Puestos

¿Qué es la ingeniería social? Es una forma de ciberataque que consiste en utilizar la manipulación y el engaño para obtener acceso a datos o información. El objetivo de la ingeniería social es engañar a las personas para que divulguen información sensible, como contraseñas y detalles de la red, haciéndoles creer que están interactuando con alguien en quien confían. 

En algunos casos, los ingenieros sociales también intentarán que descargue en su ordenador, sin que se dé cuenta, programas maliciosos, es decir, software que puede ser utilizado con fines maliciosos.

¿Qué es la ingeniería social? Definición

La ingeniería social es el acto de manipular a las personas para que realicen acciones o divulguen información confidencial. Es una forma de piratería informática, pero en lugar de entrar en los ordenadores, los ingenieros sociales intentan acceder a ellos engañando a los empleados para que den información o descarguen malware.

Técnicas de ingeniería social: ¿Cómo funciona la ingeniería social?

  • La ingeniería social puede llevarse a cabo por teléfono, por correo electrónico o por mensajes de texto. Un ingeniero social puede llamar a una empresa y pedirle acceso a un área restringida, o puede hacerse pasar por alguien para conseguir que otra persona abra una cuenta de correo electrónico en su nombre.
  • Los ingenieros sociales utilizan muchas tácticas diferentes para lograr sus objetivos. Por ejemplo, pueden afirmar que llaman desde el servicio de asistencia de una empresa y solicitar acceso remoto para poder arreglar algo en su ordenador o red. O pueden afirmar que necesitan su contraseña u otra información personal, como credenciales bancarias, para poder resolver un problema con su cuenta bancaria.
  • En algunos casos, los ingenieros sociales incluso se hacen pasar por agentes de la ley y amenazan con emprender acciones legales si te niegas a acceder a sus peticiones de información. Aunque es importante que las empresas se tomen en serio estas amenazas, recuerda que la policía nunca llamará a alguien para pedirle sus contraseñas por teléfono.

Objetivo de la ingeniería social

La ingeniería social se utiliza a menudo en los ataques de phishing, que son correos electrónicos que parecen proceder de una fuente de confianza pero que en realidad tienen como objetivo robar su información personal. Los correos electrónicos suelen contener un archivo adjunto con software malicioso (a menudo llamado malware) que infectará su ordenador si lo abre.

El objetivo de la ingeniería social es siempre el mismo: obtener acceso a algo valioso sin tener que trabajar por ello. 

1. Robo de información sensible

Así, los ingenieros sociales pueden intentar engañarle para que facilite su contraseña y sus credenciales de acceso (como su nombre de usuario/dirección de correo electrónico) para poder acceder a su cuenta de correo electrónico o a su perfil en las redes sociales, donde pueden robar información personal como números de tarjetas de crédito e información de cuentas bancarias de transacciones anteriores. 

2. Robo de identidad

También podrían utilizar esta información para asumir la identidad de la víctima y llevar a cabo actividades maliciosas haciéndose pasar por ella más adelante si deciden no destruirla inmediatamente.

Conozca por qué los ciberatacantes suelen utilizar la ingeniería social.

¿Cómo identificar un ataque de ingeniería social?

1. Confía en tu instinto

Si recibes algún correo electrónico o llamada telefónica que te parezca sospechoso, no des ninguna información hasta que hayas verificado tu identidad. Puedes hacerlo llamando directamente a tu empresa o consultando a la persona que supuestamente ha enviado el correo electrónico o ha dejado un mensaje en tu buzón de voz.

2. No envíes tus datos personales

Si alguien le pide su número de la Seguridad Social u otros datos privados, es una señal de que está intentando aprovecharse de su confianza y utilizarla en su contra más adelante. Se aconseja no dar ninguna información a menos que sea absolutamente necesario. 

3. Solicitudes inusuales sin contexto

Los ingenieros sociales suelen hacer grandes peticiones sin dar ningún contexto. Si alguien pide dinero u otros recursos sin explicar por qué los necesita, es probable que haya algo sospechoso. Es mejor pecar de precavido cuando alguien hace una solicitud grande como esta: ¡nunca se sabe qué tipo de daño podría hacerse con el acceso a tu cuenta bancaria!

Estas son algunas formas de detectar los ataques de ingeniería social:

  • Recibir un correo electrónico de alguien que dice ser de su departamento de TI pidiéndole que restablezca su contraseña y que la proporcione en un correo electrónico o mensaje de texto
  • Recibir un correo electrónico de alguien que dice ser de su banco y le pide información personal, como su número de cuenta o su código PIN
  • Recibir un correo electrónico de alguien que dice ser de su banco y le pide información personal, como su número de cuenta o su código PIN
  • Que alguien que dice ser del departamento de RRHH de la empresa le pida información sobre la misma

Ataques de ingeniería social basados en el correo electrónico

Correos electrónicos de suplantación de identidad: parecen proceder de una fuente legítima, pero en realidad intentan engañarle para que abra un archivo adjunto o visite un sitio web malicioso.

Suplantación de identidad - El spear phishing son más selectivos que los correos electrónicos de phishing y utilizan información sobre usted para que parezcan más creíbles

Fraude de losdirectores generales - El fraude del director general es un tipo de estafa de phishing que consiste en hacerse pasar por un director general o un ejecutivo de alto nivel para obtener acceso a información confidencial. Esto puede incluir números de cuentas bancarias, detalles de transferencias bancarias o incluso información de la nómina de los empleados.

Conozca otros tipos de ingeniería social de ingeniería social.

¿Cómo prevenir la ingeniería social?

Tenemos algunos consejos sobre cómo prevenir los ataques de ingeniería social y protegerse de ellos.

  1. Asegúrese de tener un buen software antivirus instalado en sus dispositivos y ordenadores.
  2. No abra correos electrónicos o archivos adjuntos sospechosos de personas que no pertenezcan a su círculo de confianza (esto incluye correos electrónicos de cualquiera que diga ser su banco o compañía de tarjetas de crédito).
  3. No hagas clic en los enlaces de los correos electrónicos a menos que estés seguro de que son seguros, aunque provengan de alguien conocido. Si alguna vez tienes dudas sobre la legitimidad de un correo electrónico, llama directamente al remitente por teléfono o mensaje de texto en lugar de buscar primero más información en Internet.
  4. Desconfíe de las llamadas telefónicas o los mensajes de texto no solicitados que le ofrezcan algo "demasiado bueno para ser verdad" (esto podría incluir premios gratuitos y otras ofertas por apuntarse a cosas como pruebas gratuitas). 
  5. Utilice autenticación de dos factores Siempre que sea posible, esto significa que aunque alguien tenga tu contraseña, necesitará otra información (como un código de un solo uso) para poder acceder a tu cuenta.
  6. Configurar protocolos de autenticación de correo electrónico como DMARC para proteger sus canales de correo electrónico contra ataques de phishing, ingeniería social y abuso de dominio.

Para resumir

Es importante protegerse contra la ingeniería social porque puede provocar la pérdida de dinero y otra información personal, así como comprometer los sistemas de seguridad y las violaciones de datos. 

Por muy bueno que sea su equipo de TI a la hora de proteger a su empresa de los ciberataques, nunca podrá eliminar por completo el riesgo de que alguien intente entrar en su sistema mediante métodos de ingeniería social. Por eso es tan importante formar a los empleados sobre la identificación de correos electrónicos de phishing y otros tipos de ataques de ingeniería social.

Antes de entrar en los tipos de ataques de ingeniería social de los que las víctimas son víctimas a diario, junto con los próximos ataques que han arrasado en Internet, vamos a explicar brevemente en qué consiste la ingeniería social. 

Para explicarlo en términos sencillos, la ingeniería social se refiere a una táctica de despliegue de ciberataques en la que los actores de la amenaza utilizan la manipulación psicológica para explotar a sus víctimas y estafarlas.

Ingeniería social: Definición y ejemplos

¿Qué es un ataque de ingeniería social?

A diferencia de los ciberdelincuentes que piratean el ordenador o el sistema de correo electrónico, los ataques de ingeniería social se orquestan tratando de influir en las opiniones de la víctima para maniobrar y exponer información sensible. Los analistas de seguridad han confirmado que más del 70% de los ciberataques que se producen anualmente en Internet son ataques de ingeniería social.

Ejemplos de ingeniería social

Mira el ejemplo que se muestra a continuación:

 

Aquí podemos observar un anuncio online que atrae a la víctima con la promesa de ganar 1000 dólares por hora. Este anuncio contiene un enlace malicioso que puede iniciar una instalación de malware en su sistema. 

Este tipo de ataque se conoce comúnmente como Online Baiting o simplemente Baiting, y es una forma de ataque de ingeniería social. 

A continuación se presenta otro ejemplo:

Como se ha mostrado anteriormente, los ataques de ingeniería social también pueden perpetrarse utilizando el correo electrónico como un medio potente. Un ejemplo común de esto es un ataque de Phishing. En la siguiente sección nos ocuparemos de estos ataques con más detalle.

Tipos de ataques de ingeniería social

1. Vishing y Smishing

Supongamos que hoy recibe un SMS de su banco (supuestamente) pidiéndole que verifique su identidad haciendo clic en un enlace, o de lo contrario su cuenta será desactivada. Se trata de un mensaje muy común que suele ser difundido por los ciberdelincuentes para engañar a los incautos. Una vez que haga clic en el enlace, será redirigido a una página falsa que solicita su información bancaria. Tenga por seguro que si acaba proporcionando sus datos bancarios a los atacantes, éstos vaciarán su cuenta. 

Del mismo modo, el Vishing o phishing de voz se inicia a través de llamadas telefónicas en lugar de SMS.

2. Cebado en línea / Baiting 

Todos los días nos encontramos con una serie de anuncios en línea mientras navegamos por sitios web. Aunque la mayoría de ellos son inofensivos y auténticos, puede haber algunas manzanas podridas escondidas en el lote. Esto se puede identificar fácilmente al detectar anuncios que parecen demasiado buenos para ser verdad. Suelen tener reclamos y señuelos ridículos, como el de ganar el premio gordo o el de ofrecer un gran descuento.

Recuerde que esto puede ser una trampa (también conocido como a cebo). Si algo parece demasiado bueno para ser verdad, probablemente lo sea. Por lo tanto, es mejor mantenerse alejado de los anuncios sospechosos en Internet, y resistirse a hacer clic en ellos.

3. Phishing

Los ataques de ingeniería social se llevan a cabo a menudo a través de correos electrónicos y se denominan "phishing". Los ataques de phishing llevan causando estragos a escala mundial casi desde que existe el propio correo electrónico. Desde 2020, debido al aumento de las comunicaciones por correo electrónico, la tasa de phishing también se ha disparado, estafando a organizaciones, grandes y pequeñas, y siendo noticia cada día. 

Los ataques de phishing se pueden clasificar en Spear phishing, whaling y CEO fraud, refiriéndose al acto de suplantar a empleados específicos dentro de una organización, a los responsables de la toma de decisiones de la empresa y al CEO, respectivamente.

4. Estafas románticas

La Oficina Federal de Investigación (FBI) define las estafas románticas por Internet como "timos que se producen cuando un delincuente adopta una identidad falsa en línea para ganarse el afecto y la confianza de la víctima. El estafador utiliza entonces la ilusión de una relación romántica o cercana para manipular y/o robar a la víctima". 

Las estafas románticas se incluyen en los tipos de ataques de ingeniería social, ya que los atacantes utilizan tácticas de manipulación para formar una relación romántica estrecha con sus víctimas antes de actuar en su agenda principal: es decir, estafarlas. En 2021, las estafas románticas ocuparon el primer puesto como el ciberataque más perjudicial desde el punto de vista financiero del año, seguido de cerca por el ransomware.

5. Spoofing

La falsificación de dominios es una forma muy evolucionada de ataque de ingeniería social. Consiste en que un atacante falsifica el dominio de una empresa legítima para enviar correos electrónicos a los clientes en nombre de la organización remitente. El atacante manipula a las víctimas para que crean que dicho correo electrónico procede de una fuente auténtica, es decir, de una empresa en cuyos servicios confían. 

Los ataques de spoofing son difíciles de rastrear ya que los correos electrónicos se envían desde el propio dominio de la empresa. Sin embargo, hay formas de solucionarlo. Uno de los métodos más utilizados y recomendados por los expertos del sector es minimizar el spoofing con la ayuda de un DMARC de DMARC.

6. Pretexto

El pretexto puede ser considerado como un predecesor de un ataque de ingeniería social. Es cuando un atacante teje una historia hipotética para respaldar su reclamación de información sensible de la empresa. En la mayoría de los casos, el pretexto se lleva a cabo a través de llamadas telefónicas, en las que un atacante se hace pasar por un cliente o empleado, exigiendo información sensible de la empresa.

¿Cuál es un método común utilizado en la ingeniería social?

El método más común utilizado en la ingeniería social es el Phishing. Echemos un vistazo a algunas estadísticas para entender mejor cómo el Phishing es una amenaza global creciente:

  • El informe 2021 Cybersecurity Threat Trends de CISCO destacó que la friolera del 90% de las violaciones de datos se producen como resultado del phishing
  • IBM, en su Informe sobre el coste de una filtración de datos de 2021, delegó en el phishing el título de vector de ataque más costoso económicamente
  • Se ha comprobado que el índice de ataques de phishing aumenta cada año en un 400%, según informa el FBI

¿Cómo protegerse de los ataques de ingeniería social?

Protocolos y herramientas que puedes configurar: 

  • Implemente protocolos de autenticación de correo electrónico en su organización como SPF, DKIM y DMARC. Comience por crear un registro DMARC gratuito hoy mismo con nuestro generador de registros DMARC.
  • Haga cumplir su política DMARC a p=reject para minimizar la suplantación directa de dominio y los ataques de phishing por correo electrónico
  • Asegúrese de que su sistema informático está protegido con la ayuda de un software antivirus

Medidas personales que puedes tomar:

  • Conciencie a su organización sobre los tipos comunes de ataques de ingeniería social, los vectores de ataque y las señales de advertencia
  • Infórmese sobre los vectores y tipos de ataque. Visite nuestra base de conocimientos, introduzca "phishing" en la barra de búsqueda, pulse enter y empiece a aprender hoy mismo.  
  • No envíe nunca información confidencial a sitios web externos
  • Activar las aplicaciones de identificación de llamadas en su dispositivo móvil
  • Recuerde siempre que su banco nunca le pedirá que envíe los datos de su cuenta y su contraseña por correo electrónico, SMS o llamada
  • Compruebe siempre la dirección del remitente y la dirección del remitente de sus correos electrónicos para asegurarse de que coinciden. 
  • Nunca haga clic en archivos adjuntos o enlaces de correo electrónico sospechosos antes de estar 100% seguro de la autenticidad de su fuente
  • Piénselo dos veces antes de confiar en las personas con las que se relaciona en Internet y que no conoce en la vida real
  • No navegue por sitios web que no sean seguros a través de una conexión HTTPS (por ejemplo, http://domain.com)