#NoHacked: Cómo detectar la ingeniería social y protegerse contra ella

Hoy, en nuestra campaña #nohacked, hablaremos de la ingeniería social. Puedes seguir el debate en Twitter y Google+ usando el hashtag #nohacked. (Parte 1)

Si pasas parte de tu tiempo en la Web, es más que probable que te hayas topado con algún tipo de ingeniería social. La ingeniería social puede definirse como el intento de obtener información confidencial sobre las personas mediante la manipulación o mediante métodos engañosos.

Suplantación de identidad (phishing)

Es posible que te suene el «phishing», o la suplantación de identidad, una de las formas más comunes de ingeniería social. Los sitios web y los correos electrónicos usados para la suplantación de identidad imitan sitios web legítimos para tratar de engañar al usuario y que introduzca información confidencial, como el nombre de usuario y la contraseña, en tales sitios web. Un estudio reciente de Google descubrió que algunos sitios de suplantación de identidad engañan a las víctimas el 45% de las veces. Una vez que el sitio web de suplantación de identidad haya obtenido la información, el propietario de dicho sitio puede vender o utilizar la información de tu cuenta para manipularla.

Otras formas de ingeniería social

Si eres el propietario de un sitio web, la suplantación de identidad no es la única forma de ingeniería social que debes vigilar. Hay otro método de ingeniería social que se aprovecha del software y las herramientas usados en tu sitio web. Si realizas descargas o usas algún sistema de gestión de contenido (CMS) o algún tipo de complemento, asegúrate de que provengan de fuentes acreditadas, por ejemplo, descargándolos directamente desde el sitio web del programador. El software que provenga de sitios web que no estén acreditados puede suponer una amenaza que daría acceso a tu sitio web a los hackers.

Por ejemplo, la empresa de productos para mascotas El palacio de la mascota contrató recientemente al webmaster Wanda para crear su sitio web. Tras hacer algunos bocetos para el diseño, Wanda empezó a compilar el software que necesitaba para crear el sitio web. Sin embargo, descubrió que uno de los complementos de retoque fotográfico que más le gustaba, Photo Frame Beautifier, ya no estaba disponible en el sitio web de complementos oficial de su sistema de gestión de contenido y que el programador del complemento había decidido dejar de aceptarlo. Wanda hizo una búsqueda rápida y encontró un sitio web que ofrecía un archivo de complementos antiguos. Decidió descargar el complemento y usarlo para completar el sitio web. Dos meses más tarde, Wanda recibió una notificación de Search Console que le informaba de que habían pirateado el sitio web de su cliente.Rápidamente, se encargó de corregir el contenido pirateado y descubrió cuál era la raíz del problema. Resultó que el complemento Photo Frame Beautifier había sido modificado para permitir que terceras partes maliciosas tuvieran acceso al sitio.Eliminó el complemento, corrigió el contenido pirateado, protegió el sitio contra futuros ataques y envió una solicitud de reconsideración con Search Console. Como puedes ver, el descuido involuntario de Wanda hizo que el sitio web de su cliente acabara comprometido.

Protegerse de los ataques de ingeniería social

La ingeniería social resulta efectiva porque no es obvio que se esté cometiendo un error. Sin embargo, hay algunos puntos básicos que se deben tener en cuenta para protegerse de la misma.

  • Mantente alerta: Cuando vayas a introducir algún tipo de información confidencial o instales el software de algún sitio web, conviene hacerlo con cierta dosis de escepticismo sano. Comprueba las URL para asegurarte de que no estás escribiendo información confidencial en sitios web maliciosos. Cuando vayas a instalar software de un sitio web, asegúrate de que proviene de fuentes conocidas y acreditadas, como el sitio web del programador.
  • Usa métodos de autenticación de dos factores: La autenticación de dos factores como la verificación en dos pasos de Google, añade una capa adicional de seguridad que ayuda a proteger la cuenta, incluso si han robado la contraseña. Deberías habilitar una autenticación de dos factores en todas las cuentas en las que sea posible. Durante la semana que viene, daremos información más detallada sobre las ventajas de la autenticación de dos factores.

Recursos adicionales sobre la ingeniería social:

Si tienes más dudas, puedes preguntar en los Foros de ayuda para webmasters donde encontrarás una comunidad de webmasters que podrá guiarte. Además, puedes unirte a nuestro Hangouts en directo (en inglés) sobre seguridad el día 26 de Agosto.

Escrito por: Eric Kuan, Webmaster Relations Specialist & Yuan Niu, Webspam Analyst Publicado por Javier Pérez equipo de calidad de búsqueda.


Source: Google Webmasters