¿Qué es la ingeniería social?

Aprende estrategias efectivas para proteger tu información personal y defenderte contra la ingeniería social, una táctica astuta empleada por los cibercriminales para manipular a las personas.

DESCARGA GRATUITA DE ANTIVIRUS Y ESCANEO DE VIRUS

¿Qué son los ataques de ingeniería social?

Los ataques de ingeniería social en computación son métodos sofisticados utilizados por los cibercriminales para manipular a las personas y comprometer su propia seguridad. Estos ataques a menudo resultan en que las víctimas envíen dinero sin saberlo, divulguen información personal u organizacional sensible, o violen protocolos de seguridad.

La efectividad de la ingeniería social radica en su capacidad para explotar emociones humanas como el miedo, la curiosidad o la empatía, llevando a las personas a actuar impulsivamente en contra de su mejor juicio. Al entender y jugar con estos disparadores emocionales, los atacantes persuaden a las víctimas a tomar decisiones que pueden parecer irracionales en retrospectiva, como descargar software dañino, visitar sitios web inseguros o compartir datos confidenciales.

¿Cómo funciona la ingeniería social?

La ingeniería social involucra tácticas psicológicas para manipular a las personas y hacer que revelen información sensible crucial para el acceso a sistemas o el robo de identidad. Explota el error humano, a menudo mediante el engaño o la suplantación, lo que lleva a violaciones de seguridad y compromisos de datos sin depender de métodos de hacking técnico.

Los asaltos de ingeniería social son típicamente procesos de múltiples pasos. Inicialmente, el atacante investiga el objetivo para reunir suficiente información y detalles de fondo esenciales, identificando vulnerabilidades y medidas de seguridad débiles cruciales para el éxito del ataque. Posteriormente, el atacante emplea tácticas como la pretextación o la suplantación de figuras de autoridad para ganarse la confianza de la víctima. Esta manipulación está diseñada para provocar acciones que comprometan la seguridad, como divulgar información confidencial o proporcionar acceso a sistemas vitales.

Los ataques de ingeniería social manipulan la psicología humana para eludir las medidas técnicas de seguridad. Seleccionan cuidadosamente a sus víctimas intencionadas en base a varios factores. Las tácticas clave incluyen:

  1. Suplantación: Los atacantes a menudo se hacen pasar por entidades acreditadas, como marcas importantes, agencias gubernamentales o figuras de autoridad, para ganar confianza. Por ejemplo, pueden crear sitios web fraudulentos que imitan a grandes marcas para engañar a los usuarios y hacer que revelen información sensible.
  2. Explotación de Emociones: Estos ataques comúnmente aprovechan emociones como el miedo, la urgencia o la codicia. Los estafadores podrían enviar mensajes alarmantes sobre una cuenta bancaria comprometida o atraer a las víctimas con promesas fraudulentas de ganancias financieras, como la famosa estafa del ‘Príncipe Nigeriano’ por correo electrónico.
  3. Aprovecharse de la Buena Voluntad o la Curiosidad: Los ingenieros sociales también explotan la inclinación natural de una persona a ayudar o su curiosidad. Podrían enviar correos electrónicos que parecen ser de amigos o redes sociales, solicitando información de contacto, ayuda o tentando a los usuarios a hacer clic en un enlace malicioso bajo la apariencia de una historia intrigante o un recurso útil.

Entender estas tácticas es crucial para reconocer y frustrar los ataques de ingeniería social. Atacan la naturaleza humana en lugar de las fallas tecnológicas, por lo que la conciencia y la vigilancia son defensas clave contra estas amenazas.

Cómo protegerse contra los ataques de ingeniería social

Los ataques de ingeniería social pueden tomar muchas formas, desde correos electrónicos de phishing hasta la manipulación a través de llamadas telefónicas o mensajes de texto. Debido a que principalmente atacan vulnerabilidades humanas en lugar de fallas tecnológicas, defenderse de ellos requiere una combinación de conciencia, vigilancia y salvaguardas tecnológicas.

Los siguientes pasos ofrecen un enfoque integral para mejorar su defensa contra estos ataques cada vez más comunes y sofisticados:

  1. Usar Autenticación Multi-Factor: Implementar autenticación de dos o múltiples factores es crucial. Añade una capa adicional de seguridad, asegurando que incluso si las credenciales de inicio de sesión son comprometidas, el acceso no autorizado sigue siendo prevenido.
  2. Entrenamiento en Conciencia de Seguridad: El entrenamiento regular para todos los empleados es vital para reconocer y responder a los ataques de ingeniería social. Este entrenamiento debe cubrir la identificación de actividades sospechosas y la importancia de no compartir información sensible.
  3. Instalar un Programa de Ciberseguridad Eficaz: Utiliza software de ciberseguridad integral, como Malwarebytes, que pueda reconocer y neutralizar amenazas, incluyendo sitios web maliciosos, malvertising, malware, virus y ransomware.
  4. Implementar Políticas de Control de Acceso y Tecnologías de Ciberseguridad: Hacer cumplir políticas estrictas de control de acceso, incluyendo autenticación adaptativa y un enfoque de seguridad de confianza cero. Utilizar tecnologías como filtros de spam, puertas de enlace de correo seguro, firewalls, software antivirus, y mantener los sistemas actualizados con los últimos parches.
  5. Activar Filtros de Spam: Activa filtros de spam para bloquear correos electrónicos de phishing y otras formas de spam. Aunque algunos correos electrónicos legítimos podrían ser filtrados, se puede mitigar esto marcándolos como “no spam” y agregando remitentes legítimos a tu lista de contactos.
  6. Aprender a Detectar Correos Electrónicos de Phishing: Edúcate a ti mismo y a otros para identificar intentos de phishing. Busca señales de alerta como direcciones de remitente que no coinciden, saludos genéricos, URLs inusuales, mala gramática y ofertas que parecen demasiado buenas para ser verdad.
  7. Desactivar Macros en Documentos: Desactiva los macros en tu software. Ten precaución con archivos adjuntos de correo electrónico que te incitan a habilitar macros, especialmente de fuentes desconocidas. Si tienes dudas, verifica la legitimidad del adjunto con el remitente.
  8. No Respondas a Estafas Sospechosas: No respondas a potenciales estafas, ya sea por correo electrónico, SMS o llamadas telefónicas. Responder confirma a los estafadores que tu información de contacto es válida, incentivando más intentos. Reenvía mensajes sospechosos al 7726 (SPAM) para ayudar a tu proveedor a filtrar el spam.

Al implementar estas estrategias, puedes crear un sistema de defensa robusto contra los ataques de ingeniería social, protegiendo tanto tus datos personales como la información sensible de tu organización. Recuerda, estar informado y ser cauteloso es tu primera línea de defensa en el siempre cambiante panorama de amenazas a la ciberseguridad.

Tipos de ataques de ingeniería social

Los ataques de ingeniería social se producen predominantemente a través de diversas [formas de phishing]( https://www.malwarebytes.com/phishing). Estos ataques explotan la psicología humana y la confianza, en lugar de basarse en métodos técnicos de pirateo. La eficacia y la prevalencia del phishing lo convierten en una preocupación crítica tanto para las personas como para las organizaciones. He aquí un desglose más detallado de cada tipo:

  1. Phishing por Correo Electrónico: Los atacantes se hacen pasar por entidades legítimas a través de correos electrónicos, engañando a los destinatarios para que revelen datos personales o credenciales. Estos correos a menudo contienen enlaces a sitios web engañosos o archivos adjuntos maliciosos.
  2. Phishing Masivo: Este método implica enviar el mismo correo de phishing a millones de personas. Los correos parecen ser de organizaciones reconocibles y a menudo solicitan información personal bajo falsos pretextos.
  3. Spear Phishing: Una forma más dirigida de phishing, donde los atacantes personalizan sus mensajes para individuos específicos, usando información obtenida de redes sociales o redes profesionales.
  4. Whale Phishing: Una táctica de spear phishing de alto nivel dirigida a ejecutivos o individuos de alto perfil. Estos ataques son altamente personalizados y a menudo involucran un engaño complejo.
  5. Vishing: Esta técnica utiliza llamadas telefónicas para engañar a las personas y hacer que revelen información sensible. Los atacantes pueden hacerse pasar por organizaciones legítimas o figuras de autoridad.
  6. SMS Phishing (Smishing): Una variante de phishing llevada a cabo a través de mensajes de texto. Estos mensajes atraen a los destinatarios a hacer clic en enlaces maliciosos o a divulgar información sensible.
  7. Search Engine Phishing: En este enfoque, los atacantes crean sitios web falsos que aparecen en altos resultados de los motores de búsqueda. Cuando los usuarios visitan estos sitios, están en riesgo de robo de información.
  8. Phishing en Redes Sociales: Esta forma explota plataformas de redes sociales, donde los atacantes crean cuentas de servicio al cliente falsas para interactuar con las víctimas, a menudo llevándolas a sitios de phishing.

Después del Phishing, los otros métodos de ingeniería social son:

  1. Baiting: Tienta a las víctimas con una falsa promesa de bienes o servicios para robar información o instalar malware.
  2. Tailgating/Piggybacking: Involucra el acceso no autorizado a áreas restringidas siguiendo físicamente a una persona autorizada o explotando digitalmente la sesión activa de otra persona.
  3. Pretexting: Los atacantes fabrican escenarios para extraer información sensible o ganar acceso, a menudo haciéndose pasar por alguien con autoridad o una necesidad de verificar identidad.
  4. Quid Pro Quo: Ofrece un servicio o beneficio a cambio de información sensible, explotando el deseo de la víctima de obtener un buen trato o recompensa.
  5. Scareware: Usa tácticas de miedo para manipular a las víctimas y lograr que instalen malware o revelen información confidencial.
  6. Ataque de Watering Hole: Apunta a grupos específicos infectando sitios web que visitan frecuentemente, llevando al robo de datos o la instalación de malware.
  7. Ataques de troyanos: Malware disfrazado de software legítimo, a menudo diseminado a través de archivos adjuntos de correo electrónico de fuentes aparentemente confiables.
  8. Estafas de Soporte Técnico: Engañan a las víctimas haciéndoles creer que su dispositivo está comprometido y les cobran dinero por “arreglos” innecesarios.
  9. Llamadas Fraudulentas: Involucra el uso de llamadas telefónicas (incluyendo robollamadas) para estafar a las víctimas, a menudo haciéndose pasar por organizaciones legítimas o autoridades.

Entender estos métodos de phishing y otras tácticas de ingeniería social es crucial para protegerse contra estas amenazas prevalentes y en evolución.

Ejemplos de ataques de ingeniería social

Aquí hay algunos ejemplos del mundo real de ingeniería social que hemos reportado en Malwarebytes Labs. En cada ejemplo, los estafadores de ingeniería social buscan el objetivo correcto y el detonante emocional adecuado. A veces, la combinación de objetivo y detonante puede ser muy específica (como sucede con un ataque de spear phishing). Otras veces, los estafadores pueden dirigirse a un grupo mucho más amplio.

La estafa de sextorsión: En este primer ejemplo, los estafadores están lanzando una red amplia. ¿El objetivo? Cualquiera que vea pornografía. La víctima es notificada por correo electrónico que su cámara web supuestamente ha sido hackeada y usada para grabarlos viendo videos para adultos. El estafador también afirma haber hackeado la cuenta de correo electrónico del destinatario, usando una contraseña antigua como prueba. Si la víctima no paga mediante Bitcoin, el estafador amenaza con divulgar el video a todos los contactos de la víctima. En general, el estafador no tiene videos de ti y tu contraseña antigua es de una brecha de datos previamente revelada.

La estafa del abuelo: Esta estafa ha estado circulando durante años y apunta a cualquiera con familiares vivos, usualmente personas mayores. Los padres o abuelos reciben una llamada o mensaje de texto del estafador, haciéndose pasar por un abogado o fuerza del orden. El estafador afirma que el familiar de la víctima ha sido arrestado o herido y necesita dinero para cubrir la fianza, honorarios legales o gastos hospitalarios. En el caso de la versión vía mensaje de texto SMS de la estafa, simplemente responder termina costándole dinero a la víctima.

La estafa del Número de Seguridad Social: En este engaño, las cosas comienzan a limitarse ya que solo se aplica a ciudadanos estadounidenses. La víctima recibe una llamada automatizada que pretende ser de la Administración del Seguro Social. El mensaje afirma que el SSN de la víctima ha sido "suspendido" por "trayectorias de información sospechosas". A pesar de que un SSN no puede ser suspendido, si la víctima cae en la trampa y devuelve la llamada, se le pedirá que pague una multa para solucionar todo.

La estafa de John Wick 3: Aquí tienes un buen ejemplo de spear phishing. En este caso, los estafadores están detrás de un objetivo muy específico: un fan de John Wick que disfruta de cómics, pero prefiere leerlos en Amazon Kindle. Mientras busca cómics de John Wick, se le ofrece una descarga gratuita de la tercera película de John Wick—en el momento de la estafa, la película aún no se había estrenado en cines. Seguir el enlace incorporado en la descripción de la película lleva a la víctima a un agujero de sitios de transmisión ilegal de películas piratas.

Estafas de coronavirus: Los estafadores aprovecharon la falta de información sobre el virus, especialmente en los primeros días y meses de la epidemia. Mientras las autoridades sanitarias luchaban por entender el virus y cómo se transmitía de persona a persona, los estafadores llenaron los vacíos con sitios web falsos y correos electrónicos spam.

Informamos sobre correos electrónicos spam que se hacían pasar por información sobre el virus de la Organización Mundial de la Salud. Los correos contenían en realidad archivos adjuntos llenos de malware. En otro ejemplo, Labs informó sobre un sitio de seguimiento del COVID-19 que mostraba infecciones en todo el mundo en tiempo real. Detrás de escena, el sitio cargaba un troyano roba-información en las computadoras de las víctimas.

¿Qué es el phishing?

¿Qué es el spear phishing?

¿Qué es un ataque de vishing?

¿Qué es catfishing?

¿Qué es el robo de identidad?

Preguntas frecuentes

¿Cuál es la diferencia entre ingeniería social e ingeniería social inversa?

En la ingeniería social, los atacantes se acercan a los objetivos para manipularlos para que compartan información. En la ingeniería social inversa, las víctimas, sin saberlo, inician el contacto con atacantes engañosos.