¿Qué es Ingeniería social?
La ingeniería social es una clase de técnicas de ataque que manipulan la psicología humana —la confianza, el miedo, la urgencia o la disposición a ayudar— para engañar a las personas y hacer que divulguen información confidencial, concedan acceso no autorizado o realicen acciones que comprometan la seguridad.
También conocido como: social engineering attack, pretexting
Los ataques de ingeniería social apuntan al eslabón más débil de cualquier sistema de seguridad: las personas. Las técnicas habituales incluyen el pretexting (fabricar un escenario para ganarse la confianza), el baiting (ofrecer algo tentador como una memoria USB), el tailgating (seguir a alguien a través de una puerta segura) y el phishing (mensajes engañosos). Estos ataques eluden los cortafuegos, el cifrado y los controles de acceso explotando a los humanos que los operan.
Los ataques de ingeniería social más peligrosos son los de varias etapas. Un atacante podría primero recopilar información de redes sociales y fuentes públicas, y luego usar ese contexto para llamar a un servicio de asistencia técnica y convencerlo de que restablezca una contraseña. O suplantar a un empleado nuevo para conseguir que un compañero comparta las credenciales del wifi o el acceso al sistema. La superficie de ataque se amplía drásticamente en organizaciones donde la información sensible se comparte habitualmente por canales inseguros.
Los controles técnicos pueden reducir —pero no eliminar— el riesgo de ingeniería social. Los procedimientos estrictos de verificación, las políticas de acceso de mínimo privilegio y los programas de concienciación sobre seguridad ayudan. De forma crítica, minimizar la cantidad de datos sensibles que existen en forma persistente y legible (correos, registros de chat, documentos compartidos) limita lo que un ingeniero social puede extraer incluso cuando logra engañar a su objetivo.
Cómo usa Vaulted Ingeniería social
Vaulted limita el radio de impacto de los ataques de ingeniería social contra los flujos de trabajo de compartición de secretos. Como los enlaces de Vaulted se autodestruyen tras un número configurado de visualizaciones y el servidor almacena únicamente texto cifrado sin capacidad para descifrarlo (arquitectura de conocimiento cero), un ingeniero social que acceda a un canal de comunicación encuentra solo enlaces caducados o datos indescifrables. La clave de cifrado en el fragmento de la URL y la protección opcional con frase de contraseña añaden barreras adicionales que la ingeniería social por sí sola no puede sortear.