Ingeniería Social: manipulación y acecho | Seguridad Informática

avatar


Está por iniciar una nueva temporada de Hive desde Cero, y una vez más, estaré colaborando en este bonito proyecto educativo abordando el tema de Seguridad Informática. Esto me motiva a seguir escribiendo y documentando los temas que acostumbro mencionar en mis clases. Uno de ellos, tal vez sea al que menos se le presta atención, pero que, paradójicamente, suele ser el flanco más vulnerable del usuario final. Es momento de hablar de la Ingeniería Social.

Entre las muchas amenazas en línea, la Ingeniería Social emerge como una de las tácticas más efectivas utilizadas por actores maliciosos para comprometer la información y los sistemas de sus víctimas. El término, por sí solo, evoca astucia e ingenio. Básicamente, se trata de obtener información confidencial, y para ello emplea técnicas de manipulación psicológica. Olvídate de compararlo con un ataque de fuerza bruta. La inteligencia social está lejos de parecerse a un ataque informático tradicional que explota vulnerabilidades técnicas; esta práctica es mucho más sutil y sofisticada, se centra específicamente en la persuasión y la manipulación de la confianza.


Esta forma de ataque, literalmente, tiene varios rostros, pues estamos hablando de términos como suplantación de identidad, phishing, pretexting e ingeniería social inversa. Desde "pescar" datos mediante la persuasión para hacer clic en enlaces fraudulentos, rellenar falsos formularios, hasta suplantar identidades de manera tan convincente que las víctimas no puedan sospechar. La ingeniería social está plagada de artimañas; el atacante se vale de los recursos que sean necesarios para persuadir, fustigar o amenazar; pero también, para empatizar, agradar y convencer.

El modus operandi, si podemos llamarlo así, se basa en una investigación previa a la víctima, lo que incluye la recopilación de información útil y comprometedora. Le sigue el señuelo, el gancho para "pescar" a la víctima, y una vez que tiene su atención, lo lleva al paredón de fusilamiento, lo ejecuta, lo quiebra psicológicamente, y gana. Por último, limpia la escena del crimen, sin sangre ni huellas. Un crimen casi perfecto.

! [ENGLISH VERSION]
The new season of Hive from Scratch is about to begin, and once again, I will be collaborating on this beautiful educational project, addressing the topic of Cybersecurity. This motivates me to continue writing and documenting the subjects I usually cover in my classes. One of them, perhaps the least paid attention to, yet paradoxically the most vulnerable flank of the end user is the focus of discussion now: Social Engineering.

Among the many online threats, Social Engineering emerges as one of the most effective tactics used by malicious actors to compromise the information and systems of their victims. The term alone evokes cunning and ingenuity. Essentially, it is about obtaining confidential information using psychological manipulation techniques. Forget about comparing it to a brute force attack; social intelligence is far from resembling a traditional cyber attack that exploits technical vulnerabilities; this practice is much more subtle and sophisticated, focusing specifically on persuasion and trust manipulation.

This form of attack literally wears various faces, as we are talking about terms such as identity theft, phishing, pretexting, and reverse social engineering. From "fishing" for data through persuasion to clicking on fraudulent links, filling out fake forms, to impersonating identities so convincingly that victims can't suspect. Social engineering is riddled with tricks; the attacker uses whatever resources are necessary to persuade, intimidate, or threaten, but also to empathize, please, and convince.

The modus operandi, if we can call it that, is based on prior research on the victim, including the collection of useful and compromising information. It follows the bait, the hook to "fish" the victim, and once it has their attention, it leads them to the firing squad, executes them, breaks them psychologically, and wins. Finally, it cleans the crime scene, without blood or traces. Almost a perfect crime.

El terreno de las emociones es complejo y delicado, un verdadero campo minado donde cualquier paso en falso puede detonar una explosión. En la Ingeniería Social, la manipulación psicológica se nutre de miedos, urgencias, deseos, empatía y confusión. ¿Cómo nos protegemos? La respuesta podría ser aprendiendo a desconfiar, pero incluso eso es un desafío emocional. Por ello, apelar al sentido común, ese sentido tan poco común, se convierte en un escudo de protección. Reconocer la realidad y la posibilidad de caer en estas trampas nos vuelve más receptivos a las señales de alarma, nos abre los ojos y nos enseña a dudar de aquello que parece extremadamente atractivo y tentador. Cuanto más atractivo, más peligroso.


Es un hecho, adoptar hábitos de seguridad informática se convierte en nuestra primera línea de defensa, pero también lo es el celo o reserva a la hora de compartir información confidencial, la verificación meticulosa y la investigación constante. La duda y la desconfianza, aunque suene redundante, son herramientas poderosas para discernir conscientemente de las intenciones maliciosas. Evitar la exposición desmedida en redes sociales y la restricción de información personal son medidas preventivas que debemos adoptar; más privacidad, ya que la Ingeniería Social se alimenta de la información que deliberadamente revelamos.

La Ingeniería Social no tiene horario ni fecha en el calendario, no descansa, ni toma vacaciones... no da treguas. Si te conviertes en el blanco, estarán siempre al acecho. Es tan sutil que puede pasar desapercibida, ¡vamos! es ingeniería con efecto psicológico aprovechándose de la fragilidad humana. Enfrentarla es realmente desafiante; cuanto antes lo entendamos, mejor. Pretender restarle importancia e impacto es jugar en contra. No obstante, la concientización, la educación y la adopción de buenas prácticas de seguridad pueden fortalecer la resistencia contra estas amenazas.

! [ENGLISH VERSION]
The terrain of emotions is complex and delicate, a true minefield where any misstep can trigger an explosion. In Social Engineering, psychological manipulation feeds on fears, urgencies, desires, empathy, and confusion. How do we protect ourselves? The answer could be learning to distrust, but even that is an emotional challenge. Therefore, appealing to common sense, that uncommon sense, becomes a shield of protection. Recognizing the reality and the possibility of falling into these traps makes us more receptive to warning signs, opens our eyes, and teaches us to doubt what seems extremely attractive and tempting. The more attractive, the more dangerous.

It is a fact; that adopting cybersecurity habits becomes our first line of defense, but so is discretion or reserve when sharing confidential information, meticulous verification, and constant research. Doubt and distrust, though it may sound redundant, are powerful tools to consciously discern malicious intentions. Avoiding excessive exposure to social media and restricting personal information are preventive measures we must adopt; more privacy, as Social Engineering feeds on the information we deliberately reveal.

Social Engineering has no schedule or date on the calendar; it does not rest or take vacations... it gives no quarter. If you become the target, they will always be lurking. It is so subtle that it can go unnoticed. Come on! It's engineering with a psychological effect, taking advantage of human fragility. Facing it is truly challenging; the sooner we understand this, the better. Pretending to downplay its importance and impact is playing against ourselves. Nevertheless, awareness, education, and the adoption of good security practices can strengthen resistance against these threats.

Translation: ChatGPT.
Imágenes generadas por la IA Dall-E 3 integrada en Bing. Diseño de miniatura en Canva.com.
Images generated by the Dall-E 3 AI integrated with Bing.Thumbnail design on Canva.com.


Posted Using InLeo Alpha



0
0
0.000
6 comments
avatar

Hola Ray. Espero que está vez si pueda escuchar tu clase.
Me da mucha risa porque ayer hice un workshop de Arkad (@multicripto) y @P_ hold y al final nos dejan un enlace para hacer unos ejercicios y yo naaaa, desconfío y no uso el enlace, me voy a la página oficial de la wallet y de allí la descargo.

Ahora en serio, tal como dices, el sentido común es muy importante en este tema, lo que me preocupa es que últimamente uno no sabe a dónde se ha ido el sentido común. Debe recuperarse por esto y por más.

0
0
0.000
avatar

Hola amiga, espero poder contar contigo en esta oportunidad, será en un horario especial con respecto a las otras clases, si no recuerdo mal creo que será a las 4:00 p.m.

Aunque suene paranoico, dudar y querer verificarlo todo es un mecanismo de defensa que puede ahorrarnos malos ratos. Sigue así 👏🏻

0
0
0.000
avatar

Thanks for your contribution to the STEMsocial community. Feel free to join us on discord to get to know the rest of us!

Please consider delegating to the @stemsocial account (85% of the curation rewards are returned).

You may also include @stemsocial as a beneficiary of the rewards of this post to get a stronger support. 
 

0
0
0.000
avatar

Las personas siempre son la parte más vulnerable en cualquier sistema informático, no importa los múltiples sistemas de seguridad si puedes convencer a alguien para que te facilite las claves o el acceso a algo. Me gusta tu iniciativa para concienciar a las personas sobre la seguridad en internet, muchas cosas de nuestras vidas dependen de él y el conocer como actúan los malos no hacen menos vulnerables :D
Saludos.

0
0
0.000
avatar

Así es, somos la “capa 8”, los más vulnerables. De nada vale tomar medidas y hábitos de seguridad y privacidad, si luego nuestras acciones nos ponen en riesgos.
Agradezco mucho tu comentario, muchas gracias.

0
0
0.000