¿Cómo protegerse de los ataques de ingeniería social?

En los ataques de ingeniería social, un atacante intenta acceder a datos o servicios forjando relaciones con personas cuya confianza puede explotar. La primera línea de defensa es mantenerse alerta. Es posible que el atacante le atraiga a una conversación que se convierta más bien en un interrogatorio. Sin embargo, la mejor manera de protegerse de la ingeniería social es saber en quién puede confiar y ser digno de confianza. Tienes que identificar a cualquiera que pueda acceder a tu cuenta o pueda influir en ella y asegurarte de que tiene una buena razón para hacerlo. 

¿Qué es un ataque de ingeniería social?

El ataque de ingeniería social es una forma de piratería informática en la que un atacante intenta obtener acceso o información explotando la confianza. Es un ataque muy eficaz porque aprovecha tu deseo de ayudar a la gente, tu curiosidad y tu ingenuidad. Un ingeniero social puede convertirte en cómplice involuntario utilizando la manipulación de alto nivel para conseguir lo que el atacante quiera. Es una forma de pirateo informático, pero en lugar de irrumpir en los ordenadores, los ingenieros sociales intentan acceder a ellos engañando a los empleados para que faciliten información o descarguen malware.

Técnicas de ingeniería social

Los ataques de ingeniería social pueden realizarse por teléfono, correo electrónico o mensajes de texto. Un ingeniero social puede llamar a una empresa y pedir acceso a un área restringida, o puede hacerse pasar por alguien para conseguir que otra persona abra una cuenta de correo electrónico en su nombre.

Los ingenieros sociales utilizan muchas tácticas diferentes para lograr sus objetivos. Por ejemplo, pueden afirmar que llaman desde el servicio de asistencia de una empresa y solicitar acceso remoto para poder arreglar algo en su ordenador o red. O pueden afirmar que necesitan su contraseña u otra información personal, como credenciales bancarias, para poder resolver un problema con su cuenta bancaria.

En algunos casos, los ingenieros sociales incluso se hacen pasar por agentes de la ley y amenazan con emprender acciones legales si el usuario se niega a acceder a sus peticiones de información. Aunque es importante que las empresas se tomen en serio estas amenazas, recuerda que la policía nunca llamará a nadie para pedirle sus contraseñas por teléfono.

Objetivo de la ingeniería social

La ingeniería social se utiliza a menudo en los ataques de phishing, que son correos electrónicos que parecen proceder de una fuente de confianza pero que en realidad tienen como objetivo robar su información personal. Los correos electrónicos suelen contener un archivo adjunto con software malicioso (a menudo llamado malware) que infectará su ordenador si lo abre.

El objetivo de la ingeniería social es siempre el mismo: obtener acceso a algo valioso sin tener que trabajar por ello. 

1. Robo de información sensible

Así, los ingenieros sociales pueden intentar engañarle para que facilite su contraseña y sus credenciales de inicio de sesión (como su nombre de usuario/dirección de correo electrónico) para poder acceder a su cuenta de correo electrónico o perfil de redes sociales, donde pueden robar información personal como números de tarjetas de crédito e información de cuentas bancarias de transacciones anteriores. 

2. Robo de identidad

También podrían utilizar esta información para asumir la identidad de la víctima y llevar a cabo actividades maliciosas haciéndose pasar por ella más adelante si deciden no destruirla inmediatamente.

Ejemplo de ataque de ingeniería social

El uso del engaño y la artimaña para obtener ventaja se remonta a mucho antes de la generalización de los ordenadores personales y la World Wide Web. Pero podemos mirar más atrás en la historia para ver algunos de los casos más atroces de ataques de ingeniería social.

En el incidente más reciente, ocurrido en febrero de 2020, un phishing utilizando una factura de renovación falsa logró estafar a Barbara Corcoran, del programa "Shark Tank" de la ABC casi 400.000 dólares.

Si es usted víctima de ataques de ingeniería social, es esencial que sepa cómo protegerse para no ser victimizado. Conozca las señales de advertencia de una amenaza potencial y cómo protegerse.

¿Cómo identificar un ataque de ingeniería social?

1. Confía en tu instinto

Si recibes algún correo electrónico o llamada telefónica que te parezca sospechoso, no des ninguna información hasta que hayas verificado tu identidad. Puedes hacerlo llamando directamente a tu empresa o consultando a la persona que supuestamente ha enviado el correo electrónico o ha dejado un mensaje en tu buzón de voz.

2. No envíes tus datos personales

Si alguien le pide su número de la Seguridad Social u otros datos privados, es señal de que intenta aprovecharse de su confianza y utilizarla en su contra más adelante. Se aconseja no dar ninguna información a menos que sea necesario. 

3. Solicitudes inusuales sin contexto

Los ingenieros sociales suelen hacer grandes peticiones sin dar ningún contexto. Si alguien pide dinero u otros recursos sin explicar por qué los necesita, es probable que haya algo sospechoso. Es mejor pecar de precavido cuando alguien hace una solicitud grande como esta: ¡nunca se sabe qué tipo de daño podría hacerse con el acceso a tu cuenta bancaria!

Estas son algunas formas de detectar los ataques de ingeniería social:

• Recibir un correo electrónico de alguien que dice ser de su departamento de TI pidiéndole que restablezca su contraseña y que la proporcione en un correo electrónico o mensaje de texto
• Recibir un correo electrónico de alguien que dice ser de su banco y le pide información personal, como su número de cuenta o su código PIN
• Recibir un correo electrónico de alguien que dice ser de su banco y le pide información personal, como su número de cuenta o su código PIN
• Que alguien que dice ser del departamento de RRHH de la empresa le pida información sobre la misma

Tipos de ataques de ingeniería social

Victimizar a las personas mediante ataques de ingeniería social es una excelente forma de cometer fraude. Puede llevarse a cabo de varias maneras. 

Obtener acceso: Los piratas informáticos pueden acceder a su cuenta bancaria solicitando un crédito a nombre de otra persona. Este fraude suele consistir en una llamada telefónica o en el envío de un correo electrónico a amigos y familiares, a los que se pide que realicen una transferencia bancaria para reembolsar rápidamente al pirata informático el peaje que ha causado en la vida de la víctima.

Robo de información personal: Otra forma habitual de engañar a las personas para que entreguen sus datos personales es haciéndoles creer que han ganado un premio o un concurso en el que nunca participaron pero al que sí se inscribieron. Y cuando reciben este tipo de llamadas para asegurarse de que recibirán el premio una vez que den sus datos, ahí es donde las víctimas caen en la trampa del atacante.

Phishing: En este ataque, los atacantes envían correos electrónicos que parecen proceder de empresas u organizaciones legítimas, pero que contienen enlaces o archivos adjuntos maliciosos. Además, es uno de los ataques de ingeniería social más comunes en todo el mundo.

Pretextos: Otro ataque masivo de ingeniería social consiste en crear una identidad o escenario falsos para obtener acceso a información personal. Uno de los ejemplos más destacados de ingeniería social es aquel enel que los atacantes obtienen acceso para manipular a personas a través de mensajes de texto.

Shoulder Surfing: Es un ataque en el que el atacante mira por encima del hombro de alguien para acceder a información confidencial. A veces, el atacante no es más que tus amigos cercanos o seres queridos que te chantajearán una vez que consigan la información que siempre quisieron tener. Por lo tanto, es esencial mantener un ojo en esas personas y nunca proporcionar todos los detalles personales.

Seguimiento: Tailgating es cuando un atacante sigue a alguien autorizado a entrar en un edificio o área segura sin estar realmente autorizado. No es tan común como otros ataques de ingeniería social, pero aun así es peligroso y puede dejar huellas dañinas.

5 formas de protegerse de los ataques de ingeniería social

Aquí hemos reunido algunos consejos útiles o ideas que ayudan a protegerse de ser atacado socialmente o prevenir ataques de ingeniería social:

1. Remitentes desconocidos (correos electrónicos frente a mensajes de texto)

Preste mucha atención a la dirección de correo electrónico del remitente y al contenido del mensaje. Saber que no hay que hacer clic en ningún enlace de documento sospechoso es esencial. 

2. Dejar de compartir información personal

Piense antes de compartir información personal, como contraseñas y números de tarjetas de crédito. Ninguna empresa o persona legítima debería pedir nunca este tipo de información confidencial. Utilice siempre contraseñas seguras y cámbielas con regularidad. Evite utilizar las mismas contraseñas para varias cuentas y evite ser víctima de ataques de ingeniería social.

3. Capas de seguridad

Utiliza la autenticación de dos factores siempre que sea posible. Puede añadir una capa adicional de seguridad al exigir a los usuarios que introduzcan un código enviado a su teléfono móvil y su nombre de usuario y contraseña. Configura siempre códigos de autenticación con tu correo electrónico y tu número de teléfono para que, si alguien consiguiera acceder a cualquiera de los dos sistemas, no pudiera utilizar tu cuenta directamente.

4. Software antivirus

Instalar antivirusmalware y antivirus en todos tus dispositivos. Mantenga estos programas actualizados para que puedan protegerle de las amenazas más recientes. Sin embargo, cuando tienes un antivirus instalado en tus dispositivos, puede proporcionarte un excelente escudo contra los ataques de ingeniería social.

5. Tenga siempre en cuenta los riesgos

Le ayudaría tener siempre en cuenta los riesgos. Asegúrese de que cualquier solicitud de información es exacta comprobándola dos y tres veces. Mantente atento a las noticias sobre ciberseguridad cuando te veas afectado por una brecha reciente. 

Conclusión

Para protegerse de los ataques de ingeniería social, debe aprender a tomar precauciones contra ellos. Como ya le hemos proporcionado algunos métodos estándar de ataques de ingeniería social, que se han utilizado durante varias épocas en el mundo, asegúrese de empezar a aplicar las precauciones ahora. Los ataques de ingeniería social pueden dañar el plus y la vida profesional de una persona en cuestión de segundos. Proteja siempre sus dispositivos, contraseñas y otros inicios de sesión con dos códigos de verificación de autenticación para una capa externa de protección.

Antes de hacer nada, hable con un profesional de TI de confianza o un experto en seguridad como PowerDMARC. Ellos pueden ayudarle a comprender los riesgos de los ataques de ingeniería social y cómo minimizarlos.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Puede Blockchain ayudar a mejorar la seguridad del correo electrónico? - 9 de mayo de 2024
• Proxies de centros de datos: Desvelando el caballo de batalla del mundo proxy - 7 de mayo de 2024
• Kimsuky explota las políticas DMARC "None" en recientes ataques de phishing - 6 de mayo de 2024