No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Ingenieria social: Cómo afecta a las empresas

11/23
Recursos

¿Qué es la ingeniería social?

La ingeniería social es una táctica utilizada por los atacantes cibernéticos para manipular y engañar a las personas con el fin de obtener información confidencial, acceso a sistemas o realizar acciones no autorizadas. La ingeniería social explota las debilidades humanas, como la confianza, la curiosidad y la falta de conciencia sobre riesgos de seguridad y existen 2 métodos principales que se explican a continuación.

Phishing

Es una forma de ataque cibernético en la que los ciberdelincuentes intentan engañar a las personas para que revelen información confidencial, como contraseñas, números de tarjetas de crédito, información bancaria u otra información personal sensible. Todo esto para ser utilizada con el fin de cometer fraudes, robos de identidad u otras actividades delictivas.

El término “phishing” proviene de la similitud con la palabra “fishing” (pesca, en inglés), ya que los atacantes lanzan “anzuelos” (mensajes engañosos) con la esperanza de que las víctimas “muerdan” y compartan información.

Las técnicas de phishing pueden incluir:

  1. Correo Electrónico: Los correos electrónicos de phishing son muy comunes. Los atacantes envían mensajes que parecen legítimos y solicitan a las víctimas que hagan clic en enlaces maliciosos, descarguen archivos adjuntos infectados o proporcionen información personal.
  2. Sitios Web Falsos: Los atacantes crean sitios web falsos que imitan la apariencia de sitios legítimos para robar información cuando las víctimas ingresan sus credenciales.
  3. SMS y Mensajes de Texto: Los atacantes envían mensajes de texto fraudulentos que intentan dirigir a las víctimas a sitios web falsos o a proporcionar información personal.
  4. Redes Sociales: Los atacantes pueden crear perfiles falsos en redes sociales para establecer comunicación y engañar a las víctimas.
  5. Voz y Llamadas Telefónicas: Algunos ataques de phishing también involucran llamadas telefónicas en las que los atacantes se hacen pasar por representantes de empresas legítimas y solicitan información confidencial.
  6. Aplicaciones de Mensajería Instantánea: Los atacantes pueden utilizar aplicaciones de mensajería para enviar mensajes engañosos y engañar a las víctimas para que compartan información.

Spear Phishing

El spear phishing es una forma más dirigida y personalizada de ataque cibernético que se basa en técnicas de phishing. Para lograr su objetivo los atacantes investigan a fondo a sus víctimas, esto implica recopilar detalles personales, conexiones profesionales, actividades en línea y cualquier otra información que pueda hacer que el mensaje parezca más auténtico y creíble.

Algunos aspectos clave del spear phishing incluyen:

  1. Investigación: Los atacantes recopilan información detallada sobre la víctima, como nombres, cargos, conexiones en redes sociales, intereses y cualquier otra información que pueda ser utilizada para personalizar el mensaje.
  2. Personalización: Basándose en la información recopilada, los atacantes personalizan el mensaje para que parezca que proviene de una fuente confiable y relevante para la víctima.
  3. Engaño: Los mensajes de spear phishing suelen utilizar tácticas de ingeniería social altamente persuasivas para incitar a la víctima a tomar una acción específica, como hacer clic en un enlace malicioso, descargar un archivo adjunto infectado o proporcionar información confidencial.
  4. Fuentes Confiables: Los atacantes a menudo se hacen pasar por colegas, superiores, proveedores o entidades de confianza para ganarse la confianza de la víctima.
  5. Uso de Nombres y Detalles Reales: Los mensajes de spear phishing pueden incluir nombres reales, detalles específicos de la empresa o detalles sobre actividades recientes de la víctima para hacer que el mensaje parezca más legítimo.

Aportes 20

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Imagínense la cantidad de personas tan enorme, qué desesperadas por conseguir algo de “dinero fácil” encuentran páginas para llenar encuestas donde prometen que les van a pagar X cantidad de dinero y que diariamente van a tener encuestas para llenar, y al final, resulta que todo era para recopilar un montón de información personal y hasta de los familiares, y nunca les pagaron, y nunca resultaron más encuestas, así funciona la mayoría de esas páginas de encuestas, son estafas muy peligrosas, con mucho alcance, y por la difícil situación económica de millones de personas, diariamente hay muchísima gente que cae en eso.

Ten mucho cuidado en qué páginas o aplicaciones estan llenando su información.

El outbound marketing esta mandado a recoger, ahora no se sabe si es ingenieria social o si es una campaña de mercadeo. ASi que es mejor, no contestar ninguna comunicacion que llega de afuera, salvo uno mismo llamar al banco o a lo que se necesite un banco nunca te va a pedir informacion

¿Qué es la ingeniería social? **Definición de ingeniería social** La ingeniería social es una técnica de manipulación que aprovecha el error humano para obtener información privada, acceso a sistemas u objetos de valor. En el caso del delito cibernético, estas estafas de "hackeo de humanos" tienden a hacer que los usuarios desprevenidos expongan datos, propaguen infecciones de malware o den acceso a sistemas restringidos. Los ataques pueden ocurrir en línea, en persona y a través de otras interacciones. Las estafas basadas en la ingeniería social se basan en cómo las personas piensan y actúan. Como tal, los ataques de ingeniería social son muy útiles para manipular el comportamiento de un usuario. Una vez que un atacante comprende qué motiva las acciones de un usuario, puede engañar y manipular al usuario de manera efectiva. Además, los piratas informáticos intentan explotar la falta de conocimiento de un usuario. Gracias a la velocidad de la tecnología, muchos consumidores y empleados no son conscientes de ciertas amenazas, como las descargas no autorizadas (drive-in). Es posible que los usuarios no se den cuenta del valor real de sus datos personales, como el número de teléfono. Como resultado, muchos usuarios no están seguros de cómo protegerse mejor a sí mismos y a su información. Por lo general, los atacantes que usan la ingeniería social tienen dos objetivos: 1\. **Sabotaje**: alterar o corromper los datos para causar daños o molestias. 2\. **Robo**: obtener objetos de valor como información, acceso a sistemas o dinero. Esta definición de ingeniería social se puede ampliar aún cuando se sabe exactamente cómo funciona. **¿Cómo funciona la ingeniería social?** La mayoría de los ataques de ingeniería social se basan en la comunicación real entre atacantes y víctimas. El atacante tiende a motivar al usuario a comprometerse a sí mismo, en lugar de usar métodos de fuerza bruta para violar sus datos. El ciclo del ataque les da a estos criminales un proceso confiable para engañarlo. El ciclo de ataque de ingeniería social suele usar los siguientes pasos: 1\. Prepararse, recopilar información básica sobre usted o un grupo más grande del que forme parte. 2\. Infiltrarse, establecer una relación o iniciar una interacción, comenzar a generar confianza. 3\. Explotar a la víctima una vez que se haya establecido la confianza y se conozca la debilidad para avanzar en el ataque. 4\. Desentenderse una vez que el usuario haya realizado la acción deseada. Este proceso puede realizarse en un solo correo electrónico o durante meses en una serie de chats en las redes sociales. Incluso podría ser una interacción en persona. Pero concluye con una acción que el usuario realiza, como compartir su información o exponerse a malware. Es importante saber que la ingeniería social también es un medio para crear confusión. Muchos empleados y consumidores no se dan cuenta de que bastan pocos datos para dar acceso a los piratas informáticos a varias redes y cuentas. Al hacerse pasar por usuarios legítimos ante el personal de soporte de TI, obtienen sus datos privados, como nombre, fecha de nacimiento o dirección. Después de lograrlo, les resulta fácil cambiar las contraseñas y obtener acceso prácticamente ilimitado. Pueden robar dinero, dispersar malware de ingeniería social, etc. **Rasgos de los ataques de ingeniería social** Los ataques de ingeniería social se centran en que el atacante persuade a la víctima y se gana su confianza. Cuando uno se expone a estas tácticas, es muy probable que realice acciones que de otro modo no haría. Entre la mayoría de los ataques, tratarán de engañarlo con los siguientes comportamientos: **Intensificación de las emociones**: la manipulación emocional les da a los atacantes la ventaja en cualquier interacción. Es mucho más probable que realice acciones irracionales o arriesgadas cuando se encuentra en un buen estado emocional. Las siguientes emociones se utilizan en igual medida para convencerlo. · Miedo · Entusiasmo · Curiosidad · Ira · Culpa · Tristeza **Urgencia**: las oportunidades o solicitudes urgentes son otra herramienta confiable en el arsenal de un atacante. Es posible que se sienta motivado a comprometerse ante aparentes problemas graves que necesita atención inmediata. También le pueden decir que hay un premio o recompensa que puede desaparecer si no actúa ya mismo. Cualquiera de los dos enfoques anula su capacidad de pensamiento crítico. **Confianza**: la credibilidad es invaluable y esencial para un ataque de ingeniería social. Dado que el atacante en última instancia le está mintiendo, la confianza juega un papel importante aquí. Ha investigado lo suficiente sobre usted como para crear una historia fácil de creer y que no despierte sospechas. Hay algunas excepciones a estos rasgos. En algunos casos, los atacantes utilizan métodos más simples de ingeniería social para acceder a una red o computadora. Por ejemplo, un hacker puede frecuentar el comedor público de un gran edificio de oficinas, buscar usuarios que estén trabajando en sus tablets o computadoras portátiles y mirar los dispositivos por encima de su hombro. Con esta táctica pueden conseguir una gran cantidad de contraseñas y nombres de usuario, todo sin necesidad de ni enviar un solo correo electrónico ni escribir una línea de código de virus. Ahora que comprende el concepto subyacente, probablemente se esté preguntando "¿qué es un ataque de ingeniería social y cómo puedo detectarlo?" **Tipos de ataques de ingeniería social** Casi todos los tipos de ataques conllevan algún tipo de ingeniería social. Por ejemplo, las estafas clásicas de correo electrónico y virus están cargadas de connotaciones sociales. La ingeniería social puede afectarlo digitalmente a través de ataques mediante dispositivos móviles, además de los de dispositivos de escritorio. Sin embargo, también puede que lo amenacen en persona. Estos ataques pueden superponerse y usarse al mismo tiempo para crear una estafa. A continuación, se muestran algunos métodos comunes utilizados por los atacantes de ingeniería social: · **Ataques de phishing** Los atacantes que usan el phishing se hacen pasar por una institución o un individuo de confianza en un intento de persuadirlo de que exponga datos personales y otros objetos de valor. Los ataques que utilizan suplantación de identidad (phishing) se llevan a cabo de dos maneras: 1\. **El spam de phishing**, o phishing masivo, es un ataque generalizado dirigido a muchos usuarios. Estos ataques no son personalizados e intentan atrapar a cualquier persona desprevenida. 2\. **El spear phishing** y, por extensión, la caza de ballenas (whaling) , utilizan información personalizada para dirigirse a usuarios particulares. Los ataques de caza de ballenas apuntan a objetivos de alto valor como celebridades, altos directivos y altos funcionarios del gobierno. Ya sea que se trate de una comunicación directa o a través de un formulario de sitio web falso, cualquier cosa que comparta va directamente al bolsillo del estafador. Incluso puede que con engaños lo induzcan a descargar un malware que contiene la siguiente etapa del ataque de phishing. Cada uno de los métodos utilizados en el phishing tiene modos de distribución únicos, que incluyen, entre otros: · **Phishing (vishing)** por voz, mediante llamadas telefónicas que pueden ser sistemas de mensajes automatizados que registran todo lo que usted diga. A veces, una persona real puede hablar con usted para aumentar la confianza y el sentido de urgencia. · **Los mensajes de texto de phishing (smishing)** o los mensajes de aplicaciones móviles pueden incluir un enlace web o un mensaje de seguimiento a través de un correo electrónico o un número de teléfono fraudulentos. · **El phishing por correo electrónico** es el medio más tradicional de phishing, ya que utiliza un correo electrónico que le insta a responder o hacer un seguimiento por otros medios. Se pueden usar vínculos web, números de teléfono o archivos adjuntos de malware. · **El phishing de Angler** se lleva a cabo en las redes sociales, donde un atacante finge ser del equipo de servicio al cliente de una empresa de confianza. Interceptan sus comunicaciones con una empresa para secuestrar y desviar su conversación a mensajes privados, donde luego hacen avanzar el ataque. · **El phishing en buscadores** intenta colocar enlaces a sitios web falsos en la parte superior de los resultados de búsqueda. Estos pueden ser anuncios pagados o usar métodos de optimización legítimos para manipular las clasificaciones de búsqueda. · **Los enlaces de phishing URL** lo tientan a visitar sitios web de phishing. Estos vínculos se suelen enviar en correos electrónicos, mensajes de texto, mensajes de redes sociales y anuncios en línea. Los ataques ocultan vínculos en texto o botones con hipervínculos, utilizando acortadores de vínculos o URL con erratas intencionales. · **El phishing durante la sesión** aparece como una interrupción de su navegación web normal. Por ejemplo, es posible que vea ventanas emergentes de inicio de sesión falsas para las páginas que está visitando. · **Ataques de cebo** Los ataques de cebo abusan de su curiosidad natural para convencerlo de que se exponga a un atacante. Por lo general, el potencial de recibir algo gratis o exclusivo es la manipulación utilizada para explotarlo. El ataque por lo general termina infectándolo con malware. Los métodos populares de ataques de cebo pueden incluir: · Unidades USB dejadas en espacios públicos, como bibliotecas y estacionamientos. · Archivos adjuntos de correo electrónico que incluyen detalles sobre una oferta gratuita o software gratuito fraudulento. · **Ataques de acceso físico** Los ataques de acceso físico involucran a los atacantes que se presentan en persona, haciéndose pasar por alguien que tiene derecho de acceso a áreas o información restringidas. Los ataques de esta naturaleza son más comunes en entornos empresariales, como gobiernos, empresas u otras organizaciones. Los atacantes pueden hacerse pasar por un representante de un proveedor conocido y de confianza para la empresa. Algunos atacantes pueden incluso ser empleados despedidos hace poco quieran vengarse de su antiguo empleador. Hacen que su identidad sea incierta pero lo suficientemente creíble como para evitar que le hagan preguntas. Esto requiere un poco de investigación por parte del atacante e implica un alto riesgo. Por lo tanto, si alguien está intentando este método, significa que ha identificado que puede recibir una recompensa muy valiosa si tiene éxito. · **Ataques que usan pretextos** Los ataques que usan pretextos echan mano de una identidad engañosa como "pretexto" para ganarse la confianza. Por ejemplo, pueden hacerse pasar por un proveedor o un empleado de la compañía. Este enfoque requiere que el atacante interactúe con usted de manera más proactiva. Una vez que lo han convencido de que son legítimos, lanzan el ataque. · **Ataques de "acceso a cuestas"** Tailgating , o "llevar a cuestas", es el acto de seguir a un miembro del personal autorizado a un área de acceso restringido. Los atacantes pueden apelar a la cortesía social para que usted les abra la puerta o convencerlo de que también están autorizados a estar en el área. Los pretextos también pueden jugar un papel. · **Ataques de reciprocidad** Quid pro quo es un término que puede interpretarse como "un favor por un favor", que en el contexto del phishing significa un intercambio de su información personal por alguna recompensa u otra compensación. Los obsequios u ofertas para participar en estudios de investigación pueden exponerlo a este tipo de ataque. El exploit proviene de entusiasmarlo por algo valioso que viene con una baja inversión de su parte. Pero en realidad el atacante toma sus datos y no le da recompensa alguna. · **Ataques de suplantación de DNS y de envenenamiento de caché DNS** La suplantación de DNS manipula su navegador y servidores web para que vayan a sitios web maliciosos cuando ingresa una URL legítima. Una vez infectado con este exploit, el redireccionamiento continuará a menos que los datos de enrutamiento inexactos se eliminen de los sistemas involucrados. Los ataques de envenenamiento de la caché de DNS infectan su dispositivo con instrucciones de enrutamiento para que la URL legítima o varias URL se conecten a sitios web fraudulentos. · **Ataques de scareware o intimidación** Scareware es una forma de malware que se utiliza para asustarlo y hacer que realice una acción. Este malware engañoso utiliza advertencias alarmantes sobre infecciones de malware falsas o afirman que una de sus cuentas se ha visto comprometida. Como resultado, el scareware lo induce a comprar software de ciberseguridad fraudulento o divulgar detalles privados como las credenciales de su cuenta. · **Ataques al abrevadero** Los ataques de abrevadero infectan páginas web populares con malware para afectar a muchos usuarios a la vez. Requiere una planificación cuidadosa por parte del atacante para encontrar debilidades en sitios específicos. Buscan vulnerabilidades existentes que no se conocen y no están reparadas; tales debilidades se consideran exploits de día cero. Otras veces, pueden encontrar que un sitio no ha actualizado su infraestructura para reparar problemas conocidos. Los propietarios de sitios web pueden optar por retrasar las actualizaciones de software para mantener las versiones de software que saben que son estables. Publicarán la actualización una vez que la versión más nueva tenga un historial probado de estabilidad del sistema. Los piratas informáticos abusan de este comportamiento para atacar vulnerabilidades recientemente parcheadas. · **Métodos de ingeniería social inusuales** En algunos casos, los cibercriminales han usado métodos complejos para llevar a cabo los ciberataques, por ejemplo: o **Phishing por fax:** Los clientes de un banco recibieron un correo electrónico falso que aseguraba provenir del banco y que pedía al cliente que confirmara sus códigos de acceso, pero el método de confirmación no era a través de las rutas usuales de correo electrónico o Internet. Más bien se pedía a los clientes que imprimieran el formulario del correo electrónico, que lo rellenaran con sus datos y que lo enviaran por fax al número de teléfono del ciberdelincuente. o **Distribución por correo tradicional**: En Japón, unos cibercriminales usaron un servicio de entrega a domicilio para distribuir CD infectados con spyware troyano. Los discos se entregaron a los clientes de un banco japonés. Las direcciones de los clientes habían sido robadas de la base de datos del banco. **Ejemplos de ataques de ingeniería social** Los ataques de malware merecen un enfoque especial, ya que son comunes y tienen efectos prolongados. Cuando los creadores de malware utilizan técnicas de ingeniería social, pueden convencer a un usuario incauto de que abra archivos infectados o enlaces a sitios infectados y otros recursos. Numerosos gusanos para correo electrónico y otros tipos de malware usan estos métodos. Sin un paquete de software de seguridad completo para sus dispositivos móviles y de escritorio, es probable que se exponga a una infección. · **Ataques con gusanos** El cibercriminal intenta atraer la atención del usuario al enlace o al archivo infectado y lo convence para que haga clic en él. Ejemplos de este tipo de ataque: **El gusano LoveLetter** sobrecargó los servidores de correo electrónico de muchas empresas en 2000. Las víctimas recibieron un correo electrónico que las invitaba a abrir una supuesta carta de amor adjunta. Cuando abrían el archivo adjunto, el gusano se copiaba a sí mismo en todos los contactos de la libreta de direcciones de la víctima. Este gusano todavía se considera uno de los más devastadores, por el daño financiero que infligió. **El gusano de correo electrónico Mydoom**, que apareció en Internet en enero de 2004, utilizaba textos que fingían ser mensajes técnicos emitidos por el servidor de correo. **El gusano Swen** se hacía pasar por un mensaje enviado desde Microsoft. Afirmaba que el adjunto era un parche que eliminaba vulnerabilidades de Windows. No es sorprendente que muchas personas se tomaran la afirmación en serio y trataran de instalar el "parche" falso, cuando en realidad era un gusano. **Canales de entrega de vínculos de software maliciosos** Los enlaces a sitios infectados se pueden enviar por correo electrónico, ICQ y otros sistemas de mensajería instantánea, o incluso a través de salas de chat de Internet IRC. Los virus móviles se envían a menudo mediante mensajes SMS. Cualquiera sea el método de envío, el mensaje contendrá palabras llamativas o intrigantes que animen al usuario desprevenido a hacer clic en el enlace. Este método de penetración en un sistema puede permitir que el malware eluda los filtros antivirus del servidor de correo. · **Ataques de red punto a punto (P2P)** Las redes P2P también se utilizan para distribuir malware. Los ataque de este tipo se dan cuando un gusano o un virus troyano aparece en la red P2P, pero tiene un nombre destinado a captar la atención y convencer a los usuarios de que descarguen y abran el archivo, por ejemplo: o Hackear contraseñas de AIM y AOL.exe o Microsoft CD Key Generator.exe o EstrellaDePorno3D.exe o Emulador de Play Station crack.exe · **Avergonzar a los usuarios infectados para que no denuncien un ataque** En algunos casos, los creadores y distribuidores de malware se esfuerzan por reducir las probabilidades de que las víctimas denuncien una infección: Las víctimas pueden responder a una oferta falsa de una utilidad gratuita o una guía que promete beneficios ilegales como: · Acceso gratuito a Internet o comunicaciones móviles. · La posibilidad de descargar un generador de números de tarjetas de crédito. · Un método para aumentar el saldo de la cuenta en línea de la víctima. En estos casos, cuando la descarga resulta ser un virus troyano, la víctima no querrá revelar sus propias intenciones ilegales. De ahí que es probable que no denuncie la infección a ninguna fuerza de seguridad. Otro ejemplo de esta técnica fue el virus troyano que se enviaba a direcciones de correo electrónico tomadas de un sitio web de búsqueda de empleo. Las personas que se habían registrado en el sitio recibieron ofertas de trabajo falsas, que además incluían un virus troyano. El ataque se centró en direcciones de correo electrónico corporativas. Los cibercriminales sabían que el personal que recibiera el troyano no iba a querer decir a sus empleadores que se habían infectado mientras buscaban otro empleo. **¿Cómo detectar las señales de ataques de ingeniería social?** Defenderse de la ingeniería social requiere que sepa observarse a sí mismo. Siempre haga una pausa y piense antes de hacer cualquier cosa o responder. Los atacantes esperan que reaccione antes de considerar los riesgos, lo que significa que debe hacer lo contrario. Para ayudarlo, aquí hay algunas preguntas que debe hacerse si sospecha de un ataque: · **¿Estoy sintiendo emociones fuertes?** Cuando se siente demasiado curioso, temeroso o emocionado, es menos probable que evalúe las consecuencias de sus acciones. Es más, quizá ni se ponga a considerar la legitimidad de la situación ante la que se encuentra. Considere una señal de alerta si está experimentando emociones fuertes. · **¿Este mensaje proviene de un remitente legítimo?** Inspeccione con mucho cuidado las direcciones de correo electrónico y los perfiles de redes sociales cuando reciba un mensaje sospechoso. Puede haber letras parecidas a otras, como "[email protected]" en lugar de "[email protected]". Los perfiles de redes sociales falsos que usan un duplicado de la imagen de su amigo y otros detalles también son comunes. · ¿**Fue mi amigo quien me envió este mensaje?** Siempre es bueno preguntarle al remitente si es el verdadero remitente del mensaje en cuestión. Ya sea que se trate de un compañero de trabajo o de otra persona en su vida, pregúntele en persona o si es posible, por teléfono. Es posible que hayan sido hackeados y no lo sepan, o que alguien esté suplantando sus cuentas. · **¿El sitio web en el que estoy tiene detalles extraños**? Las irregularidades en la URL, la mala calidad de la imagen, los logotipos de la empresa antiguos o incorrectos y los errores tipográficos de la página web pueden ser señales de advertencia de que un sitio web es fraudulento. Si ingresa a un sitio web falsificado, asegúrese de salir de inmediato. · **¿Esta oferta suena demasiado buena para ser verdad**? En el caso de obsequios u otros métodos de marketing, las ofertas son una fuerte motivación para impulsar un ataque de ingeniería social. Debe considerar por qué alguien le está ofreciendo algo de valor sin ganar mucho de su parte. Tenga cuidado en todo momento porque incluso los datos básicos como su dirección de correo electrónico pueden recopilarse y venderse a anunciantes indeseables. · **¿Archivos adjuntos o enlaces sospechosos?** Si un vínculo o nombre de archivo parece vago o extraño en un mensaje, reconsidere la autenticidad de toda la comunicación. Además, considere si el mensaje se envió en un contexto o momento extraño o si genera alguna otra señal de alerta. · **¿Puede esta persona probar su identidad?** Si no puede hacer que esta persona verifique su identidad con la organización a la que dicen pertenecer, no le permita el acceso que está solicitando. Esto se aplica tanto en persona como en línea, ya que las infracciones físicas requieren que se pase por alto la identidad del atacante. **¿Cómo prevenir los ataques de ingeniería social?** Aparte de detectar un ataque, también puede ser proactivo con respecto a su privacidad y seguridad. Saber cómo prevenir los ataques de ingeniería social es de suma importancia para todos los usuarios de dispositivos móviles y computadoras. A continuación, le sugerimos algunas formas importantes de protegerse contra todo tipo de ciberataques: **Hábitos de administración de cuentas y comunicación segura** La comunicación en Internet es donde es especialmente vulnerable. Las redes sociales, el correo electrónico y los mensajes de texto son objetivos comunes, pero también hay tener en cuenta las interacciones en persona. · **Nunca haga clic en los enlaces de ningún correo electrónico o mensaje.** Escriba siempre usted mismo las URL en su barra de direcciones, sin importar quién sea el remitente. Además, realice una investigación adicional para encontrar una versión oficial de la URL en cuestión. Nunca interactúe con ninguna URL que no haya verificado como oficial o legítima. · **Use la autenticación multifactor**: Las cuentas en línea son mucho más seguras cuando se usa algo más que una contraseña para protegerlas. La autenticación multifactor agrega capas adicionales para verificar su identidad al iniciar sesión en la cuenta. Estos "factores" pueden incluir datos biométricos como el reconocimiento de huellas dactilares o de rostro, o códigos de acceso temporales enviados en mensajes de texto. · **Cree contraseñas seguras y utilice un administrador de contraseñas.** Cada una de sus contraseñas debe ser diferente y compleja. Trate de usar diversos tipos de caracteres, entre ellos mayúsculas, números y símbolos. Además, es probable que desee optar por contraseñas más largas cuando sea posible. Para ayudarlo a administrar todas sus contraseñas personalizadas, es posible que desee usar un administrador de contraseñas para almacenarlas y recordarlas de manera segura. · **No comparta ni publique los nombres de sus escuelas, mascotas, lugar de nacimiento u otros datos personales**. Sin saberlo, podría estar publicando respuestas a sus preguntas de seguridad o partes de su contraseña. Si configura sus preguntas de seguridad para que sean fáciles de recordar pero inexactas, le resultará más difícil a un delincuente descifrar su cuenta. Si su primer automóvil fue un "Toyota", escribir una mentira como "coche de payasos" en su lugar podría dejar fuera de combate por completo de cualquier pirata informático entrometido. · **Tenga mucho cuidado al hacer amistades solo en línea**. Si bien Internet puede ser una excelente manera de conectarse con personas en todo el mundo, es un medio común para los ataques de ingeniería social. Esté atento a las señales y las señales de alerta que indiquen manipulación o un claro abuso de confianza. **Hábitos de uso seguro de la red** Las redes en línea comprometidas pueden ser otro punto de vulnerabilidad que se explote para saber más sobre su vida y antecedentes. Para impedir que se usen sus datos en su contra, tome medidas de protección para cualquier red a la que se conecte. · **Nunca permita que extraños se conecten a su red Wi-Fi principal**. En casa o en el lugar de trabajo, debe organizar a una conexión Wi-Fi para invitados. Esto permite que su conexión principal cifrada y protegida con contraseña permanezca segura y sin intercepciones. Si alguien decide "escuchar a escondidas" la información, no podrá acceder a la actividad que usted y otras personas deseen mantener en privado. · **Use una VPN.** En caso de que alguien en su red principal (por cable, inalámbrica o incluso celular) encuentre una manera de interceptar el tráfico, una red privada virtual (VPN) puede mantenerlos fuera. Las VPN son servicios que le brindan un "túnel" privado y cifrado en cualquier conexión a Internet que utilice. Su conexión no solo está protegida contra los curiosos, sino que sus datos se anonimizan, así que no se los puede usar para rastrearlo través de cookies u otros medios. · **Mantenga seguros todos los dispositivos y servicios conectados a la red**. Muchas personas conocen las prácticas de seguridad en Internet para dispositivos informáticos móviles y tradicionales. Sin embargo, proteger su red, además de todos sus dispositivos inteligentes y servicios en la nube, es igual de importante. Asegúrese de proteger los dispositivos que se suelen pasar por alto, como los sistemas de información y entretenimiento para automóviles y los enrutadores de redes domésticas. Las violaciones de datos en estos dispositivos podrían impulsar la personalización de una estafa de ingeniería social. **Hábitos de uso seguro de dispositivos** Mantener sus dispositivos protegidos es tan importante como todos sus otros comportamientos digitales. Proteja su teléfono móvil, tableta y otros dispositivos informáticos con los siguientes consejos: · **Utilice un software de seguridad de Internet completo**. Cuando las tácticas sociales tienen éxito, resultan en infecciones de malware. Para combatir los rootkits, troyanos y otros bots, es fundamental implementar una solución de seguridad para Internet de alta calidad que sea capaz de eliminar infecciones y rastrear su origen. · **Nunca deje sus dispositivos sin protección en público.** Siempre bloquee su computadora y dispositivos móviles, sobre todo en el trabajo. Cuando utilice sus dispositivos en espacios públicos como aeropuertos y cafeterías, téngalos siempre en su poder. · **Mantenga todo su software actualizado al máxim**o. Las actualizaciones inmediatas brindan a su software correcciones de seguridad esenciales. Cuando omite o deja para después las actualizaciones de su sistema operativo o aplicaciones, está dejando expuestos los agujeros de seguridad conocidos a los piratas informáticos. Dado que saben que así se comportan muchos usuarios de computadoras y dispositivos móviles, usted se convierte en el objetivo principal de los ataques de malware de ingeniería social. · **Verifique las filtraciones de datos conocidas en sus cuentas en línea.** Servicios como Kaspersky Premium monitorean activamente las brechas de datos nuevas y existentes que puedan afectar a sus direcciones de correo electrónico. Si sus cuentas aparecen en los datos comprometidos, recibirá una notificación junto con consejos sobre cómo tomar medidas. La protección contra la ingeniería social comienza con la educación. Si todos los usuarios son conscientes de las amenazas, nuestra seguridad como sociedad colectiva mejorará. Asegúrese de aumentar la conciencia sobre estos riesgos compartiendo lo que ha aprendido con sus compañeros de trabajo, familiares y amigos. <https://latam.kaspersky.com/resource-center/definitions/what-is-social-engineering>

Aquí les dejo un curso en Platzi que habla más a profundidad sobre la ingeniería social
https://platzi.com/cursos/ingenieria-social/

Profe, estoy interesado en el iphone 14 a mil pesos, tengo el dinero para el envío también. Quedo atento, envíeme la info a mi correo <[email protected]> 😀

Ingenieria social: engaña al usuario para que de informacion.
Metodos: Phishing (engaño por correo), Vishing (Captura de voz)

La ingeniería social se utiliza en ataques de phishing, donde los correos electrónicos o mensajes falsos intentan engañar a empleados para que revelen información confidencial o realicen transferencias de dinero a cuentas fraudulentas.

  • Hace unos dos años en mi universidad jaquearon la plataforma educativa de la universidad a través de un correo electrónico, fue un gran desastres porque estábamos en plana pandemia se suspendieron las clases por 15 días, todo por un correo que abrieron el el departamento de registro y control
***La Ingeniería Social*** responde a la premisa de que el Cibercriminal o Cracker, por una cuestión de tiempo, energía, recursos, etc., debe atacar el eslabón más débil de una empresa, organización o usuario que en este caso siempre será el ser humano que por ignorancia cae en este tipo de estafas y "trucos" dando o facilitando información. *Es nuestro deber como usuarios responsables*, tener siempre **<u>sentido común</u>** de lo que debemos y no debemos hacer y concientizar a otros de estos peligros.
## ¿Qué es la ingeniería social? La ingeniería social es una táctica utilizada por los atacantes cibernéticos para manipular y engañar a las personas con el fin de obtener información confidencial, acceso a sistemas o realizar acciones no autorizadas. La ingeniería social explota las debilidades humanas, como la confianza, la curiosidad y la falta de conciencia sobre riesgos de seguridad y existen 2 métodos principales que se explican a continuación.

Y yo pensando que la ingeniería social era otra de las tantas ramas que tiene la ingeniería. Ya hasta estaba buscando donde estudiarla. Ja ja. Que error.

Estos cursos son oro, muy útiles para estar advertidos y ser muy cautelosos con todo.

Este tipo de cursos, nos lo han dado en a empresa donde trabajo, pero creo que en muchas empresas de LAtam, no estan ni siquiera advertidos de los peligros y riesgos en seguridad. Esto debe formar parte de la cultura no solo empresarial sino personal.

Sin duda es tan disruptivo los cambios tecnologicos que hoy en dia tenemos, a todo le decimos que si, por falta de conocimiento, un ejemplo de ello, es cuando configuras tu celular, caso a todo te obligan a decir que si, sino no lo puedes usar. como el asistente de voz, y sabemos lo peligroso que puede ser .
Es algo increíble que tengamos que defender la información por al mal alcance de las personas
excelente clase

buenos aportes

Interesante

Gracias por este video!

En las redes me caen estafas sobre una IA de google pero que se nota que es mas falso que un dolar con la cara del joker