Está por iniciar una nueva temporada de Hive desde Cero, y una vez más, estaré colaborando en este bonito proyecto educativo abordando el tema de Seguridad Informática. Esto me motiva a seguir escribiendo y documentando los temas que acostumbro mencionar en mis clases. Uno de ellos, tal vez sea al que menos se le presta atención, pero que, paradójicamente, suele ser el flanco más vulnerable del usuario final. Es momento de hablar de la Ingeniería Social.
Entre las muchas amenazas en línea, la Ingeniería Social emerge como una de las tácticas más efectivas utilizadas por actores maliciosos para comprometer la información y los sistemas de sus víctimas. El término, por sí solo, evoca astucia e ingenio. Básicamente, se trata de obtener información confidencial, y para ello emplea técnicas de manipulación psicológica. Olvídate de compararlo con un ataque de fuerza bruta. La inteligencia social está lejos de parecerse a un ataque informático tradicional que explota vulnerabilidades técnicas; esta práctica es mucho más sutil y sofisticada, se centra específicamente en la persuasión y la manipulación de la confianza.
Esta forma de ataque, literalmente, tiene varios rostros, pues estamos hablando de términos como suplantación de identidad, phishing, pretexting e ingeniería social inversa. Desde "pescar" datos mediante la persuasión para hacer clic en enlaces fraudulentos, rellenar falsos formularios, hasta suplantar identidades de manera tan convincente que las víctimas no puedan sospechar. La ingeniería social está plagada de artimañas; el atacante se vale de los recursos que sean necesarios para persuadir, fustigar o amenazar; pero también, para empatizar, agradar y convencer.
El modus operandi, si podemos llamarlo así, se basa en una investigación previa a la víctima, lo que incluye la recopilación de información útil y comprometedora. Le sigue el señuelo, el gancho para "pescar" a la víctima, y una vez que tiene su atención, lo lleva al paredón de fusilamiento, lo ejecuta, lo quiebra psicológicamente, y gana. Por último, limpia la escena del crimen, sin sangre ni huellas. Un crimen casi perfecto.
! [ENGLISH VERSION]
The new season of Hive from Scratch is about to begin, and once again, I will be collaborating on this beautiful educational project, addressing the topic of Cybersecurity. This motivates me to continue writing and documenting the subjects I usually cover in my classes. One of them, perhaps the least paid attention to, yet paradoxically the most vulnerable flank of the end user is the focus of discussion now: Social Engineering.
Among the many online threats, Social Engineering emerges as one of the most effective tactics used by malicious actors to compromise the information and systems of their victims. The term alone evokes cunning and ingenuity. Essentially, it is about obtaining confidential information using psychological manipulation techniques. Forget about comparing it to a brute force attack; social intelligence is far from resembling a traditional cyber attack that exploits technical vulnerabilities; this practice is much more subtle and sophisticated, focusing specifically on persuasion and trust manipulation.
This form of attack literally wears various faces, as we are talking about terms such as identity theft, phishing, pretexting, and reverse social engineering. From "fishing" for data through persuasion to clicking on fraudulent links, filling out fake forms, to impersonating identities so convincingly that victims can't suspect. Social engineering is riddled with tricks; the attacker uses whatever resources are necessary to persuade, intimidate, or threaten, but also to empathize, please, and convince.
The modus operandi, if we can call it that, is based on prior research on the victim, including the collection of useful and compromising information. It follows the bait, the hook to "fish" the victim, and once it has their attention, it leads them to the firing squad, executes them, breaks them psychologically, and wins. Finally, it cleans the crime scene, without blood or traces. Almost a perfect crime.
El terreno de las emociones es complejo y delicado, un verdadero campo minado donde cualquier paso en falso puede detonar una explosión. En la Ingeniería Social, la manipulación psicológica se nutre de miedos, urgencias, deseos, empatía y confusión. ¿Cómo nos protegemos? La respuesta podría ser aprendiendo a desconfiar, pero incluso eso es un desafío emocional. Por ello, apelar al sentido común, ese sentido tan poco común, se convierte en un escudo de protección. Reconocer la realidad y la posibilidad de caer en estas trampas nos vuelve más receptivos a las señales de alarma, nos abre los ojos y nos enseña a dudar de aquello que parece extremadamente atractivo y tentador. Cuanto más atractivo, más peligroso.
Es un hecho, adoptar hábitos de seguridad informática se convierte en nuestra primera línea de defensa, pero también lo es el celo o reserva a la hora de compartir información confidencial, la verificación meticulosa y la investigación constante. La duda y la desconfianza, aunque suene redundante, son herramientas poderosas para discernir conscientemente de las intenciones maliciosas. Evitar la exposición desmedida en redes sociales y la restricción de información personal son medidas preventivas que debemos adoptar; más privacidad, ya que la Ingeniería Social se alimenta de la información que deliberadamente revelamos.
La Ingeniería Social no tiene horario ni fecha en el calendario, no descansa, ni toma vacaciones... no da treguas. Si te conviertes en el blanco, estarán siempre al acecho. Es tan sutil que puede pasar desapercibida, ¡vamos! es ingeniería con efecto psicológico aprovechándose de la fragilidad humana. Enfrentarla es realmente desafiante; cuanto antes lo entendamos, mejor. Pretender restarle importancia e impacto es jugar en contra. No obstante, la concientización, la educación y la adopción de buenas prácticas de seguridad pueden fortalecer la resistencia contra estas amenazas.
! [ENGLISH VERSION]
The terrain of emotions is complex and delicate, a true minefield where any misstep can trigger an explosion. In Social Engineering, psychological manipulation feeds on fears, urgencies, desires, empathy, and confusion. How do we protect ourselves? The answer could be learning to distrust, but even that is an emotional challenge. Therefore, appealing to common sense, that uncommon sense, becomes a shield of protection. Recognizing the reality and the possibility of falling into these traps makes us more receptive to warning signs, opens our eyes, and teaches us to doubt what seems extremely attractive and tempting. The more attractive, the more dangerous.
It is a fact; that adopting cybersecurity habits becomes our first line of defense, but so is discretion or reserve when sharing confidential information, meticulous verification, and constant research. Doubt and distrust, though it may sound redundant, are powerful tools to consciously discern malicious intentions. Avoiding excessive exposure to social media and restricting personal information are preventive measures we must adopt; more privacy, as Social Engineering feeds on the information we deliberately reveal.
Social Engineering has no schedule or date on the calendar; it does not rest or take vacations... it gives no quarter. If you become the target, they will always be lurking. It is so subtle that it can go unnoticed. Come on! It's engineering with a psychological effect, taking advantage of human fragility. Facing it is truly challenging; the sooner we understand this, the better. Pretending to downplay its importance and impact is playing against ourselves. Nevertheless, awareness, education, and the adoption of good security practices can strengthen resistance against these threats.
Translation: ChatGPT.
Imágenes generadas por la IA Dall-E 3 integrada en Bing. Diseño de miniatura en Canva.com.
Images generated by the Dall-E 3 AI integrated with Bing.Thumbnail design on Canva.com.
