Antes de entrar en los tipos de ataques de ingeniería social de los que las víctimas son víctimas a diario, junto con los próximos ataques que han arrasado en Internet, vamos a explicar brevemente en qué consiste la ingeniería social.

Para explicarlo en términos sencillos, la ingeniería social se refiere a una táctica de despliegue de ciberataques en la que los actores de la amenaza utilizan la manipulación psicológica para explotar a sus víctimas y estafarlas.

Ingeniería social: Definición y ejemplos

¿Qué es un ataque de ingeniería social?

A diferencia de los ciberdelincuentes que piratean el ordenador o el sistema de correo electrónico, los ataques de ingeniería social se orquestan tratando de influir en las opiniones de la víctima para maniobrar y exponer información sensible. Los analistas de seguridad han confirmado que más del 70% de los ciberataques que se producen anualmente en Internet son ataques de ingeniería social.

Ejemplos de ingeniería social

Mira el ejemplo que se muestra a continuación:

Aquí podemos observar un anuncio online que atrae a la víctima con la promesa de ganar 1000 dólares por hora. Este anuncio contiene un enlace malicioso que puede iniciar una instalación de malware en su sistema.

Este tipo de ataque se conoce comúnmente como Online Baiting o simplemente Baiting, y es una forma de ataque de ingeniería social.

A continuación se presenta otro ejemplo:

Como se ha mostrado anteriormente, los ataques de ingeniería social también pueden perpetrarse utilizando el correo electrónico como un medio potente. Un ejemplo común de esto es un ataque de Phishing. En la siguiente sección nos ocuparemos de estos ataques con más detalle.

Tipos de ataques de ingeniería social

1. Vishing y Smishing

Supongamos que hoy recibe un SMS de su banco (supuestamente) pidiéndole que verifique su identidad haciendo clic en un enlace, o de lo contrario su cuenta será desactivada. Se trata de un mensaje muy común que suele ser difundido por los ciberdelincuentes para engañar a los incautos. Una vez que haga clic en el enlace, será redirigido a una página falsa que solicita su información bancaria. Tenga por seguro que si acaba proporcionando sus datos bancarios a los atacantes, éstos vaciarán su cuenta.

Del mismo modo, el Vishing o phishing de voz se inicia a través de llamadas telefónicas en lugar de SMS.

2. Cebado en línea / Baiting

Todos los días nos encontramos con una serie de anuncios en línea mientras navegamos por sitios web. Aunque la mayoría de ellos son inofensivos y auténticos, puede haber algunas manzanas podridas escondidas en el lote. Esto se puede identificar fácilmente al detectar anuncios que parecen demasiado buenos para ser verdad. Suelen tener reclamos y señuelos ridículos, como el de ganar el premio gordo o el de ofrecer un gran descuento.

Recuerde que esto puede ser una trampa (también conocido como a cebo). Si algo parece demasiado bueno para ser verdad, probablemente lo sea. Por lo tanto, es mejor mantenerse alejado de los anuncios sospechosos en Internet, y resistirse a hacer clic en ellos.

3. Phishing

Los ataques de ingeniería social se llevan a cabo a menudo a través de correos electrónicos y se denominan "phishing". Los ataques de phishing llevan causando estragos a escala mundial casi desde que existe el propio correo electrónico. Desde 2020, debido al aumento de las comunicaciones por correo electrónico, la tasa de phishing también se ha disparado, estafando a organizaciones, grandes y pequeñas, y siendo noticia cada día.

Los ataques de phishing se pueden clasificar en Spear phishing, whaling y CEO fraud, refiriéndose al acto de suplantar a empleados específicos dentro de una organización, a los responsables de la toma de decisiones de la empresa y al CEO, respectivamente.

4. Estafas románticas

La Oficina Federal de Investigación (FBI) define las estafas románticas por Internet como "timos que se producen cuando un delincuente adopta una identidad falsa en línea para ganarse el afecto y la confianza de la víctima. El estafador utiliza entonces la ilusión de una relación romántica o cercana para manipular y/o robar a la víctima".

Las estafas románticas se incluyen en los tipos de ataques de ingeniería social, ya que los atacantes utilizan tácticas de manipulación para formar una relación romántica estrecha con sus víctimas antes de actuar en su agenda principal: es decir, estafarlas. En 2021, las estafas románticas ocuparon el primer puesto como el ciberataque más perjudicial desde el punto de vista financiero del año, seguido de cerca por el ransomware.

5. Spoofing

La falsificación de dominios es una forma muy evolucionada de ataque de ingeniería social. Consiste en que un atacante falsifica el dominio de una empresa legítima para enviar correos electrónicos a los clientes en nombre de la organización remitente. El atacante manipula a las víctimas para que crean que dicho correo electrónico procede de una fuente auténtica, es decir, de una empresa en cuyos servicios confían.

Los ataques de spoofing son difíciles de rastrear ya que los correos electrónicos se envían desde el propio dominio de la empresa. Sin embargo, hay formas de solucionarlo. Uno de los métodos más utilizados y recomendados por los expertos del sector es minimizar el spoofing con la ayuda de un DMARC de DMARC.

6. Pretexto

El pretexto puede ser considerado como un predecesor de un ataque de ingeniería social. Es cuando un atacante teje una historia hipotética para respaldar su reclamación de información sensible de la empresa. En la mayoría de los casos, el pretexto se lleva a cabo a través de llamadas telefónicas, en las que un atacante se hace pasar por un cliente o empleado, exigiendo información sensible de la empresa.

¿Cuál es un método común utilizado en la ingeniería social?

El método más común utilizado en la ingeniería social es el Phishing. Echemos un vistazo a algunas estadísticas para entender mejor cómo el Phishing es una amenaza global creciente:

El informe 2021 Cybersecurity Threat Trends de CISCO destacó que la friolera del 90% de las violaciones de datos se producen como resultado del phishing
IBM, en su Informe sobre el coste de una filtración de datos de 2021, delegó en el phishing el título de vector de ataque más costoso económicamente
Se ha comprobado que el índice de ataques de phishing aumenta cada año en un 400%, según informa el FBI

¿Cómo protegerse de los ataques de ingeniería social?

Protocolos y herramientas que puedes configurar:

Implemente protocolos de autenticación de correo electrónico en su organización como SPF, DKIM y DMARC. Comience por crear un registro DMARC gratuito hoy mismo con nuestro generador de registros DMARC.
Haga cumplir su política DMARC a p=reject para minimizar la suplantación directa de dominio y los ataques de phishing por correo electrónico
Asegúrese de que su sistema informático está protegido con la ayuda de un software antivirus

Medidas personales que puedes tomar:

Conciencie a su organización sobre los tipos comunes de ataques de ingeniería social, los vectores de ataque y las señales de advertencia
Infórmese sobre los vectores y tipos de ataque. Visite nuestra base de conocimientos, introduzca "phishing" en la barra de búsqueda, pulse enter y empiece a aprender hoy mismo.
No envíe nunca información confidencial a sitios web externos
Activar las aplicaciones de identificación de llamadas en su dispositivo móvil
Recuerde siempre que su banco nunca le pedirá que envíe los datos de su cuenta y su contraseña por correo electrónico, SMS o llamada
Compruebe siempre la dirección del remitente y la dirección del remitente de sus correos electrónicos para asegurarse de que coinciden.
Nunca haga clic en archivos adjuntos o enlaces de correo electrónico sospechosos antes de estar 100% seguro de la autenticidad de su fuente
Piénselo dos veces antes de confiar en las personas con las que se relaciona en Internet y que no conoce en la vida real
No navegue por sitios web que no sean seguros a través de una conexión HTTPS (por ejemplo, http://domain.com)