La ingeniería social es una técnica de manipulación que aprovecha el error humano para obtener información privada, acceso a sistemas u objetos de valor. En el caso del delito cibernético, estas estafas de "hackeo de humanos" tienden a hacer que los usuarios desprevenidos expongan datos, propaguen infecciones de malware o den acceso a sistemas restringidos. Los ataques pueden ocurrir en línea, en persona y a través de otras interacciones.
Las estafas basadas en la ingeniería social se basan en cómo las personas piensan y actúan. Como tal, los ataques de ingeniería social son muy útiles para manipular el comportamiento de un usuario. Una vez que un atacante comprende qué motiva las acciones de un usuario, puede engañar y manipular al usuario de manera efectiva.
Además, los piratas informáticos intentan explotar la falta de conocimiento de un usuario. Gracias a la velocidad de la tecnología, muchos consumidores y empleados no son conscientes de ciertas amenazas, como las descargas no autorizadas (drive-in). Es posible que los usuarios no se den cuenta del valor real de sus datos personales, como el número de teléfono. Como resultado, muchos usuarios no están seguros de cómo protegerse mejor a sí mismos y a su información.
Por lo general, los atacantes que usan la ingeniería social tienen dos objetivos:
Esta definición de ingeniería social se puede ampliar aún cuando se sabe exactamente cómo funciona.
La mayoría de los ataques de ingeniería social se basan en la comunicación real entre atacantes y víctimas. El atacante tiende a motivar al usuario a comprometerse a sí mismo, en lugar de usar métodos de fuerza bruta para violar sus datos.
El ciclo del ataque les da a estos criminales un proceso confiable para engañarlo. El ciclo de ataque de ingeniería social suele usar los siguientes pasos:
Este proceso puede realizarse en un solo correo electrónico o durante meses en una serie de chats en las redes sociales. Incluso podría ser una interacción en persona. Pero concluye con una acción que el usuario realiza, como compartir su información o exponerse a malware.
Es importante saber que la ingeniería social también es un medio para crear confusión. Muchos empleados y consumidores no se dan cuenta de que bastan pocos datos para dar acceso a los piratas informáticos a varias redes y cuentas.
Al hacerse pasar por usuarios legítimos ante el personal de soporte de TI, obtienen sus datos privados, como nombre, fecha de nacimiento o dirección. Después de lograrlo, les resulta fácil cambiar las contraseñas y obtener acceso prácticamente ilimitado. Pueden robar dinero, dispersar malware de ingeniería social, etc.
Los ataques de ingeniería social se centran en que el atacante persuade a la víctima y se gana su confianza. Cuando uno se expone a estas tácticas, es muy probable que realice acciones que de otro modo no haría.
Entre la mayoría de los ataques, tratarán de engañarlo con los siguientes comportamientos:
Intensificación de las emociones: la manipulación emocional les da a los atacantes la ventaja en cualquier interacción. Es mucho más probable que realice acciones irracionales o arriesgadas cuando se encuentra en un buen estado emocional. Las siguientes emociones se utilizan en igual medida para convencerlo.
Urgencia: las oportunidades o solicitudes urgentes son otra herramienta confiable en el arsenal de un atacante. Es posible que se sienta motivado a comprometerse ante aparentes problemas graves que necesita atención inmediata. También le pueden decir que hay un premio o recompensa que puede desaparecer si no actúa ya mismo. Cualquiera de los dos enfoques anula su capacidad de pensamiento crítico.
Confianza: la credibilidad es invaluable y esencial para un ataque de ingeniería social. Dado que el atacante en última instancia le está mintiendo, la confianza juega un papel importante aquí. Ha investigado lo suficiente sobre usted como para crear una historia fácil de creer y que no despierte sospechas.
Hay algunas excepciones a estos rasgos. En algunos casos, los atacantes utilizan métodos más simples de ingeniería social para acceder a una red o computadora. Por ejemplo, un hacker puede frecuentar el comedor público de un gran edificio de oficinas, buscar usuarios que estén trabajando en sus tablets o computadoras portátiles y mirar los dispositivos por encima de su hombro. Con esta táctica pueden conseguir una gran cantidad de contraseñas y nombres de usuario, todo sin necesidad de ni enviar un solo correo electrónico de ni escribir una línea de código de virus.
Ahora que comprende el concepto subyacente, probablemente se esté preguntando "¿qué es un ataque de ingeniería social y cómo puedo detectarlo?"
Casi todos los tipos de ataques conllevan algún tipo de ingeniería social. Por ejemplo, las estafas clásicas de correo electrónico y virus están cargadas de connotaciones sociales.
La ingeniería social puede afectarlo digitalmente a través de ataques mediante dispositivos móviles, además de los de dispositivos de escritorio. Sin embargo, también puede que lo amenacen en persona. Estos ataques pueden superponerse y usarse al mismo tiempo para crear una estafa.
A continuación, se muestran algunos métodos comunes utilizados por los atacantes de ingeniería social:
Los atacantes que usan el phishing se hacen pasar por una institución o un individuo de confianza en un intento de persuadirlo de que exponga datos personales y otros objetos de valor.
Los ataques que utilizan suplantación de identidad (phishing) se llevan a cabo de dos maneras:
Ya sea que se trate de una comunicación directa o a través de un formulario de sitio web falso, cualquier cosa que comparta va directamente al bolsillo del estafador. Incluso puede que con engaños lo induzcan a descargar un malware que contiene la siguiente etapa del ataque de phishing. Cada uno de los métodos utilizados en el phishing tiene modos de distribución únicos, que incluyen, entre otros:
Phishing (vishing) por voz, mediante llamadas telefónicas que pueden ser sistemas de mensajes automatizados que registran todo lo que usted diga. A veces, una persona real puede hablar con usted para aumentar la confianza y el sentido de urgencia.
Los mensajes de texto de phishing (smishing) o los mensajes de aplicaciones móviles pueden incluir un enlace web o un mensaje de seguimiento a través de un correo electrónico o un número de teléfono fraudulentos.
El phishing por correo electrónico es el medio más tradicional de phishing, ya que utiliza un correo electrónico que le insta a responder o hacer un seguimiento por otros medios. Se pueden usar vínculos web, números de teléfono o archivos adjuntos de malware.
El phishing de Angler se lleva a cabo en las redes sociales, donde un atacante finge ser del equipo de servicio al cliente de una empresa de confianza. Interceptan sus comunicaciones con una empresa para secuestrar y desviar su conversación a mensajes privados, donde luego hacen avanzar el ataque.
El phishing en buscadores intenta colocar enlaces a sitios web falsos en la parte superior de los resultados de búsqueda. Estos pueden ser anuncios pagados o usar métodos de optimización legítimos para manipular las clasificaciones de búsqueda.
Los enlaces de phishing URL lo tientan a visitar sitios web de phishing. Estos vínculos se suelen enviar en correos electrónicos, mensajes de texto, mensajes de redes sociales y anuncios en línea. Los ataques ocultan vínculos en texto o botones con hipervínculos, utilizando acortadores de vínculos o URL con erratas intencionales.
El phishing durante la sesión aparece como una interrupción de su navegación web normal. Por ejemplo, es posible que vea ventanas emergentes de inicio de sesión falsas para las páginas que está visitando.
Los ataques de cebo abusa de su curiosidad natural para convencerlo de que se exponga a un atacante. Por lo general, el potencial de recibir algo gratis o exclusivo es la manipulación utilizada para explotarlo. El ataque por lo general implica termina infectándolo con malware.
Los métodos populares de ataques de cebo pueden incluir:
Los ataques de acceso físico involucran a los atacantes que se presentan en persona, haciéndose pasar por alguien que tiene derecho de acceso a áreas o información restringidas.
Los ataques de esta naturaleza son más comunes en entornos empresariales, como gobiernos, empresas u otras organizaciones. Los atacantes pueden hacerse pasar por un representante de un proveedor conocido y de confianza para la empresa. Algunos atacantes pueden incluso ser empleados despedidos hace poco que quieren vengarse de su antiguo empleador.
Hacen que su identidad sea incierta pero lo suficientemente creíble como para evitar que le hagan preguntas. Esto requiere un poco de investigación por parte del atacante e implica un alto riesgo. Por lo tanto, si alguien está intentando este método, significa que ha identificado que puede recibir una recompensa muy valiosa si tiene éxito.
Los ataques que usan pretextos echan mano de una identidad engañosa como "pretexto" para ganarse la confianza. Por ejmplo, pueden hacerse pasar por un proveedor o un empleado de la compañía. Este enfoque requiere que el atacante interactúe con usted de manera más proactiva. Una vez que lo han convencido de que son legítimos, lanzan el ataque.
Tailgating , o "llevar a cuestas", es el acto de seguir a un miembro del personal autorizado a un área de acceso restringido. Los atacantes pueden apelar a la cortesía social para que usted les abra la puerta o convencerlo de que también están autorizados a estar en el área. Los pretextos también pueden jugar un papel.
Quid pro quo es un término que puede interpretarse como "un favor por un favor", que en el contexto del phishing significa un intercambio de su información personal por alguna recompensa u otra compensación. Los obsequios u ofertas para participar en estudios de investigación pueden exponerlo a este tipo de ataque.
El exploit proviene de entusiasmarlo por algo valioso que viene con una baja inversión de su parte. Pero en realidad el atacante toma sus datos y no le da recompensa alguna.
La suplantación de DNS manipula su navegador y servidores web para que vayan a sitios web maliciosos cuando ingresa una URL legítima. Una vez infectado con este exploit, el redireccionamiento continuará a menos que los datos de enrutamiento inexactos se eliminen de los sistemas involucrados.
Los ataques de envenenamiento de la caché de DNS infectan su dispositivo con instrucciones de enrutamiento para que la URL legítima o varias URL se conecten a sitios web fraudulentos.
Scareware es una forma de malware que se utiliza para asustarlo y hacer que realice una acción. Este malware engañoso utiliza advertencias alarmantes sobre infecciones de malware falsas o afirman que una de sus cuentas se ha visto comprometida.
Como resultado, el scareware lo induce a comprar software de ciberseguridad fraudulento o divulgar detalles privados como las credenciales de su cuenta.
Los ataques de abrevadero infectan páginas web populares con malware para afectar a muchos usuarios a la vez. Requiere una planificación cuidadosa por parte del atacante para encontrar debilidades en sitios específicos. Buscan vulnerabilidades existentes que no se conocen y no están reparadas; tales debilidades se consideran exploits de día cero.
Otras veces, pueden encontrar que un sitio no ha actualizado su infraestructura para reparar problemas conocidos. Los propietarios de sitios web pueden optar por retrasar las actualizaciones de software para mantener las versiones de software que saben que son estables. Publicarán la actualización una vez que la versión más nueva tenga un historial probado de estabilidad del sistema. Los piratas informáticos abusan de este comportamiento para atacar vulnerabilidades recientemente parcheadas.
En algunos casos, los cibercriminales han usado métodos complejos para llevar a cabo los ciberataques, por ejemplo:
Los ataques de malware merecen un enfoque especial, ya que son comunes y tienen efectos prolongados.
Cuando los creadores de malware utilizan técnicas de ingeniería social, pueden convencer a un usuario incauto de que abra archivos infectados o enlaces a sitios infectados y otros recursos. Numerosos gusanos para correo electrónico y otros tipos de malware usan estos métodos. Sin un paquete de software de seguridad completo para sus dispositivos móviles y de escritorio, es probable que se exponga a una infección.
El cibercriminal intenta atraer la atención del usuario al enlace o al archivo infectado y lo convence para que haga clic en él.
Ejemplos de este tipo de ataque:
Los enlaces a sitios infectados se pueden enviar por correo electrónico, ICQ y otros sistemas de mensajería instantánea, o incluso a través de salas de chat de Internet IRC. Los virus móviles se envían a menudo mediante mensajes SMS.
Cualquiera sea el método de envío, el mensaje contendrá palabras llamativas o intrigantes que animen al usuario desprevenido a hacer clic en el enlace. Este método de penetración en un sistema puede permitir que el malware eluda los filtros antivirus del servidor de correo.
Las redes P2P también se utilizan para distribuir malware. Los ataque de este tipo se dan cuando un gusano o un virus troyano aparece en la red P2P, pero tiene un nombre destinado a captar la atención y convencer a los usuarios de que descarguen y abran el archivo, por ejemplo: Por ejemplo:
En algunos casos, los creadores y distribuidores de malware se esfuerzan por reducir las probabilidades de que las víctimas denuncien una infección:
Las víctimas pueden responder a una oferta falsa de una utilidad gratuita o una guía que promete beneficios ilegales como:
En estos casos, cuando la descarga resulta ser un virus troyano, la víctima no querrá revelar sus propias intenciones ilegales. De ahí que es probable que no denuncie la infección a ninguna fuerza de seguridad.
Otro ejemplo de esta técnica fue el virus troyano que se enviaba a direcciones de correo electrónico tomadas de un sitio web de búsqueda de empleo. Las personas que se habían registrado en el sitio recibieron ofertas de trabajo falsas, que además incluían un virus troyano. El ataque se centró en direcciones de correo electrónico corporativas. Los cibercriminales sabían que el personal que recibiera el troyano no iba a querer decir a sus empleadores que se habían infectado mientras buscaban otro empleo.
Defenderse de la ingeniería social requiere que sepa observarse a sí mismo. Siempre haga una pausa y piense antes de hacer cualquier cosa o responder.
Los atacantes esperan que reaccione antes de considerar los riesgos, lo que significa que debe hacer lo contrario. Para ayudarlo, aquí hay algunas preguntas que debe hacerse si sospecha de un ataque:
Aparte de detectar un ataque, también puede ser proactivo con respecto a su privacidad y seguridad. Saber cómo prevenir los ataques de ingeniería social es de suma importancia para todos los usuarios de dispositivos móviles y computadoras.
A continuación, le sugerimos algunas formas importantes de protegerse contra todo tipo de ciberataques:
La comunicación en Internet es donde es especialmente vulnerable. Las redes sociales, el correo electrónico y los mensajes de texto son objetivos comunes, pero también hay tener en cuenta las interacciones en persona.
Nunca haga clic en los enlaces de ningún correo electrónico o mensaje. Escriba siempre usted mismo las URL en su barra de direcciones, sin importar quién sea el remitente. Además, realice una investigación adicional para encontrar una versión oficial de la URL en cuestión. Nunca interactúe con ninguna URL que no haya verificado como oficial o legítima.
Use la autenticación multifactor: Las cuentas en línea son mucho más seguras cuando se usa algo más que una contraseña para protegerlas. La autenticación multifactor agrega capas adicionales para verificar su identidad al iniciar sesión en la cuenta. Estos "factores" pueden incluir datos biométricos como el reconocimiento de huellas dactilares o de rostro, o códigos de acceso temporales enviados en mensajes de texto.
Cree contraseñas seguras y utilice un administrador de contraseñas Cada una de sus contraseñas debe ser diferente y compleja. Trate de usar diversos tipos de caracteres, entre ellos mayúsculas, números y símbolos. Además, es probable que desee optar por contraseñas más largas cuando sea posible. Para ayudarlo a administrar todas sus contraseñas personalizadas, es posible que desee usar un administrador de contraseñas para almacenarlas y recordarlas de manera segura.
No comparta ni publique los nombres de sus escuelas, mascotas, lugar de nacimiento u otros datos personales. Sin saberlo, podría estar publicando respuestas a sus preguntas de seguridad o partes de su contraseña. Si configura sus preguntas de seguridad para que sean fáciles de recordar pero inexactas, le resultará más difícil a un delincuente descifrar su cuenta. Si su primer automóvil fue un "Toyota", escribir una mentira como "coche de payasos" en su lugar podría dejar fuera de combate por completo de cualquier pirata informático entrometido.
Tenga mucho cuidado al hacer amistades solo en línea. Si bien Internet puede ser una excelente manera de conectarse con personas en todo el mundo, es un medio común para los ataques de ingeniería social. Esté atento a las señales y las señales de alerta que indiquen manipulación o un claro abuso de confianza.
Las redes en línea comprometidas pueden ser otro punto de vulnerabilidad que se explote para saber más sobre su vida y antecedentes. Para impedir que se usen sus datos en su contra, tome medidas de protección para cualquier red a la que se conecte.
Nunca permita que extraños se conecten a su red Wi-Fi principal. En casa o en el lugar de trabajo, debe organizar a una conexión Wi-Fi para invitados. Esto permite que su conexión principal cifrada y protegida con contraseña permanezca segura y sin intercepciones. Si alguien decide "escuchar a escondidas" la información, no podrá acceder a la actividad que usted y otras personas deseen mantener en privado.
Use una VPN. En caso de que alguien en su red principal (por cable, inalámbrica o incluso celular) encuentre una manera de interceptar el tráfico, una red privada virtual (VPN) puede mantenerlos fuera. Las VPN son servicios que le brindan un "túnel" privado y cifrado en cualquier conexión a Internet que utilice. Su conexión no solo está protegida contra los curiosos, sino que sus datos se anonimizan, así que no se los puede usar para rastrearlo través de cookies u otros medios.
Mantenga seguros todos los dispositivos y servicios conectados a la red. Muchas personas conocen las prácticas de seguridad en Internet para dispositivos informáticos móviles y tradicionales. Sin embargo, proteger su red, además de todos sus dispositivos inteligentes y servicios en la nube, es igual de importante. Asegúrese de proteger los dispositivos que se suelen pasar por alto, como los sistemas de información y entretenimiento para automóviles y los enrutadores de redes domésticas. Las violaciones de datos en estos dispositivos podrían impulsar la personalización de una estafa de ingeniería social.
Mantener sus dispositivos protegidos es tan importante como todos sus otros comportamientos digitales. Proteja su teléfono móvil, tableta y otros dispositivos informáticos con los siguientes consejos:
Utilice un software de seguridad de Internet completo. Cuando las tácticas sociales tienen éxito, resultan en infecciones de malware. Para combatir los rootkits, troyanos y otros bots, es fundamental implementar una solución de seguridad para Internet de alta calidad que sea capaz de eliminar infecciones y rastrear su origen.
Nunca deje sus dispositivos sin protección en público. Siempre bloquee su computadora y dispositivos móviles, sobre todo en el trabajo. Cuando utilice sus dispositivos en espacios públicos como aeropuertos y cafeterías, téngalos siempre en su poder.
Mantenga todo su software actualizado al máximo. Las actualizaciones inmediatas brindan a su software correcciones de seguridad esenciales. Cuando omite o deja para después las actualizaciones de su sistema operativo o aplicaciones, está dejando expuestos los agujeros de seguridad conocidos a los piratas informáticos. Dado que saben que así se comportan muchos usuarios de computadoras y dispositivos móviles, usted se convierte en el objetivo principal de los ataques de malware de ingeniería social.
Verifique las filtraciones de datos conocidas en sus cuentas en línea. Servicios como Kaspersky Premium monitorean activamente las brechas de datos nuevas y existentes que puedan afectar a sus direcciones de correo electrónico. Si sus cuentas aparecen en los datos comprometidos, recibirá una notificación junto con consejos sobre cómo tomar medidas.
La protección contra la ingeniería social comienza con la educación. Si todos los usuarios son conscientes de las amenazas, nuestra seguridad como sociedad colectiva mejorará. Asegúrese de aumentar la conciencia sobre estos riesgos compartiendo lo que ha aprendido con sus compañeros de trabajo, familiares y amigos.
Artículos relacionados: