La ingeniería social es un término que escuchamos constantemente en las noticias relacionadas con los ciberataques, pero ¿qué significa exactamente?
Laingeniería social es el arte de manipular a las personas para que realicen determinadas acciones o divulguen información confidencial.
En lugar de utilizar los ataques de hacking tradicionales, los ciberdelincuentes se aprovechan de nuestra naturaleza humana confiada para engañarnos y hacer que rompamos las prácticas de seguridad habituales.
Este tipo de ataques ha crecido en frecuencia y sofisticación, y está demostrando ser una forma muy exitosa para que los estafadores obtengan acceso no autorizado a redes informáticas y datos sensibles.
Los ataques de ingeniería social adoptan muchas formas diferentes, pero el hilo conductor de todos ellos es la explotación del comportamiento humano. Los siguientes ejemplos son las formas más comunes de ataque utilizadas.
Phishing
El phishing sigue siendo el ataque de ingeniería social más popular de todos debido a su alto índice de éxito. La mayoría de los ciberataques se remontan a un correo electrónico de phishing y la estafa en línea funciona engañando a las personas para que den información sensible o descarguen malware malicioso.
Los correos electrónicosde suplantación de identidad están diseñados para parecer auténticos y parecen proceder de una fuente legítima. El correo electrónico incluirá un enlace o un archivo adjunto que, una vez pulsado, infectará el ordenador con malware.
Vishing
Vishing es una combinación de la palabra voz y phishing y se refiere a las estafas de phishing que tienen lugar por teléfono. Tiene la mayor interacción humana de todos los ataques de ingeniería social, pero sigue el mismo patrón de engaño. Los estafadores suelen crear una sensación de urgencia para convencer a la víctima de que divulgue información sensible.
La llamada suele realizarse a través de una identificación falsa, para que parezca que procede de una fuente fiable. En un escenario típico, el estafador se hace pasar por un empleado del banco para señalar un comportamiento sospechoso en una cuenta. Una vez que se haya ganado la confianza de la víctima, le pedirá información personal, como los datos de acceso, las contraseñas y el pin. Los datos pueden utilizarse para vaciar las cuentas bancarias o cometer un fraude de identidad.
Smishing: significado y estrategias efectivas de prevención
El smishing es un tipo de phishing que utiliza mensajes SMS en lugar de correos electrónicos para dirigirse a las personas. Los delincuentes lo utilizan para incitar a las personas a divulgar información personal, como datos de cuentas, tarjetas de crédito o nombres de usuario y contraseñas. En este método, el estafador envía un mensaje de texto al número de teléfono de una persona y suele incluir una llamada a la acción que requiere una respuesta inmediata. Los mensajes suelen decir que son de bancos, sistemas de recaudación de impuestos e incluso de sus propios amigos. Pueden pedirle que haga clic en un enlace, que llame a un número o incluso pueden informarle de que está a punto de recibir una llamada telefónica de un miembro del servicio de asistencia.
Spear - Phishing
El Spear-Phishing es un intento más selectivo de robar información sensible y suele centrarse en una persona u organización concreta. Este tipo de ataques utiliza información personal específica del individuo para parecer legítimo. Más información sobre el spear phishing.
Los estafadores suelen recurrir a las redes sociales para investigar a sus víctimas. Una vez que conocen mejor a su objetivo, comienzan a enviar correos electrónicos personalizados que incluyen enlaces que, una vez que se hace clic, infectan el ordenador con malware.
Whaling
Lo que distingue a esta categoría de phishing de otras es la elección del objetivo de alto nivel. Un ataque "whaling" es un intento de robar información sensible y suele dirigirse a los altos cargos o a otros objetivos de alto nivel, como políticos o celebridades. La palabra whaling se utiliza para indicar que el objetivo perseguido es un pez gordo que hay que capturar.
Los mensajes de correo electrónico de los cazadores de ballenas son mucho más sofisticados que los mensajes de phishing comunes y corrientes, y mucho más difíciles de detectar. Por lo general, los correos electrónicos contendrán información personalizada sobre el objetivo o la organización y el lenguaje será de tono corporativo. Se dedica mucho más esfuerzo y reflexión a la elaboración de estos correos electrónicos debido al alto nivel de retorno para los estafadores.
Baiting
El cebo, como su nombre indica, consiste en atraer a alguien a una trampa para robar su información personal o infectar su ordenador con malware.
Para atraer a las víctimas a caer en su trampa, los cebadores suelen utilizar ofertas de descargas gratuitas de música o películas si los usuarios facilitan sus datos de acceso. Otro truco de cebo popular consiste en dejar un dispositivo infectado con malware, como una memoria USB, en un lugar donde alguien pueda encontrarlo.
Los estafadores se basan en la curiosidad humana para completar la estafa y al introducir el dispositivo en su ordenador para ver lo que hay en él, se instala a su vez el malware.
¿Qué es el tailgating laboral y por qué es una ciberamenaza?
El "tailgating" consiste en que alguien siga a un empleado hasta una zona restringida. Estos ataques suelen llevarse a cabo fuera de línea, pero pueden dar lugar a futuros ataques en línea.
Un ejemplo común de este tipo de ataque es el de alguien que se hace pasar por un repartidor y espera hasta que un empleado se acerque al edificio. El atacante les pedirá entonces que le abran la puerta para poder acceder. Una vez dentro, el atacante puede acceder a información sensible de la empresa.
Para evitar ser víctima de este tipo de ataques, hay una serie de medidas que puede seguir. Nunca abra correos electrónicos de fuentes desconocidas, no haga clic en enlaces sospechosos, instale un software antivirus y lea la política de privacidad de su empresa.
Para saber cómo MetaCompliance puede ayudarle a protegerse de este tipo de ataques de ingeniería social, haga clic aquí
