¿Qué es un ataque con cebo y cómo prevenirlo?

Un ataque de cebo es una de las técnicas de ingeniería social más comunes y exitosas empleadas en todo el mundo. ¿Qué es el baiting en ciberseguridad? Siga leyendo para saber más.

¿Qué es el cebo en ciberseguridad?

Un ataque de cebo es una estrategia utilizada en ingeniería social en la que una persona es seducida por una promesa engañosa que apela a su curiosidad o codicia. El cebo se produce cuando un atacante deja una memoria USB con una carga dañina en vestíbulos o aparcamientos con la esperanza de que alguien la introduzca en un dispositivo por curiosidad, momento en el que se puede desplegar el malware que contiene.

En un ciberataque de cebo el atacante puede enviar un mensaje de correo electrónico a la bandeja de entrada de la víctima que contenga un archivo adjunto malicioso. Tras abrir el archivo adjunto, se instala en su ordenador y espía sus actividades.

El atacante también le envía un correo electrónico que contiene un enlace a un sitio web que aloja código malicioso. Al hacer clic en este enlace, puede infectar su dispositivo con malware o ransomware.

Los piratas informáticos suelen utilizar ataques de cebo para robar datos personales o dinero a sus víctimas. Este ataque se ha vuelto más común a medida que los delincuentes han encontrado nuevas formas de engañar a la gente para convertirla en víctima de la ciberdelincuencia.

Lectura liberada: ¿Qué es el malware?

¡Simplifique la seguridad con PowerDMARC!

Técnicas de ataque con cebo

El cebo puede adoptar muchas formas:

• Descargas en línea: Se trata de enlaces a archivos maliciosos que pueden enviarse por correo electrónico, redes sociales o programas de mensajería instantánea. Los programas de mensajería instantánea como Facebook e Instagram envían enlaces a los seguidores que hacen clic en ellos.
• Dispositivos infectados con malware: El atacante puede infectar un ordenador con malware y venderlo en la web oscura. Los compradores potenciales pueden probar el dispositivo conectándolo a su red y viendo si se infectan.
• Ofertas tentadoras: Estos correos invitan a comprar algo con descuento o incluso gratis. El enlace conduce a malware en lugar de a la mercancía.

Ejemplo de ataques de ingeniería social de cebo

A continuación se exponen algunos ejemplos de ingeniería social de cebo:

• Un atacante envía un correo electrónico que parece provenir de una empresa legítima solicitando información personal de los empleados, como sus números de la Seguridad Social o contraseñas.
• Una empresa publica ofertas de empleo en su sitio web y, a continuación, pide a los solicitantes que faciliten sus datos personales antes de poder presentar su candidatura.
• Un pirata informático crea un sitio web falso que parece pertenecer a una empresa real y, a continuación, pide a los usuarios que envíen los datos de su tarjeta de crédito para poder comprar productos o recibir servicios del sitio web.

Baiting vs. Phishing

El señuelo y el phishing son dos tipos distintos de estafa. La diferencia básica es que el baiting implica a una empresa u organización real, mientras que el phishing se utiliza para simular que el remitente del correo electrónico es alguien que conoces y en quien confías.

Cebo utiliza una empresa u organización legítima como cebo para engañarle y conseguir que facilite información personal o haga clic en un enlace. Puede adoptar la forma de correos electrónicos basura sobre productos o servicios, correos directos o incluso llamadas telefónicas de teleoperadores. El objetivo es convencerle de que les facilite información que puedan utilizar para robar su identidad.

Estafas de phishing suelen llegar por correo electrónico y a menudo incluyen archivos adjuntos o enlaces que podrían infectar su ordenador con software malicioso (malware). También pueden pedirle dinero o información sobre su cuenta bancaria haciéndose pasar por un banco u otra entidad financiera.

Lectura relacionada: Phishing frente a spam

¿Cómo prevenir el éxito de un ataque con cebo?

Impedir el éxito de un ataque de cebo requiere trabajo. La única manera es comprender los motivos y objetivos de los atacantes.

1. Eduque a sus empleados

El primer paso para evitar el éxito de un ataque de cebo es educar a sus empleados para que se protejan. Esto puede hacerse mediante campañas de formación y concienciación, pero es importante mantenerlos al día de las últimas tendencias y tácticas de phishing. También debe enseñarles a reconocer las amenazas potenciales antes de hacer clic en cualquier enlace o abrir cualquier archivo adjunto.

2. No siga los enlaces a ciegas

Es fácil que los empleados se vuelvan perezosos y hagan clic en cualquier enlace que vean en un correo electrónico porque suponen que si alguien lo envía, debe ser seguro. Sin embargo, esto no siempre es cierto: los estafadores suelen enviar mensajes que parecen proceder de fuentes legítimas, como la dirección de correo electrónico de tu empresa o la de otro empleado (por ejemplo, alguien que trabaje en Recursos Humanos).

3. Infórmese para evitar los ataques con cebo

Aprenda a ser escéptico ante cualquier oferta demasiado buena para ser cierta, como una oferta de dinero o artículos gratis. 

Probablemente el trato no sea tan bueno como parece.

Si alguien te pide información personal o financiera por correo electrónico o mensaje de texto, aunque diga ser de tu banco, ¡no se la des! En lugar de eso, llama directamente a tu banco y pregúntale si te ha enviado el mensaje pidiéndote esa información (y luego denuncia al estafador).

4. Utilice software antivirus y antimalware

Existen muchos buenos programas antivirus, pero no todos le protegerán de un ataque de cebo. Debe asegurarse de tener uno que pueda detectar y bloquear las amenazas más recientes antes de que infecten su ordenador. Si no tienes ninguno instalado, puedes probar nuestro software gratuito Malwarebytes Anti-Malware Premium, que proporciona protección en tiempo real contra el malware y otras amenazas.

5. No utilice dispositivos externos antes de comprobar que no contienen malware.

Los dispositivos externos, como las memorias USB y los discos duros externos, pueden ser portadores de malware que puede infectar tu ordenador cuando están conectados. Así que asegúrate primero de que cualquier dispositivo externo que conectes a tu ordenador ha sido analizado en busca de virus.

6. Realizar ataques simulados organizados

Otra forma de evitar que los ataques de cebo tengan éxito es realizar ataques simulados organizados. Estos simulacros ayudan a identificar los puntos débiles de sus sistemas y procedimientos, permitiéndole solucionarlos antes de que se conviertan en problemas reales. También ayudan a los empleados a acostumbrarse a identificar comportamientos sospechosos, para que sepan qué buscar cuando se produzcan.

Conclusión

Los ataques de cebo no son nuevos, pero cada vez son más frecuentes y pueden ser muy perjudiciales. Si dirige una empresa, un blog o un foro, sepa que es su responsabilidad proteger sus activos en línea de la infestación. Lo mejor es atajar estos problemas antes de que se extiendan.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Por qué los correos electrónicos sin respuesta son un peligro para la ciberseguridad - 20 de marzo de 2025
• Los mejores analizadores de dominios para la seguridad del correo electrónico en 2025 - 19 de marzo de 2025
• PowerDMARC se asocia con Loons Group para reforzar la seguridad del correo electrónico en Qatar - 13 de marzo de 2025