Tag Archive for: ¿Cuál es el método más utilizado en ingeniería social?

¿Cómo protegerse de los ataques de ingeniería social?

En los ataques de ingeniería social, un atacante intenta acceder a datos o servicios forjando relaciones con personas cuya confianza puede explotar. La primera línea de defensa es mantenerse alerta. Es posible que el atacante le atraiga a una conversación que se convierta más bien en un interrogatorio. Sin embargo, la mejor manera de protegerse de la ingeniería social es saber en quién puede confiar y ser digno de confianza. Tienes que identificar a cualquiera que pueda acceder a tu cuenta o pueda influir en ella y asegurarte de que tiene una buena razón para hacerlo. 

¿Qué es un ataque de ingeniería social?

El ataque de ingeniería social es una forma de piratería informática en la que un atacante intenta obtener acceso o información explotando la confianza. Es un ataque muy eficaz porque aprovecha tu deseo de ayudar a la gente, tu curiosidad y tu ingenuidad. Un ingeniero social puede convertirte en cómplice involuntario utilizando la manipulación de alto nivel para conseguir lo que el atacante quiera. Es una forma de pirateo informático, pero en lugar de irrumpir en los ordenadores, los ingenieros sociales intentan acceder a ellos engañando a los empleados para que faciliten información o descarguen malware.

Técnicas de ingeniería social

Los ataques de ingeniería social pueden realizarse por teléfono, correo electrónico o mensajes de texto. Un ingeniero social puede llamar a una empresa y pedir acceso a un área restringida, o puede hacerse pasar por alguien para conseguir que otra persona abra una cuenta de correo electrónico en su nombre.

Los ingenieros sociales utilizan muchas tácticas diferentes para lograr sus objetivos. Por ejemplo, pueden afirmar que llaman desde el servicio de asistencia de una empresa y solicitar acceso remoto para poder arreglar algo en su ordenador o red. O pueden afirmar que necesitan su contraseña u otra información personal, como credenciales bancarias, para poder resolver un problema con su cuenta bancaria.

En algunos casos, los ingenieros sociales incluso se hacen pasar por agentes de la ley y amenazan con emprender acciones legales si el usuario se niega a acceder a sus peticiones de información. Aunque es importante que las empresas se tomen en serio estas amenazas, recuerda que la policía nunca llamará a nadie para pedirle sus contraseñas por teléfono.

Objetivo de la ingeniería social

La ingeniería social se utiliza a menudo en los ataques de phishing, que son correos electrónicos que parecen proceder de una fuente de confianza pero que en realidad tienen como objetivo robar su información personal. Los correos electrónicos suelen contener un archivo adjunto con software malicioso (a menudo llamado malware) que infectará su ordenador si lo abre.

El objetivo de la ingeniería social es siempre el mismo: obtener acceso a algo valioso sin tener que trabajar por ello. 

1. Robo de información sensible

Así, los ingenieros sociales pueden intentar engañarle para que facilite su contraseña y sus credenciales de inicio de sesión (como su nombre de usuario/dirección de correo electrónico) para poder acceder a su cuenta de correo electrónico o perfil de redes sociales, donde pueden robar información personal como números de tarjetas de crédito e información de cuentas bancarias de transacciones anteriores. 

2. Robo de identidad

También podrían utilizar esta información para asumir la identidad de la víctima y llevar a cabo actividades maliciosas haciéndose pasar por ella más adelante si deciden no destruirla inmediatamente.

Ejemplo de ataque de ingeniería social

El uso del engaño y la artimaña para obtener ventaja se remonta a mucho antes de la generalización de los ordenadores personales y la World Wide Web. Pero podemos mirar más atrás en la historia para ver algunos de los casos más atroces de ataques de ingeniería social.

En el incidente más reciente, ocurrido en febrero de 2020, un phishing utilizando una factura de renovación falsa logró estafar a Barbara Corcoran, del programa "Shark Tank" de la ABC casi 400.000 dólares.

Si es usted víctima de ataques de ingeniería social, es esencial que sepa cómo protegerse para no ser victimizado. Conozca las señales de advertencia de una amenaza potencial y cómo protegerse.

¿Cómo identificar un ataque de ingeniería social?

1. Confía en tu instinto

Si recibes algún correo electrónico o llamada telefónica que te parezca sospechoso, no des ninguna información hasta que hayas verificado tu identidad. Puedes hacerlo llamando directamente a tu empresa o consultando a la persona que supuestamente ha enviado el correo electrónico o ha dejado un mensaje en tu buzón de voz.

2. No envíes tus datos personales

Si alguien le pide su número de la Seguridad Social u otros datos privados, es señal de que intenta aprovecharse de su confianza y utilizarla en su contra más adelante. Se aconseja no dar ninguna información a menos que sea necesario. 

3. Solicitudes inusuales sin contexto

Los ingenieros sociales suelen hacer grandes peticiones sin dar ningún contexto. Si alguien pide dinero u otros recursos sin explicar por qué los necesita, es probable que haya algo sospechoso. Es mejor pecar de precavido cuando alguien hace una solicitud grande como esta: ¡nunca se sabe qué tipo de daño podría hacerse con el acceso a tu cuenta bancaria!

Estas son algunas formas de detectar los ataques de ingeniería social:

  • Recibir un correo electrónico de alguien que dice ser de su departamento de TI pidiéndole que restablezca su contraseña y que la proporcione en un correo electrónico o mensaje de texto
  • Recibir un correo electrónico de alguien que dice ser de su banco y le pide información personal, como su número de cuenta o su código PIN
  • Recibir un correo electrónico de alguien que dice ser de su banco y le pide información personal, como su número de cuenta o su código PIN
  • Que alguien que dice ser del departamento de RRHH de la empresa le pida información sobre la misma

Tipos de ataques de ingeniería social

Victimizar a las personas mediante ataques de ingeniería social es una excelente forma de cometer fraude. Puede llevarse a cabo de varias maneras. 

Obtener acceso: Los piratas informáticos pueden acceder a su cuenta bancaria solicitando un crédito a nombre de otra persona. Este fraude suele consistir en una llamada telefónica o en el envío de un correo electrónico a amigos y familiares, a los que se pide que realicen una transferencia bancaria para reembolsar rápidamente al pirata informático el peaje que ha causado en la vida de la víctima.

Robo de información personal: Otra forma habitual de engañar a las personas para que entreguen sus datos personales es haciéndoles creer que han ganado un premio o un concurso en el que nunca participaron pero al que sí se inscribieron. Y cuando reciben este tipo de llamadas para asegurarse de que recibirán el premio una vez que den sus datos, ahí es donde las víctimas caen en la trampa del atacante.

Phishing: En este ataque, los atacantes envían correos electrónicos que parecen proceder de empresas u organizaciones legítimas, pero que contienen enlaces o archivos adjuntos maliciosos. Además, es uno de los ataques de ingeniería social más comunes en todo el mundo.

Pretextos: Otro ataque masivo de ingeniería social consiste en crear una identidad o escenario falsos para obtener acceso a información personal. Uno de los ejemplos más destacados de ingeniería social es aquel enel que los atacantes obtienen acceso para manipular a personas a través de mensajes de texto.

Shoulder Surfing: Es un ataque en el que el atacante mira por encima del hombro de alguien para acceder a información confidencial. A veces, el atacante no es más que tus amigos cercanos o seres queridos que te chantajearán una vez que consigan la información que siempre quisieron tener. Por lo tanto, es esencial mantener un ojo en esas personas y nunca proporcionar todos los detalles personales.

Seguimiento: Tailgating es cuando un atacante sigue a alguien autorizado a entrar en un edificio o área segura sin estar realmente autorizado. No es tan común como otros ataques de ingeniería social, pero aun así es peligroso y puede dejar huellas dañinas.

5 formas de protegerse de los ataques de ingeniería social

Aquí hemos reunido algunos consejos útiles o ideas que ayudan a protegerse de ser atacado socialmente o prevenir ataques de ingeniería social:

1. Remitentes desconocidos (correos electrónicos frente a mensajes de texto)

Preste mucha atención a la dirección de correo electrónico del remitente y al contenido del mensaje. Saber que no hay que hacer clic en ningún enlace de documento sospechoso es esencial. 

2. Dejar de compartir información personal

Piense antes de compartir información personal, como contraseñas y números de tarjetas de crédito. Ninguna empresa o persona legítima debería pedir nunca este tipo de información confidencial. Utilice siempre contraseñas seguras y cámbielas con regularidad. Evite utilizar las mismas contraseñas para varias cuentas y evite ser víctima de ataques de ingeniería social.

3. Capas de seguridad

Utiliza la autenticación de dos factores siempre que sea posible. Puede añadir una capa adicional de seguridad al exigir a los usuarios que introduzcan un código enviado a su teléfono móvil y su nombre de usuario y contraseña. Configura siempre códigos de autenticación con tu correo electrónico y tu número de teléfono para que, si alguien consiguiera acceder a cualquiera de los dos sistemas, no pudiera utilizar tu cuenta directamente.

4. Software antivirus

Instalar antivirusmalware y antivirus en todos tus dispositivos. Mantenga estos programas actualizados para que puedan protegerle de las amenazas más recientes. Sin embargo, cuando tienes un antivirus instalado en tus dispositivos, puede proporcionar un excelente escudo contra los ataques de ingeniería social.

5. Tenga siempre en cuenta los riesgos

Le ayudaría tener siempre en cuenta los riesgos. Asegúrese de que cualquier solicitud de información es exacta comprobándola dos y tres veces. Mantente atento a las noticias sobre ciberseguridad cuando te veas afectado por una brecha reciente. 

Conclusión

Para protegerse de los ataques de ingeniería social, debe aprender a tomar precauciones contra ellos. Como ya le hemos proporcionado algunos métodos estándar de ataques de ingeniería social, que se han utilizado durante varias épocas en el mundo, asegúrese de empezar a aplicar las precauciones ahora. Los ataques de ingeniería social pueden dañar el plus y la vida profesional de una persona en cuestión de segundos. Proteja siempre sus dispositivos, contraseñas y otros inicios de sesión con dos códigos de verificación de autenticación para una capa externa de protección.

Antes de hacer nada, hable con un profesional de TI de confianza o un experto en seguridad como PowerDMARC. Ellos pueden ayudarle a comprender los riesgos de los ataques de ingeniería social y cómo minimizarlos.

ingeniería social

/por

Tipos de ataques de ingeniería social en 2022

Antes de entrar en los tipos de ataques de ingeniería social de los que las víctimas son víctimas a diario, junto con los próximos ataques que han arrasado en Internet, vamos a explicar brevemente en qué consiste la ingeniería social. 

Para explicarlo en términos sencillos, la ingeniería social se refiere a una táctica de despliegue de ciberataques en la que los actores de la amenaza utilizan la manipulación psicológica para explotar a sus víctimas y estafarlas.

Ingeniería social: Definición y ejemplos

¿Qué es un ataque de ingeniería social?

A diferencia de los ciberdelincuentes que piratean el ordenador o el sistema de correo electrónico, los ataques de ingeniería social se orquestan tratando de influir en las opiniones de la víctima para maniobrar y exponer información sensible. Los analistas de seguridad han confirmado que más del 70% de los ciberataques que se producen anualmente en Internet son ataques de ingeniería social.

Ejemplos de ingeniería social

Mira el ejemplo que se muestra a continuación:

ingeniería social

 

Aquí podemos observar un anuncio online que atrae a la víctima con la promesa de ganar 1000 dólares por hora. Este anuncio contiene un enlace malicioso que puede iniciar una instalación de malware en su sistema. 

Este tipo de ataque se conoce comúnmente como Online Baiting o simplemente Baiting, y es una forma de ataque de ingeniería social. 

A continuación se presenta otro ejemplo:

ingeniería social

Como se ha mostrado anteriormente, los ataques de ingeniería social también pueden perpetrarse utilizando el correo electrónico como un medio potente. Un ejemplo común de esto es un ataque de Phishing. En la siguiente sección nos ocuparemos de estos ataques con más detalle.

Tipos de ataques de ingeniería social

1. Vishing y Smishing

ingeniería social

Supongamos que hoy recibe un SMS de su banco (supuestamente) pidiéndole que verifique su identidad haciendo clic en un enlace, o de lo contrario su cuenta será desactivada. Se trata de un mensaje muy común que suele ser difundido por los ciberdelincuentes para engañar a los incautos. Una vez que haga clic en el enlace, será redirigido a una página falsa que solicita su información bancaria. Tenga por seguro que si acaba proporcionando sus datos bancarios a los atacantes, éstos vaciarán su cuenta. 

Del mismo modo, el Vishing o phishing de voz se inicia a través de llamadas telefónicas en lugar de SMS.

2. Cebado en línea / Baiting 

ingeniería social

Todos los días nos encontramos con una serie de anuncios en línea mientras navegamos por sitios web. Aunque la mayoría de ellos son inofensivos y auténticos, puede haber algunas manzanas podridas escondidas en el lote. Esto se puede identificar fácilmente al detectar anuncios que parecen demasiado buenos para ser verdad. Suelen tener reclamos y señuelos ridículos, como el de ganar el premio gordo o el de ofrecer un gran descuento.

Recuerde que esto puede ser una trampa (también conocido como a cebo). Si algo parece demasiado bueno para ser verdad, probablemente lo sea. Por lo tanto, es mejor mantenerse alejado de los anuncios sospechosos en Internet, y resistirse a hacer clic en ellos.

3. Phishing

Los ataques de ingeniería social se llevan a cabo a menudo a través de correos electrónicos y se denominan "phishing". Los ataques de phishing llevan causando estragos a escala mundial casi desde que existe el propio correo electrónico. Desde 2020, debido al aumento de las comunicaciones por correo electrónico, la tasa de phishing también se ha disparado, estafando a organizaciones, grandes y pequeñas, y siendo noticia cada día. 

Los ataques de phishing se pueden clasificar en Spear phishing, whaling y CEO fraud, refiriéndose al acto de suplantar a empleados específicos dentro de una organización, a los responsables de la toma de decisiones de la empresa y al CEO, respectivamente.

4. Estafas románticas

La Oficina Federal de Investigación (FBI) define las estafas románticas por Internet como "timos que se producen cuando un delincuente adopta una identidad falsa en línea para ganarse el afecto y la confianza de la víctima. El estafador utiliza entonces la ilusión de una relación romántica o cercana para manipular y/o robar a la víctima". 

Las estafas románticas se incluyen en los tipos de ataques de ingeniería social, ya que los atacantes utilizan tácticas de manipulación para formar una relación romántica estrecha con sus víctimas antes de actuar en su agenda principal: es decir, estafarlas. En 2021, las estafas románticas ocuparon el primer puesto como el ciberataque más perjudicial desde el punto de vista financiero del año, seguido de cerca por el ransomware.

5. Spoofing

La falsificación de dominios es una forma muy evolucionada de ataque de ingeniería social. Consiste en que un atacante falsifica el dominio de una empresa legítima para enviar correos electrónicos a los clientes en nombre de la organización remitente. El atacante manipula a las víctimas para que crean que dicho correo electrónico procede de una fuente auténtica, es decir, de una empresa en cuyos servicios confían. 

Los ataques de spoofing son difíciles de rastrear ya que los correos electrónicos se envían desde el propio dominio de la empresa. Sin embargo, hay formas de solucionarlo. Uno de los métodos más utilizados y recomendados por los expertos del sector es minimizar el spoofing con la ayuda de un DMARC de DMARC.

6. Pretexto

El pretexto puede ser considerado como un predecesor de un ataque de ingeniería social. Es cuando un atacante teje una historia hipotética para respaldar su reclamación de información sensible de la empresa. En la mayoría de los casos, el pretexto se lleva a cabo a través de llamadas telefónicas, en las que un atacante se hace pasar por un cliente o empleado, exigiendo información sensible de la empresa.

¿Cuál es un método común utilizado en la ingeniería social?

El método más común utilizado en la ingeniería social es el Phishing. Echemos un vistazo a algunas estadísticas para entender mejor cómo el Phishing es una amenaza global creciente:

  • El informe 2021 Cybersecurity Threat Trends de CISCO destacó que la friolera del 90% de las violaciones de datos se producen como resultado del phishing
  • IBM, en su Informe sobre el coste de una filtración de datos de 2021, delegó en el phishing el título de vector de ataque más costoso económicamente
  • Se ha comprobado que el índice de ataques de phishing aumenta cada año en un 400%, según informa el FBI

¿Cómo protegerse de los ataques de ingeniería social?

Protocolos y herramientas que puedes configurar: 

  • Implemente protocolos de autenticación de correo electrónico en su organización como SPF, DKIM y DMARC. Comience por crear un registro DMARC gratuito hoy mismo con nuestro generador de registros DMARC.
  • Haga cumplir su política DMARC a p=reject para minimizar la suplantación directa de dominio y los ataques de phishing por correo electrónico
  • Asegúrese de que su sistema informático está protegido con la ayuda de un software antivirus

Medidas personales que puedes tomar:

  • Conciencie a su organización sobre los tipos comunes de ataques de ingeniería social, los vectores de ataque y las señales de advertencia
  • Infórmese sobre los vectores y tipos de ataque. Visite nuestra base de conocimientos, introduzca "phishing" en la barra de búsqueda, pulse enter y empiece a aprender hoy mismo.  
  • No envíe nunca información confidencial a sitios web externos
  • Activar las aplicaciones de identificación de llamadas en su dispositivo móvil
  • Recuerde siempre que su banco nunca le pedirá que envíe los datos de su cuenta y su contraseña por correo electrónico, SMS o llamada
  • Compruebe siempre la dirección del remitente y la dirección del remitente de sus correos electrónicos para asegurarse de que coinciden. 
  • Nunca haga clic en archivos adjuntos o enlaces de correo electrónico sospechosos antes de estar 100% seguro de la autenticidad de su fuente
  • Piénselo dos veces antes de confiar en las personas con las que se relaciona en Internet y que no conoce en la vida real
  • No navegue por sitios web que no sean seguros a través de una conexión HTTPS (por ejemplo, http://domain.com)

ingeniería social

/por