Ingeniería Social en las Redes Sociales

Todo el mundo planea viajar a alguna parte, espera un paquete o responde con prisa a la autoridad. La ingeniería social permanece como un factor habilitador importante para los atacantes. Los hackers usan la ingeniería social para manipular a los usuarios desprevenidos con el fin de ganar acceso a datos corporativos confidenciales como documentos internos, archivos financieros, números de tarjetas de crédito y credenciales de usuario o simplemente desmantelar servicios con ataques de negación del servicio (DoS). Esta guerra moderna de amenazas avanzadas y de ataques está aquí para quedarse.

Los datos corporativos delicados almacenados en los centros de datos, servidores, PCs y teléfonos móviles están aumentando a la velocidad de la luz y más datos y plataformas crean más riesgos. Finalmente, la lista de amenazas de seguridad no se hace más corta y cada ataque nuevo revela un nivel más profundo de sofisticación.

El aumento en el uso de las redes sociales con objetivos profesionales hace estos vectores atractivos para la ingeniería social con criminales cibernéticos que posan como colegas, reclutadores o como amigos para ganar acceso a las compañías.

Mientras que hurtar datos es la prioridad para muchos criminales cibernéticos actualmente cada hacker y hacktivista tiene su propia agenda y motivaciones – desde ganancia financiera hasta la destrucción de los bienes corporativos. Por ejemplo, Stuxnet cambió la manera como muchos profesionales de seguridad piensan sobre la seguridad; se dan cuenta de cómo el malware se puede usar como un arma e interrumpir toda la infraestructura de una organización. Ahora más que nunca detener las APTs y otras amenazas furtivas exige una estrategia de defensa completa y de varias capas.

En general la meta de los atacantes sigue siendo ganar datos valiosos. Sin embargo actualmente los datos de tarjetas de crédito comparten espacio en las vitrinas de los almacenes de hackeo virtuales con información como nombres de ingreso en Facebook y credenciales de correo electrónico. Parte de esto se debe a que los bancos utilizan autenticación multiforma para revisar las transacciones en línea que exige a los hackers tener más datos con el fin de comprometer una cuenta. Los criminales cibernéticos han evolucionado su malware con esto en mente incluyendo formas de inyección web que ahora buscan información como el número internacional de identidad de equipo móvil en el celular de una persona así los atacantes pueden contactar al proveedor de servicio de la persona para engañarlo y que le mande al hacker una tarjeta SIM nueva como hizo el ataque Eurograbber. Con la tarjeta SIM los atacantes ahora pueden interceptar la comunicación entre el banco y el cliente que fue creada para prevenir fraudes.

Por ejemplo Pinterest ha sido criticada por sus políticas de privacidad ambiguas que requerían que los usuarios tuvieran derechos legales a todo el contenido publicado, prohibieron los tableros privados, etc. Pero en marzo de 2012, Pinterest actualizó sus términos de servicio. En uno de los mayores cambios, Pinterest eliminó cualquier frase que le diera el derecho de vender el contenido de los usuarios y dice que presentará tableros privados para aquellos que quieran usar la red social como un diario personal. El sitio continúa como un gran foro público para que todos sus usuarios compartan contenido y no exige que tenga una cuenta para navegar en él.

Sugerencias para permanecer seguro

• Nunca comparta información personal en las redes sociales como datos financieros, cumpleaños, contraseñas, etc. y considere cuidadosamente si el contenido que publica es apropiado y si se siente cómodo compartiéndolo públicamente. Ajuste sus configuraciones de seguridad regularmente especialmente a medida que salen nuevos términos de servicio o que se actualiza el sitio. En este momento debe adaptar las configuraciones para prevenir que sus datos aparezcan en el buscador de Google.

• Los criminales en la Internet son inteligentes. Educarse sobre sus tácticas puede ayudarle a prevenir estafas. Sin embargo a pesar de todas las precauciones es posible ser víctima. Si cree que ha sido blanco de un estafador, avísele al departamento de TI de la empresa inmediatamente.

• Evite cualquier riesgo al salir apropiadamente de sus cuentas siempre.

Los atacantes están usando cada vez más la ingeniería social que va más allá de llamar a empleados blanco e intentar engañarlos para que le den información. Las redes sociales se tratan de conectar a la gente y un perfil convincente de una compañía o de una persona seguido por un amigo/a o una solicitud de conexión puede ser suficiente para poner en marcha una estafa por ingeniería social.