Social hacking: acceder a datos sin autorización
Lograr el acceso no autorizado a un activo digital no requiere conocimientos avanzados; un par de preguntas, algunas observaciones y unas cuantas validaciones hacen falta para obtener el control sobre los mecanismos de ingreso y recuperación de cuentas y datos.
¡La situación es tan sencilla que parece inverosímil!
Antes de continuar, es preciso indicar que este artículo sirve como material de estudio del curso “Google para profesionales”, un programa de formación creado por “Escuela Digital” que busca desarrollar competencias TIC en los futuros profesionales de América Latina y el mundo.
¿Qué es el social hacking?
El «hacking social» se refiere a las técnicas empleadas para eludir los mecanismos y los protocolos de seguridad de un sistema informático, a través de la observación y el análisis de datos y comportamientos de los mismos usuarios.
En otras palabras, consiste en «hackear al ser humano», en lugar de enfrentarse a las múltiples capas de seguridad que puede tener un sistema de información, como contraseñas, llaves físicas de seguridad, verificación en dos pasos y acceso restringido mediante rangos de direcciones IP.
Según la empresa Kaspersky, experta en temas de ciberseguridad personal y empresarial, la ingeniería social -como también es conocido el concepto- se refiere a las técnicas que logran obtener información privada a partir de los errores y descuidos de los mismos usuarios; situación que no sólo se presenta en entornos electrónicos, sino en cualquier escenario de participación humana.
En resumen, este tipo de ingeniería se aprovecha del descuido de los usuarios para engañarlos y manipularlos, logrando que entreguen datos e informaciones sin ser conscientes del riesgo que están corriendo.
Objetivo del social hacking
Por lo general, quienes realizan este tipo de prácticas (mal conocidos como hackers, pero que en realidad deben llamarse crackers) buscan dos objetivos:
- Alterar o corromper datos, informaciones, contenidos o sistemas de información para causar daños y molestias a otras personas u organizaciones.
- Acceder de manera ilícita a los activos digitales de usuarios o empresas para robar información de valor, como datos, accesos a entornos restringidos o información financiera.
Además, es posible que el cracker esté motivado por otros factores, como la protesta o el desafío propio o el de una comunidad de usuarios interesados en comportamientos ilícitos.
¿Qué es la Información de Identificación Personal?
En este punto es importante realizar un paréntisis para conocer qué son los Personally Identifiable Information – PII.
Los PII se refiere a cualquier dato o información que puede utilizarse para reconocer o rastrear la identidad de una persona.
Son ejemplo de ellos:
- Nombres y apellidos.
- Número de identificación.
- Fecha y lugar de nacimiento.
- Registros biométricos.
- Dirección de residencia y código postal.
- Dirección de correo electrónico.
- Perfil en redes sociales.
- Números de teléfono.
- Género.
Asimismo, se identifican como PII la información médica, laboral y financiera.
Algunos sistemas de interacción en línea limitan la publicación de estos datos, con el propósito de proteger la identidad de los usuarios.
Por ejemplo, las Comunidades de Ayuda de Google establecen una matriz PII que indica qué información puede ser ingresada por el usuario, de acuerdo con el producto sobre el que requiere asistencia.
¿Necesitas asesoría en comunicación digital?
Diseña y optimiza tus proyectos en comunicación digital, entregando una mejor experiencia a tus usuarios y potenciando el valor de tu marca.
Conversemos
Paso a paso del hacking social
La mayoría de casos de hackeo social inician con una conversación entre el atacante y la víctima. El primero utiliza diferentes métodos para que el último cometa un error y deje comprometido su activo digital.
El ciclo de ingeniería social tiende a presentar estos pasos:
- Preparación. Consiste en buscar, clasificar y consolidar datos e informaciones sobre la víctima. Para ello, el cracker utiliza parámetros y operadores de búsqueda avanzada y recopila información de las redes sociales, entre otros.
- Infiltración. Una vez se logra el perfilamiento de la víctima, el atacante establece comunicación, apelando a narrativas y mediaciones que buscan generar confianza. La suplantación de identidad es un ejemplo de ello.
- Ataque. Este paso inicia cuando se han identificado las debilidades de la víctima y la confianza ha sido lograda a través de engaños y manipulaciones. Es el momento de solicitar la información confidencial.
- Desentendimiento. El atacante finge desconocimiento de la situación o simplemente desaparece, luego de realizar el sabotaje o el robo de la información.
De acuerdo a la víctima, la técnica y el objetivo, la ingeniería social puede cumplir su objetivo en minutos (con un simple correo electrónico) o tomar meses (creando perfiles falsos y estableciendo una comunicación de largo aliento, que busque generar lazos de confianza entre las partes).
Técnicas de social hacking
Son múltiples los métodos empleados para lograr el acceso no autorizado. Incluso, algunas prácticas son híbridas, utilizando dos o más técnicas de ingeniería social.
Como se mencionó, todo depende de la víctima y el objetivo que se pretende alcanzar.
Las técnicas de hacking social más conocidas son:
- Shoulder surfing.
- Dumpster diving.
- Roleplaying.
- Phishing.
- Baiting.
- Pretexting.
- Tailgating.
- Quid Pro Quo.
- Watering hole.
- Honey trapping.
A modo de conclusión
Como dicen algunos ingenieros en ciberseguridad, “el punto más débil en la protección de cuentas y sistemas digitales de información es el mismo usuario”.
Es así como el social hacking aprovecha las debilidades, los temores y el desconocimiento digital de las personas para lograr el acceso a datos e informaciones que están protegidos por mecanismos complejos de vulnerar.
Una de las principales soluciones para evitar ser víctima de la ingeniería social es, precisamente, saber de qué va y cómo funciona.
En «Cómo mejorar la protección ante el social hacking» se relacionan y describen algunas recomendaciones de ciberseguridad. ¡Lectura recomendada!
Tu aporte nos permite crear contenidos. Tu apoyo desde Nequi
¡Vamos por los 25.000 suscriptores en YouTube! Suscríbete
¿Tienes una pregunta sobre el artículo? Cuéntanos en los comentarios. Además, si buscas información sobre un tema y no está disponible, anótalo a continuación para agregarlo a nuestra agenda de contenidos.
—
Por:
Juan Carlos Morales S.
Comunicador y educador
YouTube | LinkedIn | Instagram | Twitter
Social hacking: acceder a datos sin autorización por juancadotcom se distribuye bajo una Licencia Creative Commons Atribución-CompartirIgual 4.0 Internaciona . Basada en una obra en https://e-lexia.com/blog .