¿Qué es la ingeniería social?

¿Qué es la ingeniería social? Es una forma de ciberataque que consiste en utilizar la manipulación y el engaño para obtener acceso a datos o información. El objetivo de la ingeniería social es engañar a las personas para que divulguen información sensible, como contraseñas y detalles de la red, haciéndoles creer que están interactuando con alguien en quien confían. 

En algunos casos, los ingenieros sociales también intentarán que descargue en su ordenador, sin que se dé cuenta, programas maliciosos, es decir, software que puede ser utilizado con fines maliciosos.

¿Qué es la ingeniería social? Definición

La ingeniería social es el acto de manipular a las personas para que realicen acciones o divulguen información confidencial. Es una forma de piratería informática, pero en lugar de entrar en los ordenadores, los ingenieros sociales intentan acceder a ellos engañando a los empleados para que den información o descarguen malware.

Técnicas de ingeniería social: ¿Cómo funciona la ingeniería social?

• La ingeniería social puede llevarse a cabo por teléfono, por correo electrónico o por mensajes de texto. Un ingeniero social puede llamar a una empresa y pedirle acceso a un área restringida, o puede hacerse pasar por alguien para conseguir que otra persona abra una cuenta de correo electrónico en su nombre.
• Los ingenieros sociales utilizan muchas tácticas diferentes para lograr sus objetivos. Por ejemplo, pueden afirmar que llaman desde el servicio de asistencia de una empresa y solicitar acceso remoto para poder arreglar algo en su ordenador o red. O pueden afirmar que necesitan su contraseña u otra información personal, como credenciales bancarias, para poder resolver un problema con su cuenta bancaria.
• En algunos casos, los ingenieros sociales incluso se hacen pasar por agentes de la ley y amenazan con emprender acciones legales si te niegas a acceder a sus peticiones de información. Aunque es importante que las empresas se tomen en serio estas amenazas, recuerda que la policía nunca llamará a alguien para pedirle sus contraseñas por teléfono.

Objetivo de la ingeniería social

La ingeniería social se utiliza a menudo en los ataques de phishing, que son correos electrónicos que parecen proceder de una fuente de confianza pero que en realidad tienen como objetivo robar su información personal. Los correos electrónicos suelen contener un archivo adjunto con software malicioso (a menudo llamado malware) que infectará su ordenador si lo abre.

El objetivo de la ingeniería social es siempre el mismo: obtener acceso a algo valioso sin tener que trabajar por ello. 

1. Robo de información sensible

Así que los ingenieros sociales pueden intentar engañarte para que les des tu contraseña y tus credenciales de acceso (como tu nombre de usuario/dirección de correo electrónico) para poder acceder a tu cuenta de correo electrónico o a tu perfil en las redes sociales, donde pueden robar información personal como números de tarjetas de crédito e información de cuentas bancarias de transacciones anteriores. Puede que sepas cómo vender en Instagram, pero ¿estás equipado con los conocimientos suficientes para proteger tu pequeña empresa y tu cuenta de los ingenieros sociales?

2. Robo de identidad

También podrían utilizar esta información para asumir la identidad de la víctima y llevar a cabo actividades maliciosas haciéndose pasar por ella más adelante si deciden no destruirla inmediatamente.

Conozca por qué los ciberatacantes suelen utilizar la ingeniería social.

¿Cómo identificar un ataque de ingeniería social?

1. Confía en tu instinto

Si recibes algún correo electrónico o llamada telefónica que te parezca sospechoso, no des ninguna información hasta que hayas verificado tu identidad. Puedes hacerlo llamando directamente a tu empresa o consultando a la persona que supuestamente ha enviado el correo electrónico o ha dejado un mensaje en tu buzón de voz.

2. No envíes tus datos personales

Si alguien le pide su número de la Seguridad Social u otros datos privados, es una señal de que está intentando aprovecharse de su confianza y utilizarla en su contra más adelante. Se aconseja no dar ninguna información a menos que sea absolutamente necesario. 

3. Solicitudes inusuales sin contexto

Los ingenieros sociales suelen hacer grandes peticiones sin dar ningún contexto. Si alguien pide dinero u otros recursos sin explicar por qué los necesita, es probable que haya algo sospechoso. Es mejor pecar de precavido cuando alguien hace una solicitud grande como esta: ¡nunca se sabe qué tipo de daño podría hacerse con el acceso a tu cuenta bancaria!

Estas son algunas formas de detectar los ataques de ingeniería social:

• Recibir un correo electrónico de alguien que dice ser de su departamento de TI pidiéndole que restablezca su contraseña y que la proporcione en un correo electrónico o mensaje de texto
• Recibir un correo electrónico de alguien que dice ser de su banco y le pide información personal, como su número de cuenta o su código PIN
• Recibir un correo electrónico de alguien que dice ser de su banco y le pide información personal, como su número de cuenta o su código PIN
• Que alguien que dice ser del departamento de RRHH de la empresa le pida información sobre la misma

Ataques de ingeniería social basados en el correo electrónico

Correos electrónicos de suplantación de identidad: parecen proceder de una fuente legítima, pero en realidad intentan engañarle para que abra un archivo adjunto o visite un sitio web malicioso.

Suplantación de identidad - El spear phishing son más selectivos que los correos electrónicos de phishing y utilizan información sobre usted para que parezcan más creíbles

Fraude de losdirectores generales - El fraude del director general es un tipo de estafa de phishing que consiste en hacerse pasar por un director general o un ejecutivo de alto nivel para obtener acceso a información confidencial. Esto puede incluir números de cuentas bancarias, detalles de transferencias bancarias o incluso información de la nómina de los empleados.

Conozca otros tipos de ingeniería social de ingeniería social.

¿Cómo prevenir la ingeniería social?

Tenemos algunos consejos sobre cómo prevenir los ataques de ingeniería social y protegerse de ellos.

1. Asegúrese de tener un buen software antivirus instalado en sus dispositivos y ordenadores.
2. No abra correos electrónicos o archivos adjuntos sospechosos de personas que no pertenezcan a su círculo de confianza (esto incluye correos electrónicos de cualquiera que diga ser su banco o compañía de tarjetas de crédito).
3. No hagas clic en los enlaces de los correos electrónicos a menos que estés seguro de que son seguros, aunque provengan de alguien conocido. Si alguna vez tienes dudas sobre la legitimidad de un correo electrónico, llama directamente al remitente por teléfono o mensaje de texto en lugar de buscar primero más información en Internet.
4. Desconfíe de las llamadas telefónicas o los mensajes de texto no solicitados que le ofrezcan algo "demasiado bueno para ser verdad" (esto podría incluir premios gratuitos y otras ofertas por apuntarse a cosas como pruebas gratuitas). 
5. Utilice autenticación de dos factores Siempre que sea posible, esto significa que aunque alguien tenga tu contraseña, necesitará otra información (como un código de un solo uso) para poder acceder a tu cuenta.
6. Configurar protocolos de autenticación de correo electrónico como DMARC para proteger sus canales de correo electrónico contra ataques de phishing, ingeniería social y abuso de dominio.

Para resumir

Es importante protegerse contra la ingeniería social porque puede provocar la pérdida de dinero y otra información personal, así como comprometer los sistemas de seguridad y las violaciones de datos. 

Por muy bueno que sea su equipo de TI a la hora de proteger a su empresa de los ciberataques, nunca podrá eliminar por completo el riesgo de que alguien intente entrar en su sistema mediante métodos de ingeniería social. Por eso es tan importante formar a los empleados sobre la identificación de correos electrónicos de phishing y otros tipos de ataques de ingeniería social.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Director de Marketing Digital y Redacción de Contenidos en PowerDMARC

Ahona trabaja como responsable de marketing digital y redacción de contenidos en PowerDMARC. Es una apasionada escritora, bloguera y especialista en marketing de ciberseguridad y tecnologías de la información.

Últimas publicaciones de Ahona Rudra (ver todas)

• ¿Cómo solucionar el error "La firma DKIM no es válida"? - 24 de enero de 2023
• La Comisión Europea recomienda DMARC para la seguridad de las comunicaciones por correo electrónico - 20 de enero de 2023
• Sintaxis SPF: Una guía completa - 17 de enero de 2023