Si usted es como la mayoría de la gente, probablemente no sepa mucho sobre los ataques de ingeniería social. ¿O cree que sólo pretenden embaucar a víctimas incautas para robarles dinero?
Puede que no se de cuenta de que las técnicas de ingeniería social pueden adoptar muchas formas. Y cualquiera puede ser víctima de una, incluso usted mismo.
En esta guía, cubriremos todo lo que necesita saber sobre los ataques de ingeniería social, incluyendo:
- qué es un ataque de ingeniería social;
- las diferentes formas que puede adoptar un ataque de ingeniería social;
- cómo detectar rápidamente un ataque de ingeniería social;
- y, lo que es más importante, ¡cómo evitar ser víctima de una!
Así que, sin más preámbulos, ¡exploremos!
¿Qué es la ingeniería social?
Lo primero es lo primero. ¿Qué es la ingeniería social?
La ingeniería social reúne una multitud de técnicas para explotar nuestra naturaleza humana con el fin de inducir comportamientos y errores que conduzcan a una seguridad debilitada.
Permite a los ciberdelincuentes acceder a información, dinero o controlar lo que buscan. No se trata de un tipo único de ataque, sino más bien de un grupo de estafas diferentes que comparten varias similitudes:
- Los estafadores intentan obtener información sensible o dinero.
- Explotan la confianza y el comportamiento humano para manipular a sus víctimas y conseguir sus objetivos.
- Se aprovechan del desconocimiento de sus víctimas y de su incapacidad para aplicar medidas de seguridad para protegerse.
- Sus ardides suelen consistir en utilizar información personal (robo de identidad) para parecer más auténticos.
¿Recuerda el caballo «regalado» por los antiguos griegos a la ciudad de Troya? Un excelente ejemplo del mundo real.
En el corazón de todo ataque de ingeniería social se encuentra la manipulación.
Olvídese de las tácticas de fuerza bruta. Con la ingeniería social, los atacantes utilizan tácticas manipuladoras para llevar a sus víctimas a comprometerse a sí mismas o a las medidas de seguridad en las que confían. Los estafadores conectan con sus víctimas para infundirles confianza e influir en sus acciones.
A medida que los atacantes se familiarizan con las motivaciones de sus objetivos, pueden elaborar tácticas persuasivas para atraerlos hacia un comportamiento potencialmente destructivo.
Y funciona: muchos incidentes de ciberseguridad son esquemas de ingeniería social llevados a cabo con éxito por atacantes externos. Juegan con la debilidad humana para hacer que sus víctimas faciliten involuntariamente el acceso a información sensible o dinero.
¿Cómo funcionan los ataques de ingeniería social?
Como ya hemos mencionado, la ingeniería social se basa en la manipulación. Puede adoptar diversas formas (como veremos más adelante).
Sin embargo, todo ataque de ingeniería social explotará uno de los siguientes rasgos humanos.
Confianza
El hacker enviará un mensaje falsificando los códigos de comunicación de una organización, como su logotipo y otras características de la marca (tipos de letra, estilo de escritura, etc.).
Quieren engañar a la víctima para que haga cosas que haría habitualmente con esta organización concreta (hacer clic en un enlace, descargar un archivo, etc.) porque la víctima confía en el mensaje y no cuestiona su origen.
Obediencia a la autoridad
La obediencia a la autoridad es otro rasgo humano que las tácticas de ingeniería social pueden explotar.
Los hackers se hacen pasar por una persona de alto rango o un organismo gubernamental para inducir a su obediente objetivo a hacer algo.
Sensación de urgencia y/o miedo
La gente suele actuar sin pensar cuando se enfrenta a una repentina sensación de pánico.
Son vulnerables a las estafas de ingeniería social que se aprovechan de esas emociones. Estas tácticas engañosas aprovechan el miedo y la urgencia de diversas formas:
- falsas alertas de tarjetas de crédito;
- advertencias sobre virus;
- explotar el propio FOMO (miedo a perderse algo, del inglés «Fear of Missing Out»).
La víctima, presa del pánico, es inducida a actuar sin tomarse el tiempo necesario para considerar las implicaciones de sus actos. A menudo, sometidas a estrés, se olvidan de volver a comprobar la legitimidad de la solicitud.
Codicia
No rechazaría usted un regalo, ¿verdad? Los estafadores lo entienden.
Por eso muchas estafas aprovechan nuestra codicia para atraernos con recompensas de dinero, iPhones gratis y otros premios.
¿Ha oído hablar de la estafa de la «herencia inesperada»? Se trata de un clásico ataque de phishing que le promete una gran suma de dinero de un pariente lejano o de un benefactor adinerado. Se supone que el dinero está bloqueado por alguna oscura razón… Lo único que tiene que hacer es pagar las tasas administrativas para obtener el dinero.
¿Parece demasiado bueno para ser verdad? ¡Eso es porque lo es! Este es un ejemplo perfecto de estafa que utiliza nuestra atracción por el dinero, los regalos o las recompensas fáciles.
Generosidad
Por último, nuestra generosidad se aprovecha a menudo en ataques de ingeniería social.
Los atacantes explotan la generosidad investigando las redes sociales para averiguar qué te importa y haciéndose pasar por organizaciones vinculadas a las causas que le importan. Por ejemplo, podrían hacerse pasar por una organización benéfica a la que apoya para solicitar donativos.
Ataques de Ingeniería Social: ¿Qué aspecto tienen?
Hay muchos tipos de ataques de ingeniería social con sutiles variaciones. Aquí tiene algunas de las más comunes.
Las estafas de phishing son los tipos más comunes de ataques de ingeniería social que se utilizan hoy en día. Las estafas de phishing se basan en correos electrónicos para establecer una conexión con el objetivo. Existen otros tipos específicos de ataques de phishing, como:
- smishing, un ataque de phishing que se basa en los SMS;
- vishing que se basa en conversaciones telefónicas reales;
- phishing de lanza que se dirige a personas concretas con información personal para que parezca legítima;
- los ataques de «whaling», que son ataques de phishing dirigidos a altos ejecutivos.
Los pretextos son otra encarnación de la ingeniería social en la que los atacantes se centran en crear un pretexto plausible, o un escenario inventado, que puedan utilizar para robar la información personal de sus víctimas.
El «baiting» es, en muchos aspectos, similar a los ataques de phishing. Sin embargo, lo que los distingue de otros tipos de ingeniería social es la promesa de un objeto o bien que los hackers utilizan para atraer a las víctimas, igual que el caballo de Troya.
Del mismo modo, los ataques quid pro quo prometen un beneficio a cambio de información. Este beneficio suele adoptar la forma de un servicio, mientras que el «baiting» suele adoptar la forma de un bien.
El scareware pretende hacer creer a sus víctimas que un virus ha infectado su dispositivo, y que necesitan comprar o descargar un software específico para solucionarlo.
Los ataques de «abrevadero» se producen cuando los atacantes comprometen un sitio web frecuentado por un grupo específico de usuarios. Cuando estos usuarios visitan el sitio, sus dispositivos se infectan con malware.
Una Honey Trap (literalmente «trampa de tarro de miel») es cuando los atacantes crean perfiles falsos en las redes sociales para hacerse amigos de los objetivos y extraer información confidencial mediante relaciones engañosas.
Por último, la Ingeniería Social Inversa crea una situación en la que la víctima busca ayuda, lo que permite al atacante hacerse pasar por ayudante y extraer información sensible.
Ataques físicos de phishing
Los ataques de phishing también pueden producirse en el mundo «real», físico.
La forma más común se llama «shoulder surfing» («mirar por encima del hombro»). Esto ocurre cuando alguien observa directamente por encima de su hombro para obtener información, como contraseñas o PIN, tras inducirles a realizar una acción que requiere credenciales.
Otro tipo de ataque de ingeniería social es el «tailgating» (en inglés «ir a rebufo»), en el que alguien busca la entrada física a una zona restringida en la que no está autorizado a estar.
Características comunes de los ataques de ingeniería social
La mayoría de estos ataques de ingeniería social comparten las siguientes características:
- Información personal: Los atacantes buscan información como nombres, direcciones y números de la seguridad social.
- Acortadores de enlaces o enlaces incrustados: Estos enlaces en realidad redirigen a los usuarios a sitios web sospechosos en URL que parecen legítimas.
- Malware: La ingeniería social también puede utilizarse para instalar malware, ya sea además de robar las credenciales de la víctima o con el único propósito de comprometer su dispositivo.
Ataques de Ingeniería Social: ¿Cómo mantenerse a salvo?
Ahora que hemos identificado las distintas formas de ingeniería social y sus características, ¡vamos a hablar de cómo evitarlas!
Lo que sigue son varios pasos que debes dar para identificar los ataques de ingeniería social actuales, y protegerle de los futuros.
#nº 1: Tómese su tiempo para evaluar la situación
Tómese su tiempo para considerar toda la situación y examine el mensaje detenidamente, aunque sea bastante preocupante.
- ¿Este mensaje es inesperado?
- ¿Se origina donde debe?
- Asegúrese de estar interactuando con contactos de confianza confirmando su identidad. Siempre que sea posible, ponte en contacto directamente con el remitente para asegurarte de que envió lo que se recibió.
- Compruebe también si hay faltas de ortografía, rarezas en el logotipo u otros detalles reveladores. ¿Esta organización suele comunicarse de esta manera?
- De nuevo, en caso de duda, coja el teléfono y llame al número oficial o al número al que esté acostumbrado a llamar (y no al número proporcionado) para obtener más información.
#nº 2: Compruebe la URL o el archivo antes de hacer clic
Nunca, nunca haga clic en un archivo adjunto o en un enlace de un correo electrónico sin comprobarlo dos veces.
Cualquier archivo adjunto en un mensaje puede esconder un virus u otro tipo de malware, como un ransomware.
Un enlace en un mensaje puede llevarte a un sitio web preparado para robar sus datos o infectar su dispositivo con malware.
Antes de hacer clic en ellos, inspecciónelos cuidadosamente:
- ¿Hay algún mensaje o aviso que indique que el archivo adjunto contiene macros? Si es así, asegúrese de no habilitar las macros para ver el archivo.
- ¿Esperaba este archivo o enlace?
- En caso de duda, no dude en comprobar y preguntar directamente al remitente si procede de él (póngase en contacto con él a través de su medio de contacto habitual).
- En caso de duda, ¡NO haga clic! Pregunte a un colega, amigo o familiar si no está seguro. O recurra a un experto en informática si no se sientes cómodo evaluando la situación.
#3: Vigile sus objetos de valor
Aunque no sea millonario, usted posee muchas cosas que podrían despertar la codicia de los ciberdelincuentes:
- sus datos (que pueden venderse en la «dark net»);
- acceso al software que tiene en la empresa para la que trabaja;
- cuentas detalladas en redes sociales, con numerosas fotos, y comentarios que revelan lo que le gusta, las causas a las que apoyas, etc. Esto significa que será sencillo elaborar su perfil y determinar la estrategia adecuada para llegar a usted. Por tanto, tenga cuidado con lo que comparte en las redes sociales.
Tómese su tiempo para examinar sus privilegios, sus comunicaciones en la red e intenta comprender el potencial que ofreces a cualquier estafador. Ser más consciente de esto puede mejorar su capacidad para detectar ataques de ingeniería social.
#4: Infórmese sobre las estafas de ingeniería social
¡Enhorabuena! Sólo con leer esta guía, ya se habrá hecho menos vulnerable a los ataques de ingeniería social.
La capacitación es clave para evitar los ataques de ingeniería social.
Como individuos, en la mayoría de los casos estamos en el origen de un ataque potencial debido a nuestra falta de conciencia y conocimiento.
Si quiere aprender aún más, puede consultar esta guía sobre los 7 mayores errores de seguridad en el correo electrónico que debe evitar. También puede consultar esta guía sobre consejos para proteger su ordenador, o seguir nuestro curso gratuito de concienciación sobre seguridad y privacidad del correo electrónico.
#5: Utilice software de seguridad para evitar el spam y los correos electrónicos de phishing
Para proteger su dispositivo y sus datos de ciberamenazas e intentos de intrusión, debe utilizar un antivirus y hacer copias de seguridad periódicas.
Pero también debe utilizar una solución de correo electrónico seguro para asegurarse de que los mensajes que llegan a su bandeja de entrada no incluyen ningún malware ni ninguna parte malintencionada, y para bloquearlos si es así.
Los correos electrónicos son una de las puertas de entrada más comunes para los hackers. Así que asegúrese de tener activada la MFA, y acostúmbrese a enviar correos encriptados y firmados digitalmente.
#6: Evite los puntos únicos de fallo
Un único punto de fallo es un término común utilizado para describir el hecho de tener todos los huevos en la misma cesta. Si se vulnera ese punto, todos sus datos están en peligro. Por eso debe evitar conectar todas sus cuentas con Facebook o Gmail.
Cuanto más entrelazadas y dependientes estén sus cuentas, más daño puede causarle una brecha de seguridad.
#7: Identificaciones únicas y contraseñas seguras
Relacionado con el nº 6, utilice inicios de sesión diferentes para cada servicio y contraseñas fuertes y únicas. Considere la posibilidad de utilizar alias de correo electrónico y gestores de contraseñas para gestionar sus credenciales.
#8: Sea creativo con las preguntas de seguridad
Esto puede parecer trivial. Pero las preguntas de seguridad adicionales que le hacen los sitios web son para, normalmente, establecer una medida de seguridad de verificación en 2 pasos (2FA).
Así que sea creativo y evite respuestas fáciles de adivinar, como su fecha o lugar de nacimiento. Un hacker los encontrará en unos minutos. Además, no confunda la 2FA con la autenticación multifactor (MFA) o TFA, que te recomendamos encarecidamente que configures de todos modos.
#9: Utilice las tarjetas de crédito con prudencia
Si utiliza una tarjeta de débito y un hacker consigue acceder al número, podría vaciar toda su cuenta bancaria. Puedes proteger aún más su tarjeta de crédito si no almacena los números de tarjeta en sitios web o utilizando números de tarjeta desechables o virtuales (ofrecidos por Citibank, Bank of America y Discover).
#10: Controle con frecuencia sus cuentas
Esté pendiente tanto del robo de identidades como del fraude con tarjetas de crédito. Compruebe regularmente los saldos de sus cuentas y su puntuación crediticia.
Última palabra sobre los ataques de ingeniería social
Con esto terminamos nuestra guía sobre ataques de ingeniería social. Esperamos que ahora entienda mejor qué es la ingeniería social y cómo detectarla.
¡Asegúrese de enviar también esta guía a sus amigos y familiares! Cuanta más gente sea consciente de las tácticas de ingeniería social, menos víctimas habrá. Por último, si tiene alguna pregunta, no dude en ponerse en contacto con nosotros al correo support@mailfence.com.