¿Qué es la ingeniería social?

Aprenda estrategias eficaces para salvaguardar su información personal y defenderse de la ingeniería social, una astuta táctica utilizada por los ciberdelincuentes para manipular a las personas.

DESCARGAR ANTIVIRUS Y ANTIVIRUS GRATUITOS

¿Qué son los ataques de ingeniería social?

Los ataques de ingeniería social en informática son métodos sofisticados utilizados por los ciberdelincuentes para manipular a las personas con el fin de que comprometan su propia seguridad. Estos ataques suelen dar lugar a que las víctimas envíen dinero sin saberlo, revelen información personal u organizativa sensible o vulneren los protocolos de seguridad.

La eficacia de la ingeniería social radica en su capacidad para explotar emociones humanas como el miedo, la curiosidad o la empatía, llevando a las personas a actuar impulsivamente en contra de su buen juicio. Al comprender y aprovechar estos desencadenantes emocionales, los atacantes persuaden a las víctimas para que tomen decisiones que pueden parecer irracionales en retrospectiva, como descargar software dañino, visitar sitios web no seguros o compartir datos confidenciales.

¿Cómo funciona la ingeniería social?

La ingeniería social implica tácticas psicológicas para manipular a las personas para que revelen información sensible, crucial para el acceso al sistema o el robo de identidad. Explota el error humano, a menudo a través del engaño o la suplantación de identidad, lo que conduce a brechas de seguridad y al compromiso de los datos, sin depender de métodos técnicos de hacking.

Los ataques de ingeniería social suelen ser procesos de varios pasos. Inicialmente, el atacante investiga al objetivo para recopilar suficiente información y detalles esenciales, identificando vulnerabilidades y medidas de seguridad débiles cruciales para el éxito del ataque. A continuación, el atacante emplea tácticas como el pretexto o la suplantación de figuras de autoridad para ganarse la confianza de la víctima. Esta manipulación está diseñada para provocar acciones que comprometan la seguridad, como divulgar información confidencial o proporcionar acceso a sistemas vitales.

Los ataques de ingeniería social manipulan la psicología humana para eludir las medidas técnicas de seguridad. Seleccionan cuidadosamente a su víctima en función de diversos factores. Las tácticas clave incluyen:

  1. Suplantación de identidad: Los atacantes suelen hacerse pasar por entidades reputadas -grandes marcas, organismos gubernamentales o figuras de autoridad- para ganarse la confianza de los usuarios. Por ejemplo, pueden crear sitios web fraudulentos que imiten a grandes marcas para engañar a los usuarios y hacerles revelar información confidencial.
  2. Explotar las emociones: Estos ataques suelen aprovechar emociones como el miedo, la urgencia o la codicia. Los estafadores pueden enviar mensajes alarmantes sobre una cuenta bancaria comprometida o atraer a las víctimas con promesas fraudulentas de beneficios económicos, como la famosa estafa del "príncipe nigeriano".
  3. Aprovecharse de la buena voluntad o la curiosidad: Los ingenieros sociales también se aprovechan de la inclinación natural de una persona a ayudar o de su curiosidad. Pueden enviar correos electrónicos aparentando ser de amigos o de redes sociales, solicitando información de contacto, ayuda o incitando a los usuarios a hacer clic en un enlace malicioso bajo la apariencia de una historia intrigante o un recurso útil.

Comprender estas tácticas es crucial para reconocer y frustrar los ataques de ingeniería social. Se aprovechan de la naturaleza humana más que de los fallos tecnológicos, por lo que la concienciación y la vigilancia son defensas clave contra estas amenazas.

Cómo protegerse contra los ataques de ingeniería social

Los ataques de ingeniería social pueden adoptar muchas formas, desde correos electrónicos de phishing hasta la manipulación a través de llamadas telefónicas o mensajes de texto. Dado que se dirigen principalmente a las vulnerabilidades humanas más que a los fallos tecnológicos, para defenderse de ellos se requiere una combinación de concienciación, vigilancia y salvaguardas tecnológicas.

Los siguientes pasos ofrecen un enfoque integral para mejorar su defensa contra estos ataques cada vez más comunes y sofisticados:

  1. Utilizar la autenticación multifactor: Implementar la autenticación de dos factores o multifactor es crucial. Añade una capa adicional de seguridad, garantizando que incluso si las credenciales de inicio de sesión se ven comprometidas, se sigue impidiendo el acceso no autorizado.
  2. Security Formación desensibilización: La formación periódica de todos los empleados es vital para reconocer y responder a los ataques de ingeniería social. Esta formación debe abarcar la identificación de actividades sospechosas y la importancia de no compartir información sensible.
  3. Instale un programa de ciberseguridad sólido: Utiliza un completo software de ciberseguridad, como Malwarebytes, capaz de reconocer y neutralizar amenazas, como sitios web maliciosos, publicidad maliciosa, malware, virus y ransomware.
  4. Implantar políticas de control de acceso y tecnologías de ciberseguridad: Aplique políticas estrictas de control de acceso, incluida la autenticación adaptativa y un enfoque de seguridad de confianza cero. Utilice tecnologías como filtros de spam, pasarelas seguras de correo electrónico, cortafuegos y software antivirus, y mantenga los sistemas actualizados con los últimos parches.
  5. Activar filtros de spam: Activa los filtros de spam para bloquear los correos de phishing y otras formas de spam. Aunque es posible que se filtren algunos correos legítimos, puedes mitigar esta situación marcándolos como "no spam" y añadiendo remitentes legítimos a tu lista de contactos.
  6. Aprenda a detectar los correos electrónicos de phishing: Edúcate a ti mismo y a los demás para identificar los intentos de phishing. Busca banderas rojas como direcciones de remitente que no coincidan, saludos genéricos, URL inusuales, mala gramática y ofertas que parezcan demasiado buenas para ser ciertas.
  7. Desactivar macros en documentos: Desactive las macros en su software. Ten cuidado con los adjuntos de correo electrónico que te pidan activar macros, especialmente si proceden de fuentes desconocidas. En caso de duda, verifique la legitimidad del archivo adjunto con el remitente.
  8. No responda a sospechas de estafa: Evite responder a posibles estafas, ya sea por correo electrónico, SMS o llamadas telefónicas. Responder confirma a los estafadores que su información de contacto es válida, lo que fomenta más intentos. Reenvía los mensajes sospechosos al 7726 (SPAM) para ayudar a tu operador a filtrar el spam.

Aplicando estas estrategias, puede crear un sólido sistema de defensa contra los ataques de ingeniería social, salvaguardando tanto sus datos personales como la información sensible de su organización. Recuerde que mantenerse informado y precavido es su primera línea de defensa en el panorama en constante evolución de las amenazas a la ciberseguridad.

Tipos de ataques de ingeniería social

Los ataques de ingeniería social se producen predominantemente a través de diversas [formas de phishing]( https://www.malwarebytes.com/phishing). Estos ataques explotan la psicología humana y la confianza, en lugar de basarse en métodos técnicos de pirateo. La eficacia y la prevalencia del phishing lo convierten en una preocupación crítica tanto para las personas como para las organizaciones. He aquí un desglose más detallado de cada tipo:

  1. Phishing por correo electrónico: los atacantes se hacen pasar por entidades legítimas a través de correos electrónicos, engañando a los destinatarios para que revelen datos personales o credenciales. Estos correos suelen contener enlaces a sitios web engañosos o archivos adjuntos maliciosos.
  2. Phishing masivo: Este método consiste en enviar el mismo correo electrónico de phishing a millones de personas. Los correos electrónicos parecen proceder de organizaciones reconocibles y a menudo solicitan información personal bajo falsos pretextos.
  3. Suplantación de identidad: Una forma más selectiva de phishing, en la que los atacantes personalizan sus mensajes para personas concretas utilizando información procedente de redes sociales o profesionales.
  4. Suplantación de identidad de ballenas: Una táctica de spear phishing de alto nivel dirigida a altos ejecutivos o personas de alto perfil. Estos ataques son muy personalizados y a menudo implican engaños complejos.
  5. Phishing de voz (Vishing): Esta técnica utiliza llamadas telefónicas para engañar a las personas para que divulguen información confidencial. Los atacantes pueden hacerse pasar por organizaciones legítimas o figuras de autoridad.
  6. Phishing por SMS (Smishing): Una variante del phishing realizada a través de mensajes de texto. Estos mensajes atraen a los destinatarios para que hagan clic en enlaces maliciosos o divulguen información confidencial.
  7. Suplantación de identidad en motores de búsqueda: en este método, los atacantes crean sitios web falsos que aparecen en los primeros puestos de los resultados de los motores de búsqueda. Cuando los usuarios visitan estos sitios, corren el riesgo de que les roben información.
  8. Angler Phishing: Esta forma explota las plataformas de redes sociales, donde los atacantes crean cuentas falsas de atención al cliente para interactuar con las víctimas, a menudo conduciéndolas a sitios de phishing.

Tras el phishing, los otros métodos de ingeniería social son:

  1. Cebo: Tienta a las víctimas con una falsa promesa de bienes o servicios para robar información o instalar malware.
  2. Tailgating/Piggybacking: Implica el acceso no autorizado a áreas restringidas siguiendo físicamente a una persona autorizada o explotando digitalmente la sesión activa de otra persona.
  3. Pretextos: Los atacantes fabrican escenarios para extraer información sensible u obtener acceso, a menudo haciéndose pasar por alguien con autoridad o con necesidad de verificar la identidad.
  4. Quid Pro Quo: Ofrece un servicio o beneficio a cambio de información sensible, explotando el deseo de la víctima por un buen trato o recompensa.
  5. Scareware: Utiliza tácticas de miedo para manipular a las víctimas para que instalen malware o revelen información confidencial.
  6. Ataque Watering Hole: Se dirige a grupos específicos infectando sitios web que visitan con frecuencia, lo que provoca el robo de datos o la instalación de malware.
  7. Ataques de troyanos: Programas maliciosos disfrazados de software legítimo, que suelen propagarse a través de archivos adjuntos de correo electrónico procedentes de fuentes aparentemente fiables.
  8. Estafas de soporte técnico: Engañan a las víctimas haciéndoles creer que su dispositivo está en peligro y les cobran dinero por "arreglos" innecesarios.
  9. Llamadas fraudulentas: Consiste en utilizar llamadas telefónicas (incluidas las robocalls) para estafar a las víctimas, a menudo haciéndose pasar por organizaciones o autoridades legítimas.

Comprender estos métodos de suplantación de identidad y otras tácticas de ingeniería social es crucial para protegerse contra estas amenazas frecuentes y cambiantes.

Ejemplos de ataques de ingeniería social

Estos son algunos ejemplos reales de ingeniería social sobre los que hemos informado en Malwarebytes Labs . En cada ejemplo, los estafadores de ingeniería social buscan el objetivo y el desencadenante emocional adecuados. A veces, la combinación de objetivo y desencadenante puede ser hiperespecífica (como en un ataque de spear phishing). Otras veces, los estafadores se dirigen a un grupo mucho más amplio.

La estafa de la sextorsión: En este primer ejemplo, los estafadores lanzan una amplia red. ¿El objetivo? Cualquiera que vea porno. A la víctima se le notifica por correo electrónico que su cámara web ha sido supuestamente pirateada y utilizada para grabarle viendo vídeos para adultos. El estafador también afirma haber pirateado la cuenta de correo electrónico del destinatario, utilizando una contraseña antigua como prueba. Si la víctima no paga con Bitcoin, el estafador amenaza con difundir el vídeo a todos sus contactos. Por lo general, el estafador no tiene ningún vídeo suyo y su antigua contraseña procede de una filtración de datos revelada anteriormente.

La estafa de los abuelos: Esta estafa lleva años circulando y va dirigida a cualquier persona con familia viva, normalmente ancianos. Los padres o abuelos reciben una llamada o un mensaje de texto del estafador, que se hace pasar por un abogado o un agente de la ley. El estafador afirma que el familiar de la víctima ha sido detenido o herido y necesita dinero para pagar la fianza, los honorarios del abogado o las facturas del hospital. En el caso de la versión de la estafa por SMS, el mero hecho de responder acaba costando dinero a la víctima.

La estafa del Número Social Security : En este timo, las cosas empiezan a estrecharse, ya que sólo se aplica a ciudadanos estadounidenses. La víctima recibe una llamada automática pregrabada que dice proceder de la Administración de la Seguridad Social (Social Security Administration). El mensaje afirma que el SSN de la víctima ha sido "suspendido" por "rastros sospechosos de información". No importa que su SSN no pueda ser suspendido, si la víctima cae en la estratagema y devuelve la llamada, se le pedirá que pague una multa para arreglar todo.

La estafa de John Wick 3: He aquí un buen ejemplo de spear phishing. En este caso, los estafadores van tras un objetivo muy específico: un fan de John Wick al que le gustan los cómics, pero que prefiere leerlos en Amazon Kindle. Mientras busca cómics de John Wick, se le ofrece una descarga gratuita de la tercera película de John Wick, que en el momento de la estafa aún no se había estrenado en los cines. Al seguir el enlace incrustado en la descripción de la película, la víctima se adentra en una madriguera de sitios ilegales de streaming de películas pirateadas.

Estafas por coronavirus: Los estafadores tomaron nota de la escasez de información sobre el virus, especialmente en los primeros días y meses de la epidemia. Mientras las autoridades sanitarias se esforzaban por comprender el virus y cómo se propagaba de una persona a otra, los estafadores llenaban los vacíos con sitios web falsos y correos electrónicos basura.

Ya informamos sobre correos spam que se hacían pasar por información sobre virus de la Organización Mundial de la Salud. En realidad, los correos contenían archivos adjuntos llenos de malware. En otro ejemplo, Labs informó sobre un sitio de seguimiento de COVID-19 que mostraba infecciones en todo el mundo en tiempo real. Entre bastidores, el sitio cargaba un troyano ladrón de información en los ordenadores de las víctimas.

¿Qué es el phishing?

¿Qué es el spear phishing?

¿Qué es un ataque vishing?

¿Qué es el catfishing?

¿Qué es el robo de identidad?

Preguntas frecuentes

¿Cuál es la diferencia entre ingeniería social e ingeniería social inversa?

En la ingeniería social, los atacantes se acercan a los objetivos para manipularlos para que compartan información. En la ingeniería social inversa, las víctimas, sin saberlo, inician el contacto con atacantes engañosos.