De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda

El pretexto es un tipo de ataque de ingeniería social que involucra una situación, o un pretexto , creado por un atacante con el fin de atraer a una víctima a una situación vulnerable y engañarla para que brinde información privada, específicamente información que la víctima normalmente no daría fuera de la red. contexto del pretexto. [1] En su historia, los pretextos han sido descritos como la primera etapa de la ingeniería social y han sido utilizados por el FBI para ayudar en las investigaciones. [2] Un ejemplo específico de pretextos es la ingeniería social inversa, en la que el atacante engaña a la víctima para que se comunique primero con el atacante.

Una razón para la prevalencia de los pretextos entre los ataques de ingeniería social es su dependencia de la manipulación de la mente humana para obtener acceso a la información que el atacante desea, en lugar de tener que piratear un sistema tecnológico. Al buscar víctimas, los atacantes pueden estar atentos a una variedad de características, como la capacidad de confiar, la baja percepción de amenaza, la respuesta a la autoridad y la susceptibilidad a reaccionar con miedo o emoción en diferentes situaciones. [3] [4] A lo largo de la historia, los ataques de pretexto han aumentado en complejidad, habiendo evolucionado desde la manipulación de operadores por teléfono en la década de 1900 hasta el escándalo de Hewlett Packard en la década de 2000, que involucró el uso de números de seguridad social , teléfonos y bancos .[5] Los marcos educativos actuales sobre ingeniería social se utilizan en las organizaciones, aunque los investigadores del mundo académico han sugerido posibles mejoras a esos marcos. [6]

Antecedentes [ editar ]

Ingeniería social [ editar ]

La ingeniería social es una táctica de manipulación psicológica que conduce a la respuesta involuntaria o inconsciente del objetivo / víctima. [7] Es una de las principales amenazas a la seguridad de la información en el mundo moderno, que afecta a las organizaciones, la gestión empresarial y las industrias. [7] Los ataques de ingeniería social se consideran difíciles de prevenir debido a su raíz en la manipulación psicológica. [8] Estos ataques también pueden alcanzar una escala más amplia. En otros ataques de seguridad, una empresa que tiene datos de clientes podría sufrir una violación. Con los ataques de ingeniería social, tanto la empresa (específicamente los trabajadores dentro de la empresa) como el cliente directamente son susceptibles de ser atacados. [8]

Un ejemplo sería en la industria bancaria, donde no solo se puede atacar a los empleados bancarios, sino también a los clientes. Los culpables de la ingeniería social se dirigen directamente a los clientes y / o empleados para tratar de piratear un sistema puramente tecnológico y explotar las vulnerabilidades humanas. [8]

Aunque su definición en relación con la ciberseguridad se ha sesgado en diferentes publicaciones, un tema común es que la ingeniería social (en ciberseguridad) explota las vulnerabilidades humanas para violar entidades como computadoras y tecnología de la información. [2]

La ingeniería social tiene poca literatura e investigación realizada en la actualidad. Sin embargo, una parte principal de la metodología a la hora de investigar la ingeniería social es poner un pretexto inventado. Al evaluar qué ataques de ingeniería social son los más peligrosos o dañinos (es decir , phishing , vishing , water-holing ), el tipo de pretexto es un factor en gran parte insignificante, ya que algunos ataques pueden tener múltiples pretextos. Por lo tanto, el pretexto en sí mismo se usa ampliamente, no solo como un ataque propio, sino como un componente de otros. [9]

Pretextos en la línea de tiempo de la ingeniería social [ editar ]

En ciberseguridad, los pretextos pueden considerarse una de las primeras etapas de evolución de la ingeniería social. Por ejemplo, mientras que el ataque de ingeniería social conocido como phishing se basa en elementos modernos como las tarjetas de crédito y se produce principalmente en el espacio electrónico, los pretextos se implementaron y pueden implementarse sin tecnología. [10]

Pretextar fue uno de los primeros ejemplos de ingeniería social. Acuñado por el FBI en 1974, el concepto de pretextos se utilizó a menudo para ayudar en sus investigaciones. En esta fase, el pretexto consistía en que un atacante llamara a la víctima simplemente pidiéndole información. [2] Los ataques de pretexto suelen consistir en tácticas de persuasión. Después de esta fase inicial de la evolución de la ingeniería social (1974-1983), los pretextos cambiaron no solo de las tácticas de persuasión, sino también de las tácticas de engaño. A medida que se desarrolló la tecnología, también se desarrollaron métodos de pretextos. Pronto, los piratas informáticos tuvieron acceso a una audiencia más amplia de víctimas debido a la invención de las redes sociales. [2]

Ingeniería social inversa [ editar ]

La ingeniería social inversa es un ejemplo más específico de pretextos. [11] Es una forma no electrónica de ingeniería social en la que el atacante crea un pretexto en el que se manipula al usuario para que se ponga en contacto primero con el atacante y no al revés.

Por lo general, los ataques de ingeniería inversa involucran al atacante que anuncia sus servicios como un tipo de ayuda técnica, lo que genera credibilidad. Luego, se engaña a la víctima para que se ponga en contacto con el atacante después de ver anuncios, sin que el atacante se comunique directamente con la víctima en primer lugar. Una vez que un atacante logra con éxito un ataque de ingeniería social inversa, se puede establecer una amplia gama de ataques de ingeniería social debido a la confianza falsificada entre el atacante y la víctima (por ejemplo, el atacante puede darle a la víctima un enlace dañino y decir que es una solución al problema de la víctima. Debido a la conexión entre el atacante y la víctima, la víctima se inclinará a creer al atacante y hacer clic en el enlace dañino). [12]

Aspecto social [ editar ]

Pretextar fue y sigue siendo visto como una táctica útil en los ataques de ingeniería social. Según los investigadores, esto se debe a que no dependen de la tecnología (como piratear sistemas informáticos o violar la tecnología ). El pretexto puede ocurrir en línea, pero depende más del usuario y de los aspectos de su personalidad que el atacante puede utilizar para su beneficio. [13] Los ataques que dependen más del usuario son más difíciles de rastrear y controlar, ya que cada persona responde a los ataques de ingeniería social y pretextos de manera diferente. Sin embargo, atacar directamente una computadora puede requerir menos esfuerzo para resolverlo, ya que las computadoras funcionan relativamente de manera similar. [13]Hay ciertas características de los usuarios que los atacantes señalan y apuntan. En el ámbito académico, algunas características comunes [14] son:

Preciado [ editar ]

Si la víctima es "apreciada", significa que tiene algún tipo de información que el ingeniero social desea. [3]

Capacidad de confiar [ editar ]

La confiabilidad va de la mano con la simpatía, ya que, por lo general, cuanto más agrada a alguien, más se confía en él. [14] De manera similar, cuando se establece la confianza entre el ingeniero social (el atacante) y la víctima, también se establece la credibilidad. Por lo tanto, es más fácil para la víctima divulgar información personal al atacante si la víctima puede confiar más fácilmente. [4]

Susceptibilidad para reaccionar [ editar ]

Con qué facilidad reacciona una persona a los eventos y hasta qué punto se puede utilizar a favor de un ingeniero social. En particular, las emociones como la excitación y el miedo se utilizan a menudo para persuadir a las personas de que divulguen información. Por ejemplo, se podría establecer un pretexto en el que el ingeniero social se burla de un premio emocionante para la víctima si accede a darle al ingeniero social su información bancaria. El sentimiento de excitación se puede utilizar para atraer a la víctima al pretexto y persuadirla de que le dé al atacante la información que busca. [14]

Baja percepción de amenaza [ editar ]

A pesar de comprender que existen amenazas al hacer algo en línea, la mayoría de las personas realizarán acciones en contra de esto, como hacer clic en enlaces aleatorios o aceptar solicitudes de amistad desconocidas. [14] Esto se debe a que una persona percibe que la acción tiene una amenaza baja o una consecuencia negativa. Esta falta de miedo / amenaza, a pesar de ser consciente de su presencia, es otra razón por la que prevalecen los ataques de ingeniería social, especialmente los pretextos. [15]

Respuesta a la autoridad [ editar ]

Si la víctima es sumisa y obediente, entonces es más probable que un atacante tenga éxito en el ataque si se establece un pretexto en el que la víctima cree que el atacante se presenta como algún tipo de figura autorizada. [14]

Ejemplos a lo largo de la historia [ editar ]

Pretextos tempranos (1970-80) [ editar ]

El artículo de octubre de 1984 Centros de conmutación y operadores detallaba un ataque de pretexto común en ese momento. Los atacantes a menudo se comunicaban con operadores que operaban específicamente para personas sordas que usaban teletipos. La lógica era que estos operadores a menudo eran más pacientes que los operadores habituales, por lo que era más fácil manipularlos y persuadirlos de la información que el atacante deseaba. [2]

Ejemplos recientes [ editar ]

El más notable es el escándalo de Hewlett Packard . La empresa Hewlett Packard quería saber quién estaba filtrando información a los periodistas. Para hacerlo, proporcionaron a los investigadores privados la información personal de los empleados (como los números de seguro social) y los investigadores privados, a su vez, llamaron a las compañías telefónicas haciéndose pasar por esos empleados con la esperanza de obtener registros de llamadas. Cuando se descubrió el escándalo, el CEO renunció. [dieciséis]

En general, los socialbots son perfiles de redes sociales falsos operados por máquinas empleados por atacantes de ingeniería social. En sitios de redes sociales como Facebook, los socialbots se pueden usar para enviar solicitudes de amistad masivas con el fin de encontrar tantas víctimas potenciales como sea posible. [5] Usando técnicas de ingeniería social inversa, los atacantes pueden usar socialbots para obtener cantidades masivas de información privada sobre muchos usuarios de redes sociales. [17]

Marcos educativos actuales [ editar ]

Los marcos educativos actuales sobre el tema de la ingeniería social se dividen en dos categorías: sensibilización y formación. La conciencia es cuando la información sobre ingeniería social se presenta a la parte destinataria para informarles sobre el tema. La capacitación consiste específicamente en enseñar las habilidades necesarias que las personas aprenderán y usarán en caso de que se encuentren en un ataque de ingeniería social o puedan encontrarlo. [6] La concienciación y la formación se pueden combinar en un proceso intensivo al construir marcos educativos.

Si bien se han realizado investigaciones sobre el éxito y la necesidad de los programas de formación en el contexto de la educación en ciberseguridad, [18] se puede perder hasta el 70% de la información cuando se trata de la formación en ingeniería social. [19] En un estudio de investigación sobre la educación en ingeniería social en bancos de todo el Pacífico asiático , se descubrió que la mayoría de los marcos solo se referían a la concienciación o la capacitación. Además, el único tipo de ataque de ingeniería social que se enseñó fue el phishing. Al observar y comparar las políticas de seguridad en los sitios web de estos bancos, las políticas contienen lenguaje generalizado como "malware" y "estafas", mientras que también pierden los detalles detrás de los diferentes tipos de ataques de ingeniería social y ejemplos de cada uno de esos tipos. . [6]

Esta generalización no beneficia a los usuarios que están siendo educados por estos marcos, ya que falta una profundidad considerable cuando el usuario solo está educado en términos amplios como los ejemplos anteriores. Además, los métodos puramente técnicos para combatir la ingeniería social y los ataques de pretexto, como los cortafuegos y los antivirus , son ineficaces. Esto se debe a que los ataques de ingeniería social generalmente implican la explotación de las características sociales de la naturaleza humana, por lo que combatir la tecnología puramente es ineficaz. [20]

Ver también [ editar ]

  • Ingeniería social
  • Pretexto
  • Suplantación de identidad
  • Escándalo de espionaje de Hewlett-Packard
  • FBI

Referencias [ editar ]

  1. ^ Greitzer, FL; Strozer, JR; Cohen, S .; Moore, AP; Mundie, D .; Cowley, J. (mayo de 2014). "Análisis de amenazas internas involuntarias derivadas de exploits de ingeniería social" . Talleres de seguridad y privacidad de IEEE 2014 : 236–250. doi : 10.1109 / SPW.2014.39 . ISBN 978-1-4799-5103-1. S2CID  15493684 .
  2. ^ a b c d e Wang, Zuoguang; Sun, Limin; Zhu, Hongsong (2020). "Definición de Ingeniería Social en Ciberseguridad" . Acceso IEEE . 8 : 85094–85115. doi : 10.1109 / ACCESS.2020.2992807 . ISSN 2169-3536 . S2CID 218676466 .  
  3. ↑ a b Steinmetz, Kevin F. (7 de septiembre de 2020). "La identificación de una víctima modelo para la ingeniería social: un análisis cualitativo" . Víctimas y delincuentes : 1–25. doi : 10.1080 / 15564886.2020.1818658 . ISSN 1556-4886 . 
  4. ↑ a b Algarni, Abdullah (junio de 2019). "Qué características del mensaje hacen que la ingeniería social sea exitosa en Facebook: el papel de la ruta central, la ruta periférica y el riesgo percibido" . Información . 10 (6): 211. doi : 10.3390 / info10060211 .
  5. ^ a b Paraíso, Abigail; Shabtai, Asaf; Puzis, Rami (1 de septiembre de 2019). "Detección de Socialbots orientados a la organización mediante el seguimiento de perfiles de redes sociales" . Redes y economía espacial . 19 (3): 731–761. doi : 10.1007 / s11067-018-9406-1 . ISSN 1572-9427 . S2CID 158163902 .  
  6. ^ a b c Ivaturi, Koteswara; Janczewski, Lech (1 de octubre de 2013). "Preparación de ingeniería social de los bancos en línea: una perspectiva de Asia y el Pacífico" . Revista de Gestión Global de Tecnologías de la Información . 16 (4): 21–46. doi : 10.1080 / 1097198X.2013.10845647 . ISSN 1097-198X . S2CID 154032226 .  
  7. ^ a b Ghafir, Ibrahim; Saleem, Jibran; Hammoudeh, Mohammad; Faour, Hanan; Prenosil, Vaclav; Jaf, Sardar; Jabbar, Sohail; Baker, Thar (octubre de 2018). "Amenazas a la seguridad de la infraestructura crítica: el factor humano" . El diario de la supercomputación . 74 (10): 4986–5002. doi : 10.1007 / s11227-018-2337-2 . ISSN 0920-8542 . S2CID 4336550 .  
  8. ^ a b c Airehrour, David; Nair, Nisha Vasudevan; Madanian, Samaneh (3 de mayo de 2018). "Ataques y contramedidas de ingeniería social en el sistema bancario de Nueva Zelanda: avance de un modelo de mitigación reflexiva del usuario" . Información . 9 (5): 110. doi : 10.3390 / info9050110 . ISSN 2078-2489 . 
  9. ^ Bleiman, Rachel (2020). Un examen en ingeniería social: la susceptibilidad de divulgar información de seguridad privada en estudiantes universitarios (tesis). doi : 10.34944 / dspace / 365 .
  10. ^ Chin, Tommy; Xiong, Kaiqi; Hu, Chengbin (2018). "Phishlimiter: un enfoque de mitigación y detección de phishing utilizando redes definidas por software" . Acceso IEEE . 6 : 42516–42531. doi : 10.1109 / ACCESS.2018.2837889 . ISSN 2169-3536 . S2CID 52048062 .  
  11. ^ Greitzer, Frank L .; Strozer, Jeremy R .; Cohen, Sholom; Moore, Andrew P .; Mundie, David; Cowley, Jennifer (mayo de 2014). "Análisis de amenazas internas involuntarias derivadas de exploits de ingeniería social" . Talleres de seguridad y privacidad de IEEE 2014 . San José, CA: IEEE: 236–250. doi : 10.1109 / SPW.2014.39 . ISBN 978-1-4799-5103-1. S2CID  15493684 .
  12. ^ Irani, Danesh; Balduzzi, Marco; Balzarotti, Davide; Kirda, Engin; Pu, Calton (2011). Holz, Thorsten; Bos, Herbert (eds.). "Ataques de ingeniería social inversa en redes sociales online" . Detección de intrusiones y malware, y evaluación de vulnerabilidades . Apuntes de conferencias en informática. Berlín, Heidelberg: Springer. 6739 : 55–74. doi : 10.1007 / 978-3-642-22424-9_4 . ISBN 978-3-642-22424-9.
  13. ^ a b Heartfield, Ryan; Loukas, George (2018), Conti, Mauro; Somani, Gaurav; Poovendran, Radha (eds.), "Protection Against Semantic Social Engineering Attacks" , Versatile Cybersecurity , Cham: Springer International Publishing, 72 , págs. 99–140, doi : 10.1007 / 978-3-319-97643-3_4 , ISBN 978-3-319-97642-6, consultado el 29 de octubre de 2020
  14. ↑ a b c d e Workman, Michael (13 de diciembre de 2007). "Obtener acceso con la ingeniería social: un estudio empírico de la amenaza" . Seguridad de los sistemas de información . 16 (6): 315–331. doi : 10.1080 / 10658980701788165 . ISSN 1065-898X . S2CID 205732672 .  
  15. ^ Krombholz, Katharina; Merkl, Dieter; Weippl, Edgar (diciembre de 2012). "Identidades falsas en las redes sociales: un caso de estudio sobre la sostenibilidad del modelo de negocio de Facebook" . Revista de investigación científica de servicios . 4 (2): 175–212. doi : 10.1007 / s12927-012-0008-z . ISSN 2093-0720 . S2CID 6082130 .  
  16. ^ Obrero, Michael (2008). "Wisecrackers: una investigación basada en la teoría de phishing y amenazas de ingeniería social de pretexto a la seguridad de la información" . Revista de la Sociedad Estadounidense de Ciencia y Tecnología de la Información . 59 (4): 662–674. doi : 10.1002 / asi.20779 . ISSN 1532-2882 . 
  17. ^ Boshmaf, Yazan; Muslukhov, Ildar; Beznosov, Konstantin; Ripeanu, Matei (4 de febrero de 2013). "Diseño y análisis de una botnet social" . Redes informáticas . Actividad de botnet: análisis, detección y cierre. 57 (2): 556–578. doi : 10.1016 / j.comnet.2012.06.006 . ISSN 1389-1286 . 
  18. ^ McCrohan, Kevin F .; Engel, Kathryn; Harvey, James W. (14 de junio de 2010). "Influencia de la sensibilización y la formación en ciberseguridad" . Revista de comercio de Internet . 9 (1): 23–41. doi : 10.1080 / 15332861.2010.487415 . ISSN 1533-2861 . S2CID 154281581 .  
  19. ^ Ghafir, Ibrahim; Saleem, Jibran; Hammoudeh, Mohammad; Faour, Hanan; Prenosil, Vaclav; Jaf, Sardar; Jabbar, Sohail; Baker, Thar (1 de octubre de 2018). "Amenazas a la seguridad de la infraestructura crítica: el factor humano" . El diario de la supercomputación . 74 (10): 4986–5002. doi : 10.1007 / s11227-018-2337-2 . ISSN 1573-0484 . S2CID 4336550 .  
  20. ^ Heartfield, Ryan; Loukas, George; Gan, Diane (2016). "Probablemente no eres el eslabón más débil: hacia la predicción práctica de la susceptibilidad a los ataques de ingeniería social semántica" . Acceso IEEE . 4 : 6910–6928. doi : 10.1109 / ACCESS.2016.2616285 . ISSN 2169-3536 . S2CID 29598707 .