Blog

Ataques de ingeniería social: qué son y cómo prevenirlos

Ataques de ingeniería social: qué son y cómo prevenirlos

En ciberseguridad la ingeniería social es una técnica mediante la cual  se intenta engañar o manipular a una persona para que facilite información confidencial como por ejemplo contraseñas de acceso a cuentas en línea, sistemas o redes.

La idea detrás de la ingeniería social es aprovechar las tendencias naturales y las reacciones emocionales de las personas (curiosidad, avaricia, miedo, respeto a la autoridad, voluntad de ayudar, etc.) ante diversas situaciones.

Debido a que estos ataques apunta a las personas en lugar de a los sistemas, las herramientas de seguridad tradicionales por sí solas no son suficientes.

Los villanos están utilizando la inteligencia artificial para hacer que las estafas sean más convincentes.

La IA generativa se puede usar para escribir correos electrónicos de phishing pulidos en casi cualquier idioma, imitar estilos de escritura y personalizar los mensajes.

IA generativa phishing

Los atacantes también están utilizando deepfakes y mensajes de voz generados por la IA para hacerse pasar por ejecutivos, compañeros de trabajo o contactos de confianza lo que hace que estas estafas sean más difíciles de detectar.

Tipos de ataques de ingeniería social

Los ataques de ingeniería adoptan muchas formas y se pueden llevar a cabo en cualquier ámbito que involucre la interacción humana.

En este sentido, de nada sirve tener dos alarmas y varias cerraduras de seguridad, si le abrimos la puerta a un ladrón, que se hace pasar por un repartidor de Amazon.

Veamos algunos ejemplos:

Phishing

Este método generalizado implica el envío de correos electrónicos fraudulentos que imitan comunicaciones legítimas de entidades de confianza.

Spear phishing

Se centra en individuos u organizaciones específicas.

Estos correos electrónicos son altamente personalizados, y a menudo utilizan información recopilada de redes sociales o de fuentes abiertas disponibles públicamente.

Vishing 

Los perpetradores utilizan llamadas telefónicas para engañar a la gente para que proporcione información personal o detalles financieros.

Los atacantes pueden hacerse pasar por empleados del banco, servicios de atención al cliente, soporte técnico, o el departamento de TI de una empresa (ver video).

Smishing

Similar al phishing mediante correo electrónico, implica enviar mensajes de texto para engañar a las personas.

El objetivo es el mismo: que hagan clic en enlaces maliciosos, faciliten credenciales de inicio de sesión, proporcionen información personal bajo falsos pretextos, etc.

Pretextos

Implica crear un escenario ficticio para intentar obtener algún beneficio económico o conseguir información personal.

La puesta en escena dependerá de la imaginación del perpetrador, pero lo más típico son los familiares en apuros, u otras personas con las que la víctima tiene relación.

El atacante también puede presentarse como alguien en una posición de autoridad: un abogado, un empleado de hacienda, un administrativo del hospital, etc.

Quid Pro Quo

Básicamente, se trata de ofrecer un beneficio a cambio de información.

El atacante podría ofrecer asistencia técnica gratuita a cambio de las credenciales de inicio de sesión para acceder a un sistema.

En otro escenario una encuesta falsa promete una tarjeta de regalo solo por participar.

Para recibir el obsequio, la víctima debe proporcionar toda una serie de datos. A veces incluso el número de cuenta bancaria.

Compromiso de correo electrónico empresarial (BEC o Business Email Compromise)

Los ciberdelincuentes se hacen con las credenciales de la cuenta de correo electrónico de ejecutivos o empleados de alto nivel de una empresa.

El objetivo es engañar a otros profesionales mediante un correo electrónico para que transfieran dinero a cuentas fraudulentas o paguen a falsos proveedores.

Consejos para evitar ser una víctima de la ingeniería social

Como hemos dicho al principio, la ingeniería social es una técnica que no requiere de conocimientos de programación.

Tampoco está basada en firmas de malware, ni utiliza código malicioso, por lo que las soluciones de seguridad, aparte de bloquear las URL de phishing, poco pueden hacer al respecto.

Considera la procedencia de la fuente.
  • Un banco nunca te pedirá que proporciones claves de acceso mediante SMS o correo electrónico.
    Ante la duda una simple llamada de teléfono puede ahorrarte disgustos.
  • No hagas clic en enlaces ni abras archivos adjuntos de fuentes desconocidas. Sospecha de las conocidas.
  • No importa cuán legítimo parezca ese correo electrónico de un proveedor de servicios. Si dudas ponte en contacto con el remitente por otra vía.
  • Si suena demasiado bueno o extraño para ser verdad, posiblemente sea mentira.
  • ¿Qué probabilidades hay de que alguien te llame por teléfono para ofrecerte una ayuda que nos has solicitado?
  • Investiga la procedencia de cualquier petición de dinero, información personal u otra cosa.
  • Huye de las encuestas telefónicas aunque te prometan el oro y el moro.

Sé escéptico y piensa antes de actuar

Los villanos quieren que actúes primero y pienses después. Tú debes hacer todo lo contrario.

Si el mensaje transmite una sensación de urgencia, nunca permitas que esto influya en tu decisión.

Contenido relacionado

Información

Infosegur.net 

Licencia de Creative Commons 4.0

Made in Humans

Artículos actualizados

Temas

Privacidad Amenazas Estafas Seguridad informática Internet Ingeniería social Windows Teléfonos móviles Malware Contraseñas Herramientas Inteligencia artificial Software malicioso Linux VPN Redes Seguridad de sitios web Redes sociales Software de código abierto Seguridad de Linux Android Vulnerabilidades Correo electrónico