Dec, 19-2022
Ingeniería social
0 Comments
Técnicas de ingeniería social: así atacan al eslabón más débil de la ciberseguridad

Whaling: es un tipo de ataque de spear phishing, su objetivo es agarrar un peso pesado de la empresa. Los atacantes cibernéticos consideran a los altos mandos high level como whales de aquí surge el nombre de este tipo de ataque de ingeniería social.

Spam: mensaje por correo electrónico que recibimos de manera no deseada, el envío se produce de manera masiva a múltiples usuarios. No siempre el correo no deseado debe ser malicioso, aunque la mayoría de las veces este puede contener enlaces maliciosos o difundir información que no es real.

 

Spim: es un spam realizado en mensajería instantánea, que quiere decir, estos mensajes de spam se reciben a través de whatsapp, telegram, DM instagram y facebook, etc. detectarlo es más complejo que un spam tradicional.

 

Dumpster Diving: el atacante bucea por decirlo de alguna manera en la basura de una empresa, esto con el objetivo de obtener información de documentos que iban a ser reciclados por la organización. Para que tu información reciclada no caiga en manos de atacantes es necesario destruirla. Hay un dicho muy clásico que si la basura de una persona es el tesoro de otra. 

 

Shoulder surfing: este tipo de ataque se trata de observar datos de usuarios finales que introduce a través del teclado y que se refleja en la pantalla. de esta forma el atacante obtiene lo que quiere, que es información sensible. Su nombre en español significa mirar por encima del hombro para conseguir información. Para evitar este tipo de ataques existen en el mercado pantallas que se oscurecen dependiendo del ángulo que este se mire, por lo que solo la persona que está frente al computador pueda mirar la información. 

 

Pharming: práctica que consiste en dirigirte a una web falsa que simula ser legítima, de esta forma el atacante roba los datos de la víctima. Su nombre es la mezcla de phishing y farming. El atacante suele venir de ataques sobre DNS, cuando se busca el nombre del dominio este lo traduce a una IP maliciosa que le pertenece al atacante.

 

Tailgating: práctica que sigue a la víctima, para acceder con ella a un área restringida. Técnica que se aprovecha de la generosidad de las personas, muchas veces uno por cortesía aguarda en la puerta para dejar pasar al que viene atrás de uno, en otras ocasiones el atacante busca tener un mayor grado de complicidad con la víctima, brindándole fuego si estos se encuentran en área de fumadores, uno por devolver la amabilidad también aguarda en la puerta para que ambas personas entren a un sitio que uno de ellos no tiene acceso. Para evitar este tipo de accesos restringidos, se sugiere contar con sistemas de accesos, por ejemplo, de tornos (como los que vemos en metros y gimnasios)

 

Identity fraud: el atacante se apropia de la identidad de otra persona por medio de la usurpación, esto con un objetivo en claro, la de acceder a información sensible y recursos de la víctima para conseguir beneficios de estos. Esta técnica también es utilizada por los atacantes solo para manchar la reputación de otra persona. 

 

Invoices scam: el atacante emite facturas falsas y se las envía a sus víctimas, si la víctima no se detiene por un momento para revisar si el monto de la factura es el real, este cae en la trampa del atacante y termina pagando lo que la factura dice. Otras veces el atacante envía mensajes de alerta como que es urgente que pague si no sus servicios serán cortados. Juegan con el miedo para aprovecharse de las víctimas. 

Credential harvesting: los atacantes utilizan distintas herramientas para recolectar contraseñas, una vez que consiguen las contraseñas que quieren, pueden acceder a los mismos beneficios del de sus víctimas. Es importante concienciar contra el phishing y utilizar la autenticación en 2 pasos, esto reducirá la amenaza de que un atacante logre llegar a tu información. 

 

Typo squatting: consiste en utilizar el nombre de un dominio que simula ser el legítimo, pero en realidad no lo es. siempre es bueno pasar el mouse por la URL y ver si esta cuenta con el candado es importante también fijarse si el dominio tiene inconsistencias claves, como, por ejemplo, errores ortográficos, mala redacción, etc. EL atacante sabe a quién dirigirse cuando se trata de este tipo de ataque, ya que muchas veces las víctimas no tienen conocimiento de cómo darse cuenta de que es un sitio ilegal.

 

Conclusiones:

 

Estas son algunas de las técnicas más empleadas por los atacantes cibernéticos si hablamos de ingeniería social, aunque es una ilusión pensar que ellos solo utilizan este tipo de técnicas, si hoy nombramos 11 podríamos estar un día entero enumerando muchas más (que en próximos artículos lo haremos para que usted y sus usuarios finales se encuentren informado de cómo detener estos tipos de ataques. Además, hay que tener en cuenta que cada vez aparecen nuevas tecnologías, y por supuesto la imaginación de los cibercriminales desarrolla nuevas estafas para adaptarlas a los nuevos tiempos. Así es, cada vez surgen más engaños relacionados a las tendencias más recientes de las redes sociales, ingeniería social con criptomonedas y ya se empieza a hablar de la ingeniería social en el metaverso. Como siempre repetimos, la seguridad 100% no está garantizada, pero con concienciación y formación se puede luchar por un mundo más ciberseguro.

 

Elena fabiola Farfán Morales
Profesional de las comunicaciones, relacionadora publica hoy viviendo la pasión de conectar atraves de la generación de contenido

Categorías

Tendencias
32
Motivacion
2
Concienciación
7
CIS Controls
3
Ransomware
14
Phishing
8
Cracker
2
Actualidad
23
ISO 27001
11
Ingeniería social
6
3CX
2
Análisis y opinión
8
Consejos
4
Backup
7
Firewalls
1
Zero Trust
1
Hackers
2
Ciberseguridad
79
AI
2
Biometría
1
Inteligencia Artificial
2
Portal de Clientes
7
PRTG
4

Noticias recientes

Fortalecimiento del ecosistema de correo electrónico: nuevos requisitos de Outlook para remitentes d Fortalecimiento del ecosistema de correo electrónico: nuevos requisitos de Outlook para remitentes d
8 Layer LATAM: Reflexiones sobre la Ciberseguridad en 2024 y Perspectivas para 2025 8 Layer LATAM: Reflexiones sobre la Ciberseguridad en 2024 y Perspectivas para 2025
Protege tus compras online este Black Friday con los expertos en ciberseguridad de 8Layer Protege tus compras online este Black Friday con los expertos en ciberseguridad de 8Layer
Veeam, líder número uno en resiliencia de datos, mejora Veeam Data Cloud Vault Veeam, líder número uno en resiliencia de datos, mejora Veeam Data Cloud Vault

Relacionado

Ver todos
Smishing: no te dejes engañar
El smishing es una técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un
Elena fabiola Farfán Morales
Dec, 16-2022 Ingeniería social
¿Qué es el spear phishing? ciber ataques personalizados
El spear phishing es una variante del phishing. En lugar de dirigirse a un público lo más amplio po
Elena fabiola Farfán Morales
Dec, 19-2022 Ingeniería social
Advierten que los ciberataques de ingeniería social se duplicarán en 2023
Advierten que los ciberataques de ingeniería social se duplicarán en 2023
Elena fabiola Farfán Morales
Jan, 09-2023 Ingeniería social
Proteger la empresa o emprendimiento de malware
El malware, (del inglés malicious software), es un software malicioso que puede realizar acciones da
Elena fabiola Farfán Morales
Jan, 24-2023 Ingeniería social