Ingeniería social: qué es y cómo evitar estos ataques

Aunque al príncipe nigeriano ya le conoce todo el mundo, hay otros muchos ataques de ingeniería social…

que es ingenieria social
Comunicación Telefónica

Telefónica

Tiempo de lectura: 4 min

Qué es la ingeniería social

Por ingeniería social se entiende el conjunto de técnicas que los ciberdelincuentes utilizan con el objetivo de tratar de manipular o engañar a los usuarios y que les envíen datos de carácter confidencial, les faciliten claves privadas, infecten sus equipos con malware, abran enlaces a sitios infectados, compren en sitios web fraudulentos o incluso envíen dinero.

Los canales de comunicación más frecuentes para este tipo de ataques cibernéticos, a menudo definidos como el arte de hackear la psicología humana para obtener datos no autorizados, son los mensajes de texto, el correo electrónico, los chats o las redes sociales.

Habitualmente los ciberdelincuentes apelan a sesgos cognitivos, emociones o despistes para conseguir la información.

En líneas generales, la ingeniería social se basa en diferentes tácticas: suplantación de identidad, autoridad para convencer, intimidación con la que amenazar a las víctimas, adulación para ganarse la confianza o crear una percepción de escasez con la que generar una sensación de urgencia.

Tipos de ingeniería social

Los diferentes tipos de ingeniería social cuentan con determinados rasgos en común: un engaño para acceder a sistemas o información con los que intentar cometer un fraude o realizar una intrusión en una red.

Vamos a hacer un repaso con las características más reseñables de algunos tipos de ingeniería social:

  • Phishing . Los estafadores utilizan una dirección de correo electrónico suplantado o con apariencia real desde el que se solicita información personal, como datos bancarios o contraseñas. Existe una subcategoría llamada spear-phishing, que a diferencia del genérico se trata de información que la potencial víctima recibe personalizada.
  • Smishing. El término surge de la unión de SMS y phishing, y es que en este caso los ciberdelincuentes se valen de los mensajes de texto para intentar que las víctimas compartan información de índole confidencial o descarguen programas maliciosos.
  • Vishing. Comparte con los dos anteriores el objetivo del ataque, pero la diferencia está en la forma: en este caso es mediante llamadas telefónicas o mensajes de voz.
  • Baiting. Los estafadores ofrecen a las víctimas alguna oferta valiosa con la que intentar conseguir la información confidencial o que descarguen código malicioso. La famosa estafa del príncipe nigeriano entra en esta categoría.
  • Quid pro quo. Similar al anterior, aunque en el baiting lo prometido es un bien y aquí un servicio. Basado en la manipulación y el abuso de confianza, lo frecuente es que alguien que se hace pasar por personal de soporte técnico solicite datos para arreglar un presunto problema informático.
  • Pretexting. Tras crear una situación de falsa amenaza, el ciberdelincuente se ofrece a la víctima como la persona que puede solventarla. Es parecido al quid pro quo pero, a diferencia de éste, no se trata de una estafa basada en un intercambio y suele implicar algo de urgencia que obliga a actuar a la víctima sin pensar.
  • Cebo. En este caso, se trata de un dispositivo físico (como un USB) abandonado en un lugar público que contiene malware e infecta los sistemas de los dispositivos de las víctimas que lo conectan.
  • Shoulder surfing. La posible traducción de surf de hombro nos da una idea de qué tipo de ataque es: alguien observa a la víctima introduciendo su contraseña o PIN en un dispositivo o incluso en un cajero automático.
  • Abrevadero. En este tipo de ataque, el ciberdelincuente compromete un sitio web frecuentado por las víctimas, momento en el que el atacante aprovecha para infectar con malware los dispositivos o robar información sensible.

Cómo evitar la ingeniería social

Al enfrentarnos a ataques basados en la psicología humana más que en la tecnología, es difícil prevenirlos. Sin embargo, existen algunas recomendaciones que pueden ayudar a evitarlos:

  • Escepticismo. Aplicar la cautela a todo lo que recibimos puede ser una primera barrera para evitar los ataques de ingeniería social. Para ello también es importante no dejarse llevar por la curiosidad por muy tentador que pueda parecer el mensaje recibido.
  • Comprobación de la fuente. En caso de no conocer a la fuente, se puede buscar en internet el número de la llamada. Si en vez de una llamada hemos recibido un correo electrónico con un enlace, se puede (sin pinchar, solo pasando el cursor por encima) ver si redirigen a un sitio sospechoso. Si en el mensaje detectamos faltas de ortografía, es otro motivo más para la cautela.
  • Formación. Disponer de educación y formación como prevención para conocer los posibles ataques es también una ayuda para mitigar los riesgos.  
  • Actualización de la ciberseguridad. Para disminuir las posibilidades de que los ataques recibidos pueden resultar victoriosos, actualizar la seguridad de los dispositivos contando con parches de seguridad actualizados es muy importante.

Medios de comunicación

Contacta con nuestro departamento de comunicación o solicita material adicional.