La ingeniería social es, por definición, el abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero. Es necesario contar con que esa tercera persona puede ser un ciberdelincuente que prepara un ataque de algún tipo contra alguna organización.
Para entender qué es la ingeniería social inversa hemos de comprender primero la ingeniería social, ese dudoso arte mediante el cual un delincuente establece relaciones de confianza con sus objetivos, para posteriormente conseguir información confidencial que puede comprometer su seguridad.
En la ingeniería social, el atacante es quien lleva el ritmo. Es activo y sigue una estrategia dividida en fases, de las cuales la primera es la de acumular información sobre los posibles objetivos en el entorno susceptible de ser atacado. Esto puede ser desde los nombres de los empleados de un departamento, pasando por sus números de teléfono, email y otros medios de contacto, hasta la ubicación del departamento y las más variadas informaciones.
Una vez con esos datos en su poder, el atacante intentará construir una relación de confianza. Es una fase delicada y que requiere de cierta paciencia porque la meta es conseguir una buena relación personal con la víctima.
Tras conseguir este objetivo, llega la manipulación psicológica. El atacante aprovecha la confianza ganada para obtener la información confidencial que le interese, de manera que pueda introducirse en el sistema objetivo con facilidad. Tras esto llega la fase de “salida” en la que el delincuente debe desaparecer sin dejar rastros y desviando la atención de su persona para no levantar sospechas.
No hay comentarios:
Publicar un comentario