Tabla de contenido

La ingeniería social es la práctica de técnicas de manipulación para engañar a las personas y conseguir que compartan información confidencial, descarguen archivos, visiten sitios web o cometan errores que pongan en riesgo sus activos, seguridad personal o empresarial.

Cualquiera puede ser víctima de un ciberataque de ingeniería social, todos sin excepción, somos vulnerables a todo tipo de tácticas de manipulación. Numerosas personas no tienen conocimientos tecnológicos y no son conscientes de la importancia de sus datos, entonces son más vulnerables. Sin embargo, los conocimientos técnicos por sí solos no son suficientes para proteger a personas y empresas contra la manipulación.

¿Cómo funciona la ingeniería social?

Un ataque de ingeniería social se desarrolla en tres pasos:

  1. El atacante elige a su víctima. 
  2. Se gana su confianza.
  3. Logra su objetivo, violando la seguridad y robando información.

Funciona con base en estas ideas:

  1. Autoridad y confianza: el atacante asume la posición de autoridad.
  2. Consenso y prueba social: la presión de los compañeros obliga a alguien a realizar una acción.
  3. Escasez: la víctima perderá su oportunidad si no actúa.
  4. Urgencia: la víctima perderá su oportunidad si no actúa rápidamente.
  5. Familiaridad y agrado: convence a las víctimas de realizar ciertas acciones al ganarse su confianza o fingiendo atracción.

Tipos de ataque

La ingeniería social usa diferentes técnicas de ataque:

Baiting. Baiting significa cebo en español. El atacante aprovecha la curiosidad de los internautas. Tiende una trampa diseñada para llevar a alguien a realizar una acción específica. Una vez logra atraer a las víctimas, infecta los equipos con malware y obtiene datos personales, bancarios o empresariales.

Catfishing. Gracias a las redes sociales, el catfishing es una forma muy conocida de ingeniería social. Es una actividad engañosa mediante la cual el atacante usurpa una identidad. Con frecuencia abre perfiles falsos con descripciones muy atractivas para ganarse la confianza de las víctimas. 

Pretexting. Con una serie de mentiras, los atacantes convencen a las víctimas de que son compañeros de trabajo, un banco o una agencia gubernamental. Establecen confianza con las personas y las convencen de responder preguntas de seguridad para confirmar su identidad. 

Phishing (fraudes de vishing y spear phishing). El tipo más común de ingeniería social es el phishing y otros similares como el vishing y los ataques de spear phishing. Los tres están diseñados para extraer  información del usuario o empleado. 

Phishing: cualquier tipo de campaña de mensajería diseñada para redirigir a la víctima a un formulario, sitio o ventana de pago específicos. 

Vishing: phishing usando tecnología de voz como una llamada o un mensaje de voz fraudulento.

Spear phishing: esto es phishing orientado a un individuo. Los ejecutivos o representantes de servicio al cliente de las compañías son objetivos cada vez más frecuentes dado el acceso que tienen a información importante de la compañía.

Smishing: phishing por mensajes de texto.

Phishing de pescador: se hace a través de cuentas falsas de servicio al cliente en redes sociales.

Recientemente se ha incrementado el phishing que utiliza tecnología deepfake, tanto de voz como de video. Esta tecnología le permite a los estafadores imitar a alguien al alimentar un software con clips de una persona real y reprogramarlo para que diga lo que ellos quieran. 

Scareware. Los atacantes han creado malware llamado scareware para asustar a la víctima para que realice una acción, como descargar un antivirus malicioso bajo la pretensión de solucionar un error en su  computadora. 

Water holing. Un ataque de water holing incluye inyectar código malicioso directamente en un sitio web que se sabe que la víctima frecuenta. 

Ataques Quid pro quo. En estos ataques los ciberdelincuentes prometen servicios o productos a cambio de lo que están buscando. 

Cómo evitar ataques de ingeniería social

Los ataques de ingeniería social son difíciles de evitar porque se basan en la psicología humana. Sin embargo, los expertos recomiendan algunas medidas para mitigar el riesgo:

Educación a empleados y usuarios. En la capacitación de concientización de ciberseguridad, incluye la ingeniería social para que todos tus empleados conozcan las tendencias actuales en ataques.

Verificación de fuentes e identificaciones. Con la proliferación de los ciberataques, es indispensable reforzar las medidas de ciberseguridad solicitando pruebas de identificación en línea.   

Protocolos de seguridad claros y uso de contraseñas. Explica claramente los pasos exactos de cómo gestionar los cambios de contraseñas, correos electrónicos y solicitudes de desbloqueo. 

Información al usuario. Informa a tus clientes de forma clara por dónde podrías contactarlos y qué tipo de datos no les solicitarías jamás.

Aprovechar la tecnología de prueba de identificación. En el mundo digital las pruebas de identificación tienen como objetivo confirmar con quién estás tratando. Por ejemplo, la verificación de una dirección IP de las personas que se comunican a través de la página de contacto ayuda a saber si estás tratando con un usuario legítimo o con alguien que utiliza un proxy o está tratando de atacar desde un país donde el usuario original nunca ha estado antes. 

Asegura tus dispositivos e instalaciones. Es conveniente mantener actualizados el software anti-malware y anti-virus. También es importante asegurarse de que los empleados son conscientes de los riesgos potenciales al utilizar equipos de la empresa, el Wi-Fi público o teléfonos rooteados. 

Contratación de servicios de ingeniería social. La contratación de servicios de ingeniería social, realizados por expertos y consultores en seguridad ponen a prueba las vulnerabilidades de tus empleados, tu sitio web y tus instalaciones por medio de reportes exhaustivos acerca de dónde están tus puntos débiles. 

Los ataques de ingeniería social se pueden prevenir con educación. Conocer el alcance, recursos y sofisticación de los ataques de ingeniería social puede ser suficiente para identificar algo sospechoso antes de que sea demasiado tarde.

Aprender a detectar los ataques de ingeniería social es la mejor manera de evitar ser víctima de estos.

Si crees que tu empresa ha sido víctima de un ataque de ingeniería social y alguien ha tenido acceso a tus datos, contáctanos para darte orientación sobre cómo actuar en caso de que haya sido así.

Grupo Atlas de Seguridad, ¡Nos gusta cuidarte!

Te puede interesar

Categorías