Ingeniería social es un término que oímos constantemente en las noticias relacionadas con los ciberataques, pero ¿qué significa exactamente?

La ingeniería social es el arte de manipular a las personas para que realicen determinadas acciones o divulguen información confidencial.

En lugar de utilizar ataques de piratería tradicionales, los ciberdelincuentes se aprovechan de nuestra naturaleza humana confiada para engañarnos y hacer que incumplamos las prácticas de seguridad habituales.

Este tipo de ataques ha crecido en frecuencia y sofisticación, y está demostrando ser una forma muy exitosa para que los estafadores obtengan acceso no autorizado a redes informáticas y datos confidenciales.

Los ataques de ingeniería social adoptan muchas formas diferentes, pero el hilo conductor de todos ellos es su explotación del comportamiento humano. Los siguientes ejemplos son las formas de ataque más utilizadas.

Phishing

El phishing sigue siendo el ataque de ingeniería social más popular de todos debido a su elevada tasa de éxito. La mayoría de los ciberataques pueden remontarse a un correo electrónico de phishing y la estafa en línea funciona engañando a la gente para que facilite información sensible o descargue malware malicioso.

Los correos electrónicos de phishing están diseñados para parecer auténticos y aparentarán proceder de una fuente legítima. El correo electrónico incluirá un enlace o un archivo adjunto que, una vez pulsado, infectará un ordenador con malware.

Vishing

Vishing es una combinación de la palabra voz y phishing y se refiere a las estafas de phishing que tienen lugar por teléfono. Tiene la mayor interacción humana de todos los ataques de ingeniería social, pero sigue el mismo patrón de engaño. Los estafadores suelen crear una sensación de urgencia para convencer a la víctima de que divulgue información confidencial.

La llamada se realizará a menudo a través de un identificador falsificado, para que parezca que procede de una fuente fiable. Un escenario típico implicará que el estafador se haga pasar por un empleado del banco para señalar un comportamiento sospechoso en una cuenta. Una vez que se hayan ganado la confianza de la víctima, le pedirán información personal como datos de acceso, contraseñas y pin. Los datos pueden utilizarse entonces para vaciar cuentas bancarias o cometer un fraude de identidad.

Smishing

El smishing es un tipo de phishing que utiliza mensajes SMS en lugar de correos electrónicos para dirigirse a las personas. Lo utilizan los delincuentes para incitar a los individuos a divulgar información personal como datos de cuentas, de tarjetas de crédito o nombres de usuario y contraseñas. Este método implica que el estafador envíe un mensaje de texto al número de teléfono de un individuo y suele incluir una llamada a la acción que requiere una respuesta inmediata. Los mensajes a menudo afirmarán proceder de bancos, sistemas de recaudación de impuestos e incluso de sus propios amigos. Pueden pedirle que haga clic en un enlace, que llame a un número o incluso pueden informarle de que está a punto de recibir una llamada telefónica de un miembro del servicio de asistencia.

Spear – Phishing

El Spear-Phishing es un intento más selectivo de robar información sensible y suele centrarse en un individuo u organización concretos. Este tipo de ataques utiliza información personal propia del individuo para aparentar legitimidad.  Más información sobre el spear phishing.

Los estafadores suelen recurrir a las redes sociales para investigar a sus víctimas. Una vez que conocen mejor a su objetivo, comenzarán a enviar correos electrónicos personalizados que incluyen enlaces que, una vez pulsados, infectarán el ordenador con malware.

La caza de ballenas

Lo que distingue a esta categoría de phishing de las demás es la elección de objetivos de alto nivel. Un ataque whaling es un intento de robar información sensible y suele dirigirse a altos directivos u otros objetivos de alto perfil, como políticos o famosos. La palabra whaling se utiliza para indicar que el objetivo perseguido es un pez gordo al que hay que capturar.

Los correos electrónicos balleneros son mucho más sofisticados que los correos de phishing corrientes y mucho más difíciles de detectar. Por lo general, los correos electrónicos contendrán información personalizada sobre el objetivo o la organización y el lenguaje tendrá un tono corporativo. La elaboración de estos correos electrónicos requiere mucho más esfuerzo y reflexión debido al alto nivel de rentabilidad para los estafadores.

Cebo

El cebo, como su nombre indica, consiste en atraer a alguien a una trampa para robar su información personal o infectar su ordenador con malware.

Para incitar a las víctimas a caer en su trampa, los cebadores suelen utilizar ofertas de descargas gratuitas de música o películas si los usuarios facilitan sus datos de acceso. Otro truco de cebo popular consiste en dejar un dispositivo infectado con malware, como una memoria USB, en un lugar donde alguien pueda encontrarlo.

Los estafadores confían en la curiosidad humana para completar la estafa y, al introducir el dispositivo en su ordenador para ver lo que contiene, se instala a su vez malware.

Tailgating

El seguimiento consiste en que alguien siga a un empleado hasta una zona restringida. Estos ataques suelen llevarse a cabo fuera de línea, pero pueden dar lugar a futuros ataques en línea.

Un ejemplo común de este tipo de ataque es el de alguien que se hace pasar por un conductor de reparto y espera hasta que un empleado se acerca al edificio. El atacante les pedirá entonces que le mantengan la puerta abierta para poder acceder. Una vez dentro, el atacante puede acceder a información sensible de la empresa.

Para evitar ser víctima de este tipo de ataques, puede seguir una serie de pasos. No abra nunca correos electrónicos de fuentes desconocidas, no haga clic en enlaces sospechosos, instale un software antivirus y lea la política de privacidad de su empresa.

Para saber cómo MetaCompliance puede ayudarle a protegerse de este tipo de ataques de ingeniería social, haga clic aquí