¿Qué es la ingeniería social?

Aprende estrategias efectivas para proteger tu información personal y defenderte contra la ingeniería social, una táctica astuta empleada por los cibercriminales para manipular a las personas.

DESCARGA GRATUITA DE ANTIVIRUS Y ESCANEO DE VIRUS

En este artículo:

  • Aprenda qué son los ataques de ingeniería social y cómo los ciberdelincuentes utilizan la manipulación psicológica para burlar la seguridad y engañar a las personas para que revelen información confidencial.
  • Comprenda cómo los atacantes explotan emociones humanas como el miedo, la curiosidad y la urgencia mediante tácticas como la suplantación de identidad, el phishing y el scareware.
  • Descubra consejos prácticos para protegerse de la ingeniería social, como la autenticación multifactor, la formación en concienciación sobre seguridad y los filtros de spam.
  • Explore los tipos más comunes de ataques de ingeniería social -desde el phishing y el señuelo hasta las estafas de soporte técnico- y vea ejemplos reales como los correos electrónicos de sextorsión y el fraude COVID-19.

¿Qué son los ataques de ingeniería social?

Los ataques de ingeniería social en computación son métodos sofisticados utilizados por los cibercriminales para manipular a las personas y comprometer su propia seguridad. Estos ataques a menudo resultan en que las víctimas envíen dinero sin saberlo, divulguen información personal u organizacional sensible, o violen protocolos de seguridad.

La efectividad de la ingeniería social radica en su capacidad para explotar emociones humanas como el miedo, la curiosidad o la empatía, llevando a las personas a actuar impulsivamente en contra de su mejor juicio. Al entender y jugar con estos disparadores emocionales, los atacantes persuaden a las víctimas a tomar decisiones que pueden parecer irracionales en retrospectiva, como descargar software dañino, visitar sitios web inseguros o compartir datos confidenciales.

¿Cómo funciona la ingeniería social?

La ingeniería social implica tácticas psicológicas para manipular a las personas para que revelen información sensible, crucial para el acceso al sistema o el robo de identidad. Explota el error humano, a menudo a través del engaño o la suplantación de identidad, dando lugar a brechas de seguridad y a la puesta en peligro de datos, sin depender de métodos técnicos de pirateo.

Los asaltos de ingeniería social son típicamente procesos de múltiples pasos. Inicialmente, el atacante investiga el objetivo para reunir suficiente información y detalles de fondo esenciales, identificando vulnerabilidades y medidas de seguridad débiles cruciales para el éxito del ataque. Posteriormente, el atacante emplea tácticas como la pretextación o la suplantación de figuras de autoridad para ganarse la confianza de la víctima. Esta manipulación está diseñada para provocar acciones que comprometan la seguridad, como divulgar información confidencial o proporcionar acceso a sistemas vitales.

Los ataques de ingeniería social manipulan la psicología humana para eludir las medidas técnicas de seguridad. Seleccionan cuidadosamente a sus víctimas intencionadas en base a varios factores. Las tácticas clave incluyen:

  1. Suplantación: Los atacantes a menudo se hacen pasar por entidades acreditadas, como marcas importantes, agencias gubernamentales o figuras de autoridad, para ganar confianza. Por ejemplo, pueden crear sitios web fraudulentos que imitan a grandes marcas para engañar a los usuarios y hacer que revelen información sensible.
  2. Explotación de Emociones: Estos ataques comúnmente aprovechan emociones como el miedo, la urgencia o la codicia. Los estafadores podrían enviar mensajes alarmantes sobre una cuenta bancaria comprometida o atraer a las víctimas con promesas fraudulentas de ganancias financieras, como la famosa estafa del ‘Príncipe Nigeriano’ por correo electrónico.
  3. Aprovecharse de la Buena Voluntad o la Curiosidad: Los ingenieros sociales también explotan la inclinación natural de una persona a ayudar o su curiosidad. Podrían enviar correos electrónicos que parecen ser de amigos o redes sociales, solicitando información de contacto, ayuda o tentando a los usuarios a hacer clic en un enlace malicioso bajo la apariencia de una historia intrigante o un recurso útil.

Entender estas tácticas es crucial para reconocer y frustrar los ataques de ingeniería social. Atacan la naturaleza humana en lugar de las fallas tecnológicas, por lo que la conciencia y la vigilancia son defensas clave contra estas amenazas.

Cómo protegerse contra los ataques de ingeniería social

Los ataques de ingeniería social pueden tomar muchas formas, desde correos electrónicos de phishing hasta la manipulación a través de llamadas telefónicas o mensajes de texto. Debido a que principalmente atacan vulnerabilidades humanas en lugar de fallas tecnológicas, defenderse de ellos requiere una combinación de conciencia, vigilancia y salvaguardas tecnológicas.

Los siguientes pasos ofrecen un enfoque integral para mejorar su defensa contra estos ataques cada vez más comunes y sofisticados:

  1. Usar Autenticación Multi-Factor: Implementar autenticación de dos o múltiples factores es crucial. Añade una capa adicional de seguridad, asegurando que incluso si las credenciales de inicio de sesión son comprometidas, el acceso no autorizado sigue siendo prevenido.
  2. Entrenamiento en Conciencia de Seguridad: El entrenamiento regular para todos los empleados es vital para reconocer y responder a los ataques de ingeniería social. Este entrenamiento debe cubrir la identificación de actividades sospechosas y la importancia de no compartir información sensible.
  3. Instale un programa de ciberseguridad sólido: Utiliza un software de ciberseguridad completo, como Malwarebytes, capaz de reconocer y neutralizar amenazas, como sitios web maliciosos, publicidad maliciosa, malware, virus y ransomware.
  4. Implantar políticas de control de acceso y tecnologías de ciberseguridad: Aplique políticas estrictas de control de acceso, incluida la autenticación adaptativa y un enfoque de seguridad de confianza cero. Utilice tecnologías como filtros de spam, pasarelas seguras de correo electrónico, cortafuegos y software antivirus, y mantenga los sistemas actualizados con los últimos parches.
  5. Activar Filtros de Spam: Activa filtros de spam para bloquear correos electrónicos de phishing y otras formas de spam. Aunque algunos correos electrónicos legítimos podrían ser filtrados, se puede mitigar esto marcándolos como “no spam” y agregando remitentes legítimos a tu lista de contactos.
  6. Aprender a Detectar Correos Electrónicos de Phishing: Edúcate a ti mismo y a otros para identificar intentos de phishing. Busca señales de alerta como direcciones de remitente que no coinciden, saludos genéricos, URLs inusuales, mala gramática y ofertas que parecen demasiado buenas para ser verdad.
  7. Desactivar Macros en Documentos: Desactiva los macros en tu software. Ten precaución con archivos adjuntos de correo electrónico que te incitan a habilitar macros, especialmente de fuentes desconocidas. Si tienes dudas, verifica la legitimidad del adjunto con el remitente.
  8. No Respondas a Estafas Sospechosas: No respondas a potenciales estafas, ya sea por correo electrónico, SMS o llamadas telefónicas. Responder confirma a los estafadores que tu información de contacto es válida, incentivando más intentos. Reenvía mensajes sospechosos al 7726 (SPAM) para ayudar a tu proveedor a filtrar el spam.

Al implementar estas estrategias, puedes crear un sistema de defensa robusto contra los ataques de ingeniería social, protegiendo tanto tus datos personales como la información sensible de tu organización. Recuerda, estar informado y ser cauteloso es tu primera línea de defensa en el siempre cambiante panorama de amenazas a la ciberseguridad.

Tipos de ataques de ingeniería social

Los ataques de ingeniería social se producen predominantemente a través de diversas [formas de phishing](malwarebytes. Estos ataques explotan la psicología humana y la confianza, en lugar de basarse en métodos técnicos de pirateo. La eficacia y prevalencia del phishing lo convierten en una preocupación crítica tanto para las personas como para las organizaciones. He aquí un desglose más detallado de cada tipo:

  1. Phishing por Correo Electrónico: Los atacantes se hacen pasar por entidades legítimas a través de correos electrónicos, engañando a los destinatarios para que revelen datos personales o credenciales. Estos correos a menudo contienen enlaces a sitios web engañosos o archivos adjuntos maliciosos.
  2. Phishing masivo: Este método consiste en enviar el mismo correo electrónico de phishing a millones de personas. Los correos electrónicos parecen proceder de organizaciones reconocibles y a menudo solicitan información personal bajo falsos pretextos.
  3. Spear Phishing: Una forma más dirigida de phishing, donde los atacantes personalizan sus mensajes para individuos específicos, usando información obtenida de redes sociales o redes profesionales.
  4. Suplantación de identidad de ballenas: Una táctica de spear phishing de alto nivel dirigida a altos ejecutivos o personas de alto perfil. Estos ataques son muy personalizados y suelen implicar engaños complejos.
  5. Phishing de voz (Vishing): Esta técnica utiliza llamadas telefónicas para engañar a las personas para que divulguen información confidencial. Los atacantes pueden hacerse pasar por organizaciones legítimas o figuras de autoridad.
  6. SMS Phishing (Smishing): Una variante de phishing llevada a cabo a través de mensajes de texto. Estos mensajes atraen a los destinatarios a hacer clic en enlaces maliciosos o a divulgar información sensible.
  7. Search Engine Phishing: En este enfoque, los atacantes crean sitios web falsos que aparecen en altos resultados de los motores de búsqueda. Cuando los usuarios visitan estos sitios, están en riesgo de robo de información.
  8. Phishing en Redes Sociales: Esta forma explota plataformas de redes sociales, donde los atacantes crean cuentas de servicio al cliente falsas para interactuar con las víctimas, a menudo llevándolas a sitios de phishing.

Después del Phishing, los otros métodos de ingeniería social son:

  1. Baiting: Tienta a las víctimas con una falsa promesa de bienes o servicios para robar información o instalar malware.
  2. Tailgating/Piggybacking: Involucra el acceso no autorizado a áreas restringidas siguiendo físicamente a una persona autorizada o explotando digitalmente la sesión activa de otra persona.
  3. Pretexting: Los atacantes fabrican escenarios para extraer información sensible o ganar acceso, a menudo haciéndose pasar por alguien con autoridad o una necesidad de verificar identidad.
  4. Quid Pro Quo: Ofrece un servicio o beneficio a cambio de información sensible, explotando el deseo de la víctima de obtener un buen trato o recompensa.
  5. Scareware: Utiliza tácticas de miedo para manipular a las víctimas para que instalen malware o revelen información confidencial.
  6. AtaqueWatering Hole: Se dirige a grupos específicos infectando sitios web que visitan con frecuencia, lo que provoca el robo de datos o la instalación de malware.
  7. Ataques de troyanos: Malware disfrazado de software legítimo, a menudo diseminado a través de archivos adjuntos de correo electrónico de fuentes aparentemente confiables.
  8. Estafas de Soporte Técnico: Engañan a las víctimas haciéndoles creer que su dispositivo está comprometido y les cobran dinero por “arreglos” innecesarios.
  9. Llamadas fraudulentas: Consiste en utilizar llamadas telefónicas (incluidas las robollamadas) para estafar a las víctimas, a menudo haciéndose pasar por organizaciones o autoridades legítimas.

Entender estos métodos de phishing y otras tácticas de ingeniería social es crucial para protegerse contra estas amenazas prevalentes y en evolución.

Ejemplos de ataques de ingeniería social

Estos son algunos ejemplos reales de ingeniería social sobre los que hemos informado en Malwarebytes Labs. En cada ejemplo, los estafadores de ingeniería social buscan el objetivo y el desencadenante emocional adecuados. A veces, la combinación de objetivo y desencadenante puede ser hiperespecífica (como en un ataque de spear phishing). Otras veces, los estafadores se dirigen a un grupo mucho más amplio.

La estafa de la sextorsión: En este primer ejemplo, los estafadores lanzan una amplia red. ¿El objetivo? Cualquiera que vea porno. A la víctima se le notifica por correo electrónico que su cámara web ha sido supuestamente pirateada y utilizada para grabarle viendo vídeos para adultos. El estafador también afirma haber pirateado la cuenta de correo electrónico del destinatario, utilizando una contraseña antigua como prueba. Si la víctima no paga con Bitcoin, el estafador amenaza con difundir el vídeo a todos sus contactos. Por lo general, el estafador no tiene ningún vídeo suyo y su antigua contraseña procede de una filtración de datos revelada anteriormente.

La estafa del abuelo: Esta estafa ha estado circulando durante años y apunta a cualquiera con familiares vivos, usualmente personas mayores. Los padres o abuelos reciben una llamada o mensaje de texto del estafador, haciéndose pasar por un abogado o fuerza del orden. El estafador afirma que el familiar de la víctima ha sido arrestado o herido y necesita dinero para cubrir la fianza, honorarios legales o gastos hospitalarios. En el caso de la versión vía mensaje de texto SMS de la estafa, simplemente responder termina costándole dinero a la víctima.

La estafa del número de la Seguridad Social: En este timo, las cosas empiezan a estrecharse, ya que sólo se aplica a ciudadanos estadounidenses. La víctima recibe una llamada pregrabada que dice proceder de la Administración de la Seguridad Social. El mensaje afirma que el SSN de la víctima ha sido "suspendido" por "rastros sospechosos de información". No importa el hecho de que su SSN no puede ser suspendido, si la víctima cae en la estratagema y devuelve la llamada, se le pedirá que pague una multa para enderezar todo.

La estafa de John Wick 3: Aquí tienes un buen ejemplo de spear phishing. En este caso, los estafadores están detrás de un objetivo muy específico: un fan de John Wick que disfruta de cómics, pero prefiere leerlos en Amazon Kindle. Mientras busca cómics de John Wick, se le ofrece una descarga gratuita de la tercera película de John Wick—en el momento de la estafa, la película aún no se había estrenado en cines. Seguir el enlace incorporado en la descripción de la película lleva a la víctima a un agujero de sitios de transmisión ilegal de películas piratas.

Estafas por coronavirus: Los estafadores tomaron nota de la escasez de información sobre el virus, especialmente en los primeros días y meses de la epidemia. Mientras las autoridades sanitarias se esforzaban por comprender el virus y cómo se propagaba de una persona a otra, los estafadores llenaban los vacíos con sitios web falsos y correos electrónicos basura.

Ya informamos sobre correos spam que se hacían pasar por información sobre virus de la Organización Mundial de la Salud. En realidad, los correos contenían archivos adjuntos llenos de malware. En otro ejemplo, Labs informó sobre un sitio de seguimiento de COVID-19 que mostraba infecciones en todo el mundo en tiempo real. Entre bastidores, el sitio cargaba un troyano ladrón de información en los ordenadores de las víctimas.

¿Qué es el phishing?

¿Qué es el spear phishing?

¿Qué es un ataque de vishing?

¿Qué es catfishing?

¿Qué es el robo de identidad?

Preguntas frecuentes

¿Cuál es la diferencia entre ingeniería social e ingeniería social inversa?

En la ingeniería social, los atacantes se acercan a los objetivos para manipularlos y conseguir que compartan información. En la ingeniería social inversa, las víctimas, sin saberlo, inician el contacto con atacantes engañosos.