Piratería social
La piratería social describe el acto de intentar manipular los resultados del comportamiento social a través de acciones orquestadas. La función general de la piratería social es obtener acceso a información restringida o a un espacio físico sin el permiso adecuado. Muy a menudo, los ataques de piratería social se logran personificando a un individuo o grupo que las víctimas conocen directa o indirectamente o representando a un individuo o grupo en una posición de autoridad.
Esto se hace a través de la investigación premeditada y la planificación para ganar la confianza de las víctimas. Los hackers sociales toman grandes medidas para presentar connotaciones de familiaridad y confiabilidad para obtener información confidencial o personal. La piratería social se asocia más comúnmente como un componente de » ingeniería social «.
Aunque la práctica implica ejercer control sobre el comportamiento humano en lugar de las computadoras, el término «piratería social» también se usa en referencia al comportamiento en línea y, cada vez más, a la actividad de las redes sociales. La técnica se puede usar de varias maneras que afectan la percepción pública y, por el contrario, aumentan la conciencia pública sobre la actividad de piratería social.
Sin embargo, si bien la conciencia ayuda a reducir el volumen de piratas informáticos, la tecnología ha permitido que las herramientas de ataque se vuelvan más sofisticadas.
Técnicas de piratería social
Llevar a cabo un ataque de piratería social implica buscar debilidades en el comportamiento del usuario que puedan explotarse a través de medios aparentemente legítimos. Tres métodos populares de ataque incluyen el basurero, el juego de roles y el phishing.
Dumpster Diving
Examinar la basura es una táctica popular para que los hackers sociales recuperen información sobre los hábitos, actividades e interacciones de organizaciones e individuos. La información recuperada de la propiedad descartada permite a los hackers sociales crear perfiles efectivos de sus objetivos. La información de contacto personal, como los títulos de los empleados y los números de teléfono, se puede obtener de las guías telefónicas o directorios descartados y se puede utilizar para obtener más información técnica, como datos de inicio de sesión y contraseñas de seguridad.
Otro hallazgo ventajoso para los hackers sociales es el hardware desechado, especialmente los discos duros que no se han limpiado adecuadamente y que aún contienen información privada y precisa sobre corporaciones o individuos.Dado que navegar por la basura de la acera de las personas no es un delito penal y no requiere una orden judicial, es un recurso rico para los hackers sociales, así como uno legalmente accesible.
El buceo en el contenedor puede producir resultados fructíferos, aunque malolientes, para los buscadores de información, como investigadores privados, acosadores, vecinos curiosos y la policía.
Juego de roles
Establecer confianza al engañar a las personas para que crean en la legitimidad de un personaje falso es uno de los principios fundamentales de la piratería social. Adoptar una personalidad falsa o hacerse pasar por una figura conocida para engañar a las víctimas para que compartan detalles personales se puede hacer en persona o por conversación telefónica.
En persona
Haciéndose pasar por trabajadores de mantenimiento de terceros en un edificio de oficinas, médicos en un hospital, o una de muchas otras formas, los hackers sociales pueden pasar desapercibidos al personal de seguridad y otros empleados. En ambos ejemplos, la vestimenta uniforme está asociada con funciones laborales específicas, lo que da a las personas razones para confiar en los imitadores.
Una maniobra más complicada involucraría un ciclo de planificación más largo, como tomar un empleo dentro de una organización que está siendo atacada.
En la película Ocean’s Eleven, un sofisticado equipo de estafadores planea un atraco elaborado para robar tres casinos populares de Las Vegas asimilándose en las actividades cotidianas de las operaciones de los casinos. Aunque el atraco se ejecuta en menos de un día, el ciclo de planificación es largo y notablemente exigente.
Una función imperativa del ataque es presentar credibilidad en los roles que se suplantan, a lo que inevitablemente se requiere atención al detalle.
Chupar rueda
Chupar rueda es el acto de seguir a alguien a un espacio restringido, como un edificio de oficinas o una institución académica. Los trabajadores de mantenimiento de terceros, o el personal médico, como se mencionó anteriormente, a menudo tienen una causa limitada para justificar su credibilidad debido a sus apariencias.
Similar al juego de roles, las funciones de seguimiento en torno a la asunción de familiaridad y confianza. Las personas son menos propensas a reaccionar sospechosamente a cualquiera que parezca encajar en el entorno, y serán aún menos propensas a interrogar a las personas que no llaman la atención sobre sí mismas.
Seguir a alguien de manera modesta puede incluso eliminar la necesidad de establecer una relación con el personal autorizado.
Spear Phishing
Los hacks sociales en línea incluyen » spear phishing » en el que los piratas informáticos engañan a sus víctimas para que divulguen información confidencial sobre sí mismos o su organización. Los hackers se dirigirán a individuos dentro de organizaciones específicas mediante el envío de correos electrónicos que parecen provenir de fuentes confiables, incluidos altos funcionarios de la organización que ocupan puestos de autoridad.
Para parecer convincente, el mensaje de correo electrónico de un hacker social debe establecer un tono de familiaridad que oculte cualquier sospecha de su destinatario. El correo electrónico está diseñado para presentar una solicitud de información que se vincula lógicamente con la persona que lo envía.A menudo, los empleados de la empresa serán víctimas de estos correos electrónicos y compartirán información personal, como números de teléfono o contraseñas, pensando que la transferencia de información se realiza en un entorno seguro.
En escenarios más siniestros, los correos electrónicos de los piratas informáticos pueden estar integrados con malware que infecta las computadoras de las víctimas sin su conocimiento y transfiere en secreto datos privados directamente a los piratas informáticos. Desde octubre de 2013 hasta diciembre de 2016, el FBI investigó más de 22,000 de estos incidentes relacionados con empresas estadounidenses.
En total, vieron pérdidas cercanas a los $ 1.6 mil millones.
Un ejemplo exitoso de spear phishing fue muy publicitado en los medios de comunicación en enero de 2014, cuando Target, un minorista con sede en EE. UU., Experimentó una violación de seguridad que permitió a los piratas informáticos robar la información de datos personales y tarjetas de crédito de los clientes.
Más tarde, se reveló que los ciberdelincuentes podían acceder a los archivos de datos financieros y personales de Target al dirigirse a una compañía mecánica de terceros que tenía acceso a las credenciales de la red de Target. Las implicaciones sociales de un pirateo social de tan alto perfil afectan la popularidad de Target como minorista, pero también la confianza y lealtad de los consumidores hacia la marca.
Otro ejemplo de Spear Phishing ocurrió en junio de 2015 a Ubiquiti Networks Inc, una compañía de tecnología de red con sede en los Estados Unidos. Durante este acto de Spear Phishing, Ubiquiti Networks supuestamente perdió más de 46.7 millones de dólares. El grupo de piratería envió correos electrónicos de Spear Phishing a los empleados del departamento de finanzas.
Estos piratas informáticos enviaron correos electrónicos de phishing directo a los empleados del departamento de finanzas haciéndose pasar por ejecutivos de la compañía. Los piratas informáticos lograron engañar a los empleados para que transfirieran fondos a grupos de terceros en el mar. Afortunadamente para Ubiquiti Networks, se recuperaron 8,1 millones de dólares de los piratas informáticos.
Seguridad
Aunque Target puede no haber estado aflojando su seguridad, los piratas informáticos pudieron infiltrarse en la red de Target indirectamente, al identificar a una empresa externa con acceso a las credenciales de Target. El truco social fue estafar a los empleados de terceros para divulgar información confidencial, mientras que el delito cibernético se llevó a cabo mediante un ataque de phishing de correo electrónico infectado con malware.
La necesidad de una seguridad en línea vigilante se destaca por los ataques cibernéticos contra corporaciones como Target, así como otras empresas globales y sitios web de alto tráfico. Incluso los sitios web pequeños son vulnerables a los ataques, específicamente porque se supone que su protección de seguridad es baja.En el caso de Target, la compañía mecánica de terceros tenía un software de seguridad inadecuado que los dejaba abiertos a un ataque de malware.
En un incidente similar, Yahoo Mail también anunció en enero de 2014 que su sistema había sido pirateado y se había accedido a varias cuentas de correo electrónico de usuarios. Si bien el origen de la causa no estaba claro, la escasa seguridad estaba nuevamente en el centro del problema. En ambos casos, las grandes corporaciones con una supuesta comprensión de las políticas de seguridad se vieron comprometidas.
También en ambos casos, los datos del consumidor fueron robados.
En un estudio de Orgill et al., Se observa que «es importante que cada persona responsable de la seguridad informática pregunte si su sistema es vulnerable a los ataques de los ingenieros sociales y, de ser así, cómo puede el efecto de un ataque de ingeniería social ser mitigado «. El uso de contraseñas seguras es un método simple y fácil que ayuda en la mitigación, al igual que el uso de un software antivirus confiable y efectivo.
Otras medidas preventivas incluyen el uso de diferentes inicios de sesión para los servicios utilizados, el monitoreo frecuente de cuentas y datos personales, así como también estar alerta a la diferencia entre una solicitud de ayuda y un intento de phishing por parte de extraños.
Piratería ética
Para contrarrestar las infracciones de seguridad a manos de hackers sociales y técnicos, las empresas emplean profesionales de seguridad, conocidos como hackers éticos, o más popularmente, hackers de sombrero blanco, para intentar entrar en sus sistemas de la misma manera que los hackers sociales emplearían.
Los hackers éticos aprovecharán los mismos métodos de herramientas que los hackers con intención criminal pero con objetivos legítimos. Los piratas informáticos éticos evalúan las fortalezas y debilidades de seguridad y proporcionan opciones correctivas. La piratería ética también se conoce como pruebas de penetración, pruebas de intrusión y formación de equipos rojos.
Impactando las redes sociales
Internet ofrece a los hackers sociales la capacidad de poblar espacios de contenido sin detectar comportamientos sospechosos. La piratería social también puede ocurrir en entornos donde prevalece el contenido generado por el usuario. Esto incluye la oportunidad de influir en las encuestas de opinión e incluso de sesgar los datos más allá de un punto de validez.
La piratería social también se puede utilizar para proporcionar comentarios favorables, por ejemplo, en sitios web de productos. También se puede utilizar para contrarrestar la retroalimentación negativa con una afluencia de respuestas positivas (» botón de me gusta «), por ejemplo, en las secciones de comentarios de blogs o artículos de noticias.
La piratería social puede dañar el perfil en línea de una persona o una marca por el simple hecho de acceder a la información que está abiertamente disponible a través de los canales de redes sociales.
Apropiación tecnológica
La apropiación de la tecnología se puede percibir como un tipo de piratería social, ya que implica la manipulación social de una tecnología. Describe el esfuerzo de los usuarios para dar sentido a una tecnología dentro de sus propios contextos más allá de adoptar su uso previsto. Cuando esto sucede, el uso de la tecnología puede cambiar.
La adaptación de una tecnología puede incorporar la reinterpretación de su función y significado, en el sentido de que la tecnología en sí misma puede asumir un nuevo papel. La apropiación acentúa que el usuario ajusta la tecnología para su propia mejor práctica, mientras que la adaptación informa que el uso a veces cambia en general.
Por ejemplo, los avances en la tecnología actual hacen que sea más fácil que nunca retratar a otra persona. Este método se conoce como crear un «deepfake». Una falsa profunda es donde alguien puede recrear a otra persona ‘ s cara y voz con un programa de computadora. Se utiliza para fingir que las personas dicen y hacen cosas que nunca han hecho o dicho antes.
Las figuras públicas pueden ser más» falsificables «a través de este método que las privadas. Las situaciones de rutina visual, como una conferencia de prensa, tienen más probabilidades de ser falsificadas que las completamente nuevas». Los deepfakes pueden ser muy peligrosos en el sentido de que pueden usarse para falsificar lo que han dicho personas con alta autoridad, como el presidente y los políticos.
Ha habido muchos artículos y debates sobre el nuevo descubrimiento de deepfakes, comoel video deYoutuber Shane Dawson, «Conspiracy Theories with Shane Dawson», donde habla sobre la conspiración de deepfakes y lo que podrían significar para el mundo de hoy.
La piratería social también está afiliada a la empresa social. Las empresas sociales pueden representarse en forma de organizaciones con o sin fines de lucro que fomentan estrategias comerciales socialmente responsables para el bienestar ambiental y humano a largo plazo. El concepto de piratear socialmente nuevas empresas dentro de la estructura capitalista existente es un esfuerzo humano que alienta a las personas a reevaluar los sistemas sociales a los que estamos acostumbrados, para identificar los problemas que no se están abordando.
Se pueden crear nuevas empresas para reemplazar las antiguas con sistemas que refuercen la sostenibilidad y el crecimiento regenerativo.
Ver también
Especialista Certificado en Prevención de Ingeniería Social (CSEPS)
Ciberheist
Entrenamiento de Conciencia de Seguridad en Internet
Riesgo de TI
Prueba de penetración
Gestión de la percepción
Suplantación de identidad
Piggybacking (seguridad)
SMiShing
Vishing
Deepfake
Referencias
Copia archivada» (PDF). Archivado desdeel original (PDF)el 14 de abril de 2014. Consultado el 3 de abril de 2014.
Hodson, Steve (13 de agosto de 2008). «No importa las redes sociales, ¿qué hay de la piratería social?». Mashable
Peter Wood. «Hackeo social: la manera fácil de violar la seguridad de la red». Computerweekly.com. Consultado el 5 de julio de 2016.
Oye, Jamey. «Las 5 mejores técnicas de explotación de ingeniería social». PCWorld. Consultado el 5 de julio de 2016.