INGENIERÍA SOCIAL

- En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar sus credenciales de acceso o información sensible, confidencial o crítica.

- Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

INGENIERÍA SOCIAL INVERSA

En el caso de la ingeniería social inversa, el atacante es un sujeto pasivo. Es decir, no toma la iniciativa. Simplemente deja un rastro de migas de pan para que las víctimas potenciales muerdan su anzuelo y, de paso, revelen información valiosa al delincuente. En cierto sentido, la ingeniería social inversa es similar a una trampa diseñada para un cierto tipo de público objetivo.

Por lo general, será el usuario y probable víctima quien se acerque hasta la trampa. Puede ser una página web (un servicio de reparación de móviles, un consultorio o cualquier tipo de servicio que dependerá del colectivo al que se quiera “atacar”) o algo tan aparentemente inocente como una tarjeta de visita o un teléfono, un perfil de una red social…

En esos casos, el servicio al que accede la víctima potencial tiene una apariencia totalmente normal, genuina, y por tanto el usuario no sospecha nada hasta que es demasiado tarde. Existen múltiples ejemplos de ingeniería social inversa, pero los más conocidos pueden ser el phishing o la distribución de malware y, por tanto, aplican los consejos de estos ataques para la prevención de los ataques por ingeniería social inversa.

Phishing:  Se vale de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo general un correo electrónico, o algún sistema de mensajería instantánea, redes sociales SMS/MMS.

Malware: Se llama malware, del inglés malicious software, programa malicioso, programa maligno, badware, código maligno, software maligno, software dañino o software malintencionado a cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada y sin el conocimiento del usuario.​