitio web que visita con frecuencia. Entonces, el atacante prepara una trampa para la presa desprevenida en un abrevadero favorito. Esta estrategia se ha utilizado con éxito para obtener acceso a algunos sistemas (supuestamente) muy seguros. [10]
El cebo es como el caballo de Troya del mundo real que utiliza medios físicos y se basa en la curiosidad o la codicia de la víctima. [11] En este ataque , los atacantes dejan disquetes , CD-ROM o unidades flash USB infectados con malware en lugares donde la gente los encontrará (baños, ascensores, aceras, estacionamientos, etc.), les dan información legítima y que despiertan la curiosidad. etiquetas y esperar a las víctimas.
A menos que los controles de la computadora bloqueen las infecciones, la inserción compromete los medios de "ejecución automática" de la PC. También se pueden utilizar dispositivos hostiles. [12] Por ejemplo, un "afortunado ganador" recibe un reproductor de audio digital gratuito que compromete cualquier computadora a la que esté conectado. Una " manzana de carretera " (el término coloquial para referirse al estiércol de caballo , que sugiere la naturaleza indeseable del dispositivo) es cualquier medio extraíble con software malicioso dejado en lugares oportunistas o visibles. Puede ser un CD, un DVD o una unidad flash USB , entre otros medios. Los curiosos lo toman y lo conectan a una computadora, infectando el host y las redes conectadas. Una vez más, los piratas informáticos pueden ponerles etiquetas atractivas, como "Salarios de los empleados" o "Confidencial". [13]
En un estudio publicado en 2016, los investigadores dejaron caer 297 unidades USB en el campus de la Universidad de Illinois. Las unidades contenían archivos que enlazaban a páginas web propiedad de los investigadores. Los investigadores pudieron ver cuántas de las unidades tenían archivos abiertos, pero no cuántas estaban insertadas en una computadora sin tener un archivo abierto. De las 297 unidades que se descartaron, 290 (98%) fueron recogidas y 135 (45%) "llamadas a casa". [14]
Susan Headley se involucró en phreaking con Kevin Mitnick y Lewis de Payne en Los Ángeles , pero luego los incriminó por borrar los archivos del sistema en US Leasing después de una pelea, lo que llevó a la primera condena de Mitnick. Se retiró al póquer profesional. [15]
Mike Ridpath Consultor de seguridad, autor publicado y orador. Miembro anterior de w00w00 . Enfatiza técnicas y tácticas para llamadas en frío de ingeniería social . Se hizo notable después de sus charlas en las que reproducía llamadas grabadas y explicaba su proceso de pensamiento sobre lo que estaba haciendo para obtener contraseñas a través del teléfono y sus demostraciones en vivo. [16] [17] [18] [19] [20] Cuando era niño, Ridpath estaba conectado con Badir Brothers y era ampliamente conocido dentro de la comunidad de phreaking y hacking por sus artículos en revistas electrónicas clandestinas populares , como Phrack, B4B0 y 9x. sobre modificación de Oki 900, blueboxing, piratería de satélites y RCMAC. [21] [22]
Los hermanos Ramy, Muzher y Shadde Badir, todos ciegos de nacimiento, lograron establecer un extenso plan de fraude telefónico e informático en Israel en la década de 1990 utilizando ingeniería social, suplantación de voz y computadoras con pantalla Braille . [23] [24]
Christopher J. Hadnagy es un ingeniero social y consultor de seguridad de tecnologías de la información estadounidense. Es mejor conocido como autor de 4 libros sobre ingeniería social y seguridad cibernética [25] [26] [27] [28] y fundador de Innocent Lives Foundation, una organización que ayuda a rastrear e identificar la trata de niños buscando ayuda de información. especialistas en seguridad, utilizando datos de inteligencia de código abierto (OSINT) y colaborando con las fuerzas del orden. [29] [30]
En el derecho consuetudinario , el pretexto es una invasión de la privacidad , un agravio de apropiación. [31]
En diciembre de 2006, el Congreso de los Estados Unidos aprobó un proyecto de ley patrocinado por el Senado que convertía el pretexto de registros telefónicos en un delito federal con multas de hasta 250.000 dólares y diez años de prisión para los individuos (o multas de hasta 500.000 dólares para las empresas). Fue firmado por el presidente George W. Bush el 12 de enero de 2007. [32]
La Ley Gramm-Leach-Bliley (GLBA) de 1999 es una ley federal de EE. UU . que aborda específicamente el pretexto de registros bancarios como un acto ilegal punible según los estatutos federales. Cuando una entidad comercial, como un investigador privado, un investigador de seguros de la SIU o un tasador, realiza cualquier tipo de engaño, está bajo la autoridad de la Comisión Federal de Comercio (FTC). Esta agencia federal tiene la obligación y la autoridad de garantizar que los consumidores no estén sujetos a prácticas comerciales desleales o engañosas. La Ley de la Comisión Federal de Comercio de los Estados Unidos, Sección 5 de la FTCA establece, en parte: "Siempre que la Comisión tenga motivos para creer que cualquier persona, sociedad o corporación ha estado utilizando o está utilizando algún método de competencia desleal o acto o acto desleal o engañoso, práctica en el comercio o que lo afecte, y si a la Comisión le parece que un procedimiento realizado por ella al respecto sería de interés público, emitirá y entregará a dicha persona, sociedad o corporación una queja declarando sus cargos en ese respeto."
El estatuto establece que cuando alguien obtiene información personal y no pública de una institución financiera o del consumidor, su acción está sujeta al estatuto. Se relaciona con la relación del consumidor con la institución financiera. Por ejemplo, un pretexto que utilice pretextos falsos, ya sea para obtener la dirección de un consumidor del banco del consumidor, o para lograr que un consumidor revele el nombre de su banco, estaría cubierto. El principio determinante es que el pretexto sólo ocurre cuando la información se obtiene mediante pretextos falsos.
Si bien la venta de registros de teléfonos móviles ha atraído una importante atención de los medios de comunicación y los registros de telecomunicaciones son el centro de los dos proyectos de ley que se encuentran actualmente ante el Senado de los Estados Unidos , muchos otros tipos de registros privados se están comprando y vendiendo en el mercado público. Además de muchos anuncios de registros de teléfonos móviles, se anuncian registros de líneas fijas y registros asociados con tarjetas telefónicas. A medida que las personas opten por los teléfonos VoIP, es seguro asumir que esos registros también se pondrán a la venta. Actualmente, es legal vender registros telefónicos, pero ilegal obtenerlos. [33]
El representante estadounidense Fred Upton (R- Kalamazoo , Michigan), presidente del Subcomité de Energía y Comercio sobre Telecomunicaciones e Internet, expresó su preocupación por el fácil acceso a registros personales de teléfonos móviles en Internet durante una audiencia del Comité de Energía y Comercio de la Cámara de Representantes sobre " Registros telefónicos a la venta: ¿Por qué los registros telefónicos no están a salvo de pretextos? " Illinois se convirtió en el primer estado en demandar a un corredor de registros en línea cuando la Fiscal General Lisa Madigan demandó a 1st Source Information Specialists, Inc., dijo una portavoz de la oficina de Madigan. La empresa con sede en Florida opera varios sitios web que venden registros de teléfonos móviles, según una copia de la demanda. Los fiscales generales de Florida y Missouri rápidamente siguieron el ejemplo de Madigan y presentaron demandas, respectivamente, contra 1st Source Information Specialists y, en el caso de Missouri, contra otro corredor de registros: First Data Solutions, Inc.
Varios proveedores de servicios inalámbricos, incluidos T-Mobile, Verizon y Cingular, presentaron demandas anteriores contra corredores de registros, y Cingular ganó una orden judicial contra First Data Solutions y 1st Source Information Specialists. El senador estadounidense Charles Schumer (demócrata por Nueva York) presentó en febrero de 2006 una legislación destinada a frenar esta práctica. La Ley de Protección de Registros Telefónicos del Consumidor de 2006 crearía sanciones penales por delitos graves por robar y vender registros de suscriptores de teléfonos móviles, fijos y de Voz sobre Protocolo de Internet (VoIP).
Patricia Dunn , expresidenta de Hewlett Packard , informó que la junta directiva de HP contrató a una empresa de investigación privada para ahondar en quiénes eran los responsables de las filtraciones dentro de la junta. Dunn reconoció que la empresa utilizó la práctica de pretextar para solicitar registros telefónicos de miembros de la junta directiva y periodistas. Más tarde, el presidente Dunn se disculpó por este acto y se ofreció a dimitir de la junta si así lo deseaban los miembros de la junta. [34] A diferencia de la ley federal, la ley de California prohíbe específicamente tales pretextos. Los cuatro cargos por delitos graves presentados contra Dunn fueron desestimados. [35]
{{cite web}}
: Mantenimiento CS1: copia archivada como título ( enlace ){{cite journal}}
: Citar diario requiere |journal=
( ayuda )