La ingeniería social es el término es utilizado para describir un método de ataque, donde alguien hace uso de la persuasión, muchas veces abusando de la ingenuidad o confianza de un usuario, para obtener información que pueda ser utilizada para tener acceso autorizado a ordenadores o información.
¿Qué ejemplos pueden ser citados sobre este método de ataque? Los dos primeros ejemplos presentan casos donde fueron utilizados mensajes de e-mail . El último ejemplo presenta un ataque realizado por teléfono, aunque este tipo de actos pueden ser incluso empleados por cualquier medio, incluso un sistema de tickets para ofrecer soporte.
Ejemplo 1: recibes un mensaje por e-mail, donde el remitente es el gerente o alguien en nombre del departamento de soporte de su banco. En el mensaje dice que el servicio de Internet Banking está presentando algún problema y que tal problema puede ser corregido si ejecutas la aplicación que está adjunto al mensaje. La ejecución de esta aplicación presenta una pantalla análoga a la que usted utiliza para tener acceso a la cuenta bancaria, esperando que introduzcas la contraseña. En verdad, esta aplicación está preparada para hurtar las contraseñas de acceso a la cuenta bancaria y luego enviarlas al atacante.
Ejemplo 2: recibes un mensaje de e-mail , diciendo que tu ordenador está infectado por un virus. El mensaje sugiere que instales una herramienta disponible en un sitio web de Internet para eliminar el virus del ordenador. La función real de esta herramienta no es eliminar un virus, pero sí permitir que alguien tenga acceso a tu ordenador y a todos los datos en él almacenados. Este tipo de actos, puede darse incluso desde cualquier página de Internet.
Ejemplo 3: algún desconocido llama a tu casa y dice ser del soporte técnico de tu proveedor de internet. En esta comunicación te dice que la conexión con internet está presentando algún problema y, entonces, te pide la contraseña para corregirlo. Si le dices tu contraseña, este supuesto técnico podrá realizar una infinidad de actividades maliciosas, utilizando la cuenta de acceso internet y, por lo tanto, relacionando tales actividades con su nombre.
Estos casos muestran ataques típicos de ingeniería social, pues los discursos presentados en los ejemplos buscan inducir el usuario a realizar alguna tarea y el éxito del ataque depende única y exclusivamente de la decisión del usuario en suministrar información o ejecutar programas.
