En cualquier cadena de seguridad, los humanos somos casi siempre el eslabón más débil, porque somos susceptibles de todo tipo de tácticas de manipulación. Las técnicas de ingeniería social se aprovechan de esta vulnerabilidad humana para engañar a las víctimas y conseguir que divulguen información privada. Aprenda a detectar un ataque de ingeniería social y cómo un software de seguridad potente puede ayudarle a evitar que sea víctima de tácticas de ingeniería social.
La ingeniería social es la práctica de utilizar técnicas psicológicas para manipular el comportamiento. La ingeniería social se produce aprovechando el error humano y animando a las víctimas a actuar en contra de sus intereses. En el ámbito de la seguridad de la información, la definición de ingeniería social se refiere a conseguir que las personas divulguen datos privados en línea, como datos de acceso o información financiera.
En otros contextos, la ingeniería social significa algo ligeramente diferente. En las ciencias sociales, por ejemplo, la ingeniería social es simplemente el esfuerzo por influir psicológicamente en los comportamientos sociales a una escala mayor, de grupo. Eso puede incluir animar a la gente a comportarse correctamente en el transporte público, dejar de fumar o incluso apoyar un cambio político.
Aquí nos centraremos en la ingeniería social en el contexto de la seguridad de la información, donde los hackers despliegan técnicas en línea para obtener acceso a información confidencial. En este ámbito digital, la ingeniería social puede definirse como un ciberdelito.
La ingeniería social funciona aprovechando los prejuicios cognitivos de las personas. Un atacante de ingeniería social se hace pasar por alguien simpático, digno de confianza o con autoridad y engaña a la víctima para que confíe en él. Una vez que la víctima confía en el atacante, es manipulada para que revele información privada.
Por desgracia, hay muchos sesgos cognitivos que los atacantes pueden explotar en su beneficio, robando los datos privados de las víctimas delante de sus narices. Las técnicas de ingeniería social explotan esta tendencia a la confianza de muchas maneras diferentes.
La ingeniería social funciona aprovechando los prejuicios cognitivos de las personas. Un atacante de ingeniería social se hace pasar por alguien simpático, digno de confianza o con autoridad y engaña a la víctima para que confíe en él. Una vez que la víctima confía en el atacante, es manipulada para que revele información privada.
Por desgracia, hay muchos sesgos cognitivos que los atacantes pueden explotar en su beneficio, robando los datos privados de las víctimas delante de sus narices. Las técnicas de ingeniería social explotan esta tendencia a la confianza de muchas maneras diferentes.
Una de las mejores maneras de protegerse de un ataque de ingeniería social es conocer los métodos más comunes utilizados en la ingeniería social. Hoy en día, la ingeniería social se produce con frecuencia en línea, incluso a través de estafas en las redes sociales, donde los atacantes se hacen pasar por un contacto de confianza o una figura de autoridad para manipular a las personas para que expongan información confidencial.
Aquí otros tipos de ataques comunes en la ingeniería social:
El phishing es un tipo de ataque de ingeniería social en el que las comunicaciones se disfrazan para que parezcan proceder de una fuente de confianza. Estos mensajes –a menudo correos electrónicos– están diseñados para engañar a las víctimas y conseguir que den información personal o financiera. Después de todo, ¿por qué habríamos de dudar de la autenticidad de un mensaje que llega de un amigo, un familiar o una tienda que visitamos a menudo? Las estafas de phishing se aprovechan de esta confianza.
El spear phishing es un tipo de ataque de ingeniería social que se dirige a grandes empresas o a personas concretas. Los ataques de spear phishing están muy dirigidos a pequeños grupos o personas con poder, como ejecutivos de empresas y celebridades. Los ataques de ingeniería social que utilizan este método suelen estar bien estudiados y disfrazados de forma insidiosa, lo que dificulta su detección.
Nuestro conocimiento en pruebas de penetración web potenciará tu presencia en línea. Detectamos y solucionamos posibles vulnerabilidades en aplicaciones web para proteger tu plataforma digital.
El smishing es un tipo de ataque de phishing que llega en forma de mensaje de texto o SMS. Habitualmente, estos ataques piden a la víctima que realice alguna acción inmediata a través de enlaces maliciosos en los que hay que hacer clic o números de teléfono a los que hay que llamar. A menudo, solicitan a las víctimas que revelen información personal que los atacantes pueden usar en beneficio propio. Los ataques de smishing suelen transmitir una sensación de urgencia para que las víctimas actúen rápidamente y caigan en la trampa.
El whaling es uno de los ataques de phishing más ambiciosos que existen, con consecuencias catastróficas. Este tipo de ataque de ingeniería social suele estar dirigido a un objetivo de alto valor. A veces se habla de «fraude de los directores generales», lo que da una idea de la marca típica. Los ataques de whaling son más difíciles de identificar que otros ataques de phishing, porque adoptan con éxito un tono de voz apropiado para los negocios y utilizan el conocimiento interno de la industria en su beneficio.
Los ataques de ingeniería social no siempre tienen su origen en Internet: también pueden empezar fuera de las redes. El baiting se refiere al caso en el que un atacante deja un dispositivo infectado con malware (por ejemplo, una unidad USB) en algún lugar fácil de encontrar. Estos dispositivos suelen estar etiquetados de forma especial para crear curiosidad. Si alguien especialmente curioso (o avaricioso) lo recoge y lo conecta a su equipo, este podría infectarse involuntariamente con malware.
El scareware es un tipo de malware que utiliza la ingeniería social para asustar a las personas y conseguir que descarguen un falso software de seguridad o visiten un sitio infectado con malware. El scareware suele aparecer en forma de ventanas emergentes, que dicen ayudar a eliminar un virus informático que supuestamente existe en su dispositivo. Una vez que se hace clic en la ventana emergente, se le redirige a un sitio malicioso o se instala aún más malware sin que lo sepa.
Si sospecha que tiene scareware, u otro tipo de ventana emergente molesta, analice de forma periódica su PC con una herramienta de eliminación de virus de confianza. Analizar periódicamente su dispositivo en busca de amenazas es una buena higiene digital. Puede evitar futuros ataques de ingeniería social, e incluso puede ayudar a mantener sus datos privados a salvo.
El pretexting consiste en crear un escenario falso, o «pretexto», que los estafadores utilizan para engañar a sus víctimas. Los ataques de pretexting pueden producirse en línea o no, y son uno de los trucos más eficaces para un ingeniero social: los atacantes investigan mucho para hacerse pasar por auténticos.
No es fácil descubrir las artimañas de un pretexto, así que tenga cuidado al compartir información confidencial con extraños. Y si alguien le llama con un problema urgente, póngase en contacto con la organización para descartar un ataque de ingeniería social.
Una honey trap es un tipo de esquema de ingeniería social en el que un atacante atrae a una víctima a una situación sexual vulnerable. El atacante aprovecha la situación como una oportunidad para la sextorsión u otro tipo de chantaje. Los ingenieros sociales suelen tender trampas enviando correos electrónicos de spam en los que afirman haber estado «observando a través de su cámara web» o algo igualmente siniestro.
Si recibe un correo electrónico como este, compruebe que su cámara web es segura. Mantenga la calma y no responda: estos correos no son más que spam.
El spam en el correo electrónico es uno de los tipos de ingeniería social más antiguos en Internet y es responsable de prácticamente toda la basura que llega a su bandeja de entrada. En el mejor de los casos, el spam en el correo electrónico es molesto. En el peor de los casos, se trata de una estafa para obtener sus datos personales. Muchos servidores de correo electrónico revisan los mensajes automáticamente en busca de spam malicioso, pero el proceso no es perfecto y a veces llegan mensajes peligrosos.
Los métodos descritos anteriormente son los tipos más habituales de ataques ingeniería social que se utilizan para tener acceso a los datos personales de las víctimas. Los atacantes siempre encuentran nuevas maneras de engañar a las personas y a las máquinas, especialmente con formas más creativas de utilizar métodos de ingeniería social tan antiguos como el spam en el correo electrónico y el pretexting.
Las técnicas de ingeniería social se aprovechan de esta vulnerabilidad humana para engañar a las víctimas y conseguir que divulguen información privada.
