Ingeniería social (seguridad)
En el contexto de la seguridad de la información , la ingeniería social es la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial . Esto difiere de la ingeniería social dentro de las ciencias sociales, que no se refiere a la divulgación de información confidencial. Un tipo de truco de confianza con el propósito de recopilar información, fraude o acceso al sistema, se diferencia de una "estafa" tradicional en que a menudo es uno de los muchos pasos en un esquema de fraude más complejo. [1]
También se ha definido como "cualquier acto que influye en una persona para tomar una acción que puede o no ser en su mejor interés". [2]
Un ejemplo de ingeniería social es el uso de la función de "contraseña olvidada" en la mayoría de los sitios web que requieren inicio de sesión. Se puede utilizar un sistema de recuperación de contraseñas mal protegido para otorgar a un atacante malintencionado acceso completo a la cuenta de un usuario, mientras que el usuario original perderá el acceso a la cuenta.
El comportamiento de los empleados puede tener un gran impacto en la seguridad de la información en las organizaciones. Los conceptos culturales pueden ayudar a diferentes segmentos de la organización a trabajar de manera efectiva o en contra de la efectividad hacia la seguridad de la información dentro de una organización. "Explorando la relación entre la cultura organizacional y la cultura de seguridad de la información" proporciona la siguiente definición de cultura de seguridad de la información: "ISC es la totalidad de patrones de comportamiento en una organización que contribuyen a la protección de la información de todo tipo". [3]
Andersson y Reimers (2014) encontraron que los empleados a menudo no se ven a sí mismos como parte del "esfuerzo" de seguridad de la información de la organización y, a menudo, toman medidas que ignoran los mejores intereses de seguridad de la información de la organización. [4] La investigación muestra que la cultura de la seguridad de la información debe mejorarse continuamente. En "Cultura de seguridad de la información del análisis al cambio", los autores comentaron que "es un proceso interminable, un ciclo de evaluación y cambio o mantenimiento". Sugieren que para gestionar la cultura de seguridad de la información se deben seguir cinco pasos: Preevaluación, planificación estratégica, planificación operativa, implementación y postevaluación. [5]
Todas las técnicas de ingeniería social se basan en atributos específicos de la toma de decisiones humanas conocidos como sesgos cognitivos . [6] [7] Estos sesgos, a veces llamados "errores en el hardware humano", se explotan en varias combinaciones para crear técnicas de ataque, algunas de las cuales se enumeran a continuación. Los ataques utilizados en la ingeniería social se pueden usar para robar la información confidencial de los empleados. información. El tipo más común de ingeniería social ocurre a través del teléfono. Otros ejemplos de ataques de ingeniería social son los delincuentes que se hacen pasar por exterminadores, jefes de bomberos y técnicos para pasar desapercibidos mientras roban secretos de la empresa.
