¿Por qué los ciberatacantes utilizan habitualmente la ingeniería social?

Los ciberatacantes utilizan la ingeniería social, que es un tipo de ataque que tiene como objetivo el elemento humano, en lugar del sistema informático y su software. El atacante intenta engañar a una persona para que realice una acción que le permita acceder a los ordenadores de las víctimas. Uno de los tipos más comunes de este tipo de ataque es el ataque man-in-the-middle. Un ataque man-in-the-middle se produce cuando un atacante se hace pasar por otra persona para engañar a las víctimas haciéndoles creer que están hablando directamente entre ellas a través de protocolos de normalización como la respuesta de voz interactiva, el correo electrónico, la mensajería instantánea y las conferencias web. El pirateo a través de la manipulación humana es más fácil de ejecutar que el pirateo directo desde una fuente externa. Este artículo analiza por qué están aumentando los ataques SE y por qué los ciberatacantes suelen utilizar estas tácticas.

¿Por qué los ciberatacantes utilizan la ingeniería social? Causas y motivos probables

Los ataques de ingeniería social son uno de los métodos más populares y eficaces utilizados por los hackers hoy en día. Estos ataques suelen aprovechar las relaciones entre personas, como la confianza y la familiaridad de los empleados, o la proximidad física entre estos y los clientes.

a. El elemento humano es el eslabón más débil de la seguridad tradicional

Los ataques suelen ser más eficaces cuando se basan en la interacción humana, lo que significa que no hay forma de que la tecnología nos proteja de ellos. Todo lo que un atacante necesita es un poco de información sobre los hábitos o preferencias de su objetivo y algo de creatividad en la forma de presentarse ante la víctima. De este modo, los atacantes consiguen lo que quieren sin tener que recurrir a técnicas más complicadas, como piratear la red de una organización o irrumpir en los sistemas de una empresa.

¡Simplifique la seguridad de la ingeniería social con PowerDMARC!

b. No hay necesidad de técnicas avanzadas de hacking

Los ataques de ingeniería social utilizan la confianza de las personas para obtener acceso a un sistema o red. Estos ataques son eficaces porque es fácil para un atacante obtener acceso, en lugar de utilizar técnicas avanzadas de hacking para entrar por fuerza bruta en una red. Cuando un atacante hace esto, suele utilizar técnicas de manipulación psicológica como el phishing, el spear phishing y el pretexting. ➜ El phishing se produce cuando un atacante envía correos electrónicos que parecen legítimos pero que están diseñados para engañar a los usuarios para que faciliten su información personal, como contraseñas o datos de tarjetas de crédito. ➜ El spear phishing es cuando un atacante utiliza los mismos métodos que el phishing pero con técnicas más avanzadas, como hacerse pasar por otra persona para engañarle y conseguir que facilite su información. ➜ Las estafas de pretexto se refieren a cuando un atacante utiliza pretextos para ganarse la confianza de sus víctimas antes de intentar robarles. Una vez que los atacantes han obtenido acceso a su sistema o red, pueden hacer todo lo que quieran dentro de ella, incluyendo instalar programas, modificar archivos o incluso borrarlos, ¡todo sin ser descubiertos por un sistema de seguridad o administrador que podría impedirles hacerlo si supieran lo que está sucediendo dentro de su red!

c. Bucear en el contenedor es más fácil que forzar una red

Elbuceo en contenedores es el acto de recuperar información de materiales desechados para llevar a cabo ataques de ingeniería social. La técnica consiste en buscar en la basura tesoros como códigos de acceso o contraseñas escritos en notas adhesivas. Este tipo de actividades son fáciles de llevar a cabo porque permiten al pirata informático acceder a la red sin tener que forzar la entrada. La información que desentierran los buceadores de contenedores puede ir desde lo mundano, como una lista de teléfonos o un calendario, hasta datos aparentemente más inocentes, como un organigrama. Pero esta información aparentemente inocente puede ayudar a un atacante a utilizar técnicas de ingeniería social para acceder a la red. Además, si un ordenador ha sido desechado, puede ser un tesoro para los ciberatacantes. Es posible recuperar información de los soportes de almacenamiento, incluidas las unidades que han sido borradas o formateadas incorrectamente. Las contraseñas almacenadas y los certificados de confianza suelen guardarse en el ordenador y son vulnerables a los ataques. Los equipos desechados pueden contener datos sensibles en el módulo de plataforma de confianza (TPM). Estos datos son importantes para una organización porque le permiten almacenar de forma segura información sensible, como claves criptográficas. Un ingeniero social podría aprovechar los ID de hardware en los que confía una organización para elaborar posibles exploits contra sus usuarios.

d. Aprovecha el miedo, la codicia y el sentido de urgencia de la gente

Los ataques de ingeniería social son fáciles de llevar a cabo porque se basan en el elemento humano. El ciberatacante puede utilizar el encanto, la persuasión o la intimidación para manipular la percepción de la persona o explotar sus emociones para obtener detalles importantes sobre su empresa. Por ejemplo, un ciberatacante puede hablar con un empleado descontento de una empresa para obtener información oculta, que luego puede utilizar para entrar en la red. El empleado descontento puede proporcionar información sobre la empresa a un atacante si siente que está siendo tratado injustamente o maltratado por su actual empleador. El empleado descontento también puede proporcionar información sobre la empresa si no tiene otro trabajo y se va a quedar sin trabajo pronto. Los métodos más avanzados de pirateo implicarían entrar en una red utilizando técnicas más avanzadas como malware, keyloggers y troyanos. Estas técnicas avanzadas requerirían mucho más tiempo y esfuerzo que simplemente hablar con un empleado descontento para obtener información oculta que pueda utilizarse para irrumpir en una red.

Los seis grandes principios de la influencia

Las estafas de ingeniería social explotan seis vulnerabilidades específicas de la psique humana. Estas vulnerabilidades las identifica el psicólogo Robert Cialdini en su libro "Influencia: La psicología de la persuasión" y son: ➜ Reciprocidad - La reciprocidad es el deseo de devolver los favores en especie. Tendemos a sentirnos en deuda con las personas que nos han ayudado; sentimos que es nuestra responsabilidad ayudarles. Por eso, cuando alguien nos pide algo -una contraseña, acceso a registros financieros o cualquier otra cosa- es más probable que accedamos si ya nos ha ayudado antes. ➜ Compromiso y coherencia - Tendemos a hacer las cosas a lo largo del tiempo y no una sola vez. Es más probable que accedamos a una petición si ya hemos accedido a una de sus partes, o incluso a varias. Si alguien ya te ha pedido acceso a tus documentos financieros, quizá no sea para tanto volver a pedírselo. ➜ Prueba social - Es una técnica de engaño que se basa en el hecho de que tendemos a seguir el ejemplo de las personas que nos rodean (también conocido como "efecto bandwagon"). Por ejemplo, los empleados podrían dejarse influir por un actor de amenazas que presente pruebas falsas de que otro empleado ha cumplido una petición. ➜ Nos gusta - Nos gusta la gente que parece estar al mando; por eso, un hacker puede enviarte un mensaje a tu dirección de correo electrónico que parezca de tu jefe o de un amigo tuyo, o incluso de un experto en un campo que te interese. El mensaje podría decir algo así: "Sé que estás trabajando en este proyecto y necesitamos ayuda. ¿Podemos quedar pronto?". Normalmente te pide ayuda y, si aceptas, estás revelando información confidencial. ➜ Autoridad - Por lo general, las personas nos sometemos a las figuras de autoridad porque las consideramos las "correctas" a las que debemos seguir y obedecer. De este modo, las tácticas de ingeniería social pueden explotar nuestra tendencia a confiar en quienes parecen tener autoridad para conseguir lo que quieren de nosotros. ➜ Escasez - La escasez es un instinto humano grabado en nuestro cerebro. Es el sentimiento de "necesito esto ahora" o "debería tener esto". Así que cuando la gente está siendo estafada por ingenieros sociales, sentirán una sensación de urgencia para entregar su dinero o información tan pronto como sea posible.

Personalidades que son vulnerables a la ingeniería social y por qué

Según la Dra. Margaret Cunningham, investigadora principal de comportamiento humano de Forcepoint X-Labs -una empresa de ciberseguridad-, la afabilidad y la extraversión son los rasgos de personalidad más vulnerables a los ataques de ingeniería social. Las personas agradables tienden a ser confiadas, amistosas y dispuestas a seguir instrucciones sin cuestionarlas. Son buenas candidatas para los ataques de phishing porque es más probable que hagan clic en enlaces o abran archivos adjuntos de correos electrónicos que parecen auténticos. Los extrovertidos también son más susceptibles a los ataques de ingeniería social porque a menudo prefieren estar rodeados de otras personas y es más probable que confíen en los demás. Son más propensos a sospechar de los motivos de los demás que las personas introvertidas, lo que puede hacer que sean engañados o manipulados por un ingeniero social.

Personalidades resistentes a la ingeniería social y ¿por qué?

Las personas resistentes a los ataques de ingeniería social tienden a ser concienzudas, introvertidas y tener una alta autoeficacia. Las personas concienciadas son las que tienen más probabilidades de resistirse a las estafas de ingeniería social centrándose en sus propias necesidades y deseos. También es menos probable que se adapten a las exigencias de los demás. Los introvertidos tienden a ser menos susceptibles a la manipulación externa porque se toman tiempo para sí mismos y disfrutan de la soledad, lo que significa que es menos probable que se dejen influir por señales sociales o personas prepotentes que intenten influir en ellos. La autoeficacia es importante porque nos ayuda a creer en nosotros mismos, por lo que tenemos más confianza en que podemos resistir la presión de los demás o las influencias externas.

Proteja su organización de las estafas de ingeniería social con PowerDMARC

La ingeniería social es la práctica de manipular a los empleados y clientes para que divulguen información sensible que puede utilizarse para robar o destruir datos. En el pasado, esta información se obtenía enviando correos electrónicos que parecían proceder de fuentes legítimas, como su banco o su empresa. Hoy en día, es mucho más fácil falsear las direcciones de correo electrónico. PowerDMARC ayuda a proteger contra este tipo de ataque mediante el despliegue de protocolos de autenticación de correo electrónico como SPF, DKIM y Política DMARC p=reject en su entorno para minimizar el riesgo de suplantación directa de dominio y ataques de phishing por correo electrónico. Si está interesado en protegerse a sí mismo, a su empresa y a sus clientes de los ataques de ingeniería social, suscríbase a nuestro prueba gratuita de DMARC ¡hoy!

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Configuración de DKIM: Guía paso a paso para configurar DKIM para la seguridad del correo electrónico (2025) - 31 de marzo de 2025
• PowerDMARC reconocido como líder de red para DMARC en G2 Spring Reports 2025 - 26 de marzo de 2025
• Cómo identificar correos electrónicos falsos de confirmación de pedido y protegerse - 25 de marzo de 2025