Skip to main

Definición de ingeniería social

La ingeniería social es una técnica de manipulación que aprovecha el error humano para obtener información privada, acceso a sistemas u objetos de valor. En el caso del delito cibernético, estas estafas de "hackeo de humanos" tienden a hacer que los usuarios desprevenidos expongan datos, propaguen infecciones de malware o den acceso a sistemas restringidos. Los ataques pueden ocurrir en línea, en persona y a través de otras interacciones.

Las estafas basadas en la ingeniería social se basan en cómo las personas piensan y actúan. Como tal, los ataques de ingeniería social son muy útiles para manipular el comportamiento de un usuario. Una vez que un atacante comprende qué motiva las acciones de un usuario, puede engañar y manipular al usuario de manera efectiva.

Además, los piratas informáticos intentan explotar la falta de conocimiento de un usuario. Gracias a la velocidad de la tecnología, muchos consumidores y empleados no son conscientes de ciertas amenazas, como las descargas no autorizadas (drive-in). Es posible que los usuarios no se den cuenta del valor real de sus datos personales, como el número de teléfono. Como resultado, muchos usuarios no están seguros de cómo protegerse mejor a sí mismos y a su información.

Por lo general, los atacantes que usan la ingeniería social tienen dos objetivos:

  1. Sabotaje: alterar o corromper los datos para causar daños o molestias.
  2. Robo: obtener objetos de valor como información, acceso a sistemas o dinero.

Esta definición de ingeniería social se puede ampliar aún cuando se sabe exactamente cómo funciona.

banner kaspersky premium

¿Cómo funciona la ingeniería social?

La mayoría de los ataques de ingeniería social se basan en la comunicación real entre atacantes y víctimas. El atacante tiende a motivar al usuario a comprometerse a sí mismo, en lugar de usar métodos de fuerza bruta para violar sus datos.

El ciclo del ataque les da a estos criminales un proceso confiable para engañarlo. El ciclo de ataque de ingeniería social suele usar los siguientes pasos:

  1. Prepararse, recopilar información básica sobre usted o un grupo más grande del que forme parte.
  2. Infiltrarse, establecer una relación o iniciar una interacción, comenzar a generar confianza.
  3. Explotar a la víctima una vez que se haya establecido la confianza y se conozca la debilidad para avanzar en el ataque.
  4. Desentenderse una vez que el usuario haya realizado la acción deseada.

Este proceso puede realizarse en un solo correo electrónico o durante meses en una serie de chats en las redes sociales. Incluso podría ser una interacción en persona. Pero concluye con una acción que el usuario realiza, como compartir su información o exponerse a malware.

Es importante saber que la ingeniería social también es un medio para crear confusión. Muchos empleados y consumidores no se dan cuenta de que bastan pocos datos para dar acceso a los piratas informáticos a varias redes y cuentas.

Al hacerse pasar por usuarios legítimos ante el personal de soporte de TI, obtienen sus datos privados, como nombre, fecha de nacimiento o dirección. Después de lograrlo, les resulta fácil cambiar las contraseñas y obtener acceso prácticamente ilimitado. Pueden robar dinero, dispersar malware de ingeniería social, etc.

Rasgos de los ataques de ingeniería social

Los ataques de ingeniería social se centran en que el atacante persuade a la víctima y se gana su confianza. Cuando uno se expone a estas tácticas, es muy probable que realice acciones que de otro modo no haría.

Entre la mayoría de los ataques, tratarán de engañarlo con los siguientes comportamientos:

Intensificación de las emociones: la manipulación emocional les da a los atacantes la ventaja en cualquier interacción. Es mucho más probable que realice acciones irracionales o arriesgadas cuando se encuentra en un buen estado emocional. Las siguientes emociones se utilizan en igual medida para convencerlo.

  • Miedo
  • Entusiasmo
  • Curiosidad
  • Ira
  • Culpa
  • Tristeza

Urgencia: las oportunidades o solicitudes urgentes son otra herramienta confiable en el arsenal de un atacante. Es posible que se sienta motivado a comprometerse ante aparentes problemas graves que necesita atención inmediata. También le pueden decir que hay un premio o recompensa que puede desaparecer si no actúa ya mismo. Cualquiera de los dos enfoques anula su capacidad de pensamiento crítico.

Confianza: la credibilidad es invaluable y esencial para un ataque de ingeniería social. Dado que el atacante en última instancia le está mintiendo, la confianza juega un papel importante aquí. Ha investigado lo suficiente sobre usted como para crear una historia fácil de creer y que no despierte sospechas.

Hay algunas excepciones a estos rasgos. En algunos casos, los atacantes utilizan métodos más simples de ingeniería social para acceder a una red o computadora. Por ejemplo, un hacker puede frecuentar el comedor público de un gran edificio de oficinas, buscar usuarios que estén trabajando en sus tablets o computadoras portátiles y mirar los dispositivos por encima de su hombro. Con esta táctica pueden conseguir una gran cantidad de contraseñas y nombres de usuario, todo sin necesidad de ni enviar un solo correo electrónico de ni escribir una línea de código de virus.

Ahora que comprende el concepto subyacente, probablemente se esté preguntando "¿qué es un ataque de ingeniería social y cómo puedo detectarlo?"

Tipos de ataques de ingeniería social

https://latam.kaspersky.com/content/es-mx/images/repository/isc/2017-images/malware-img-38.jpg

Casi todos los tipos de ataques conllevan algún tipo de ingeniería social. Por ejemplo, las estafas clásicas de correo electrónico y virus están cargadas de connotaciones sociales.

La ingeniería social puede afectarlo digitalmente a través de ataques mediante dispositivos móviles, además de los de dispositivos de escritorio. Sin embargo, también puede que lo amenacen en persona. Estos ataques pueden superponerse y usarse al mismo tiempo para crear una estafa.

A continuación, se muestran algunos métodos comunes utilizados por los atacantes de ingeniería social:

Ataques de phishing

Los atacantes que usan el phishing se hacen pasar por una institución o un individuo de confianza en un intento de persuadirlo de que exponga datos personales y otros objetos de valor.

Los ataques que utilizan suplantación de identidad (phishing) se llevan a cabo de dos maneras:

  1. El spam de phishing, o phishing masivo, es un ataque generalizado dirigido a muchos usuarios. Estos ataques no son personalizados e intentan atrapar a cualquier persona desprevenida.
  2. El spear phishing y, por extensión, la caza de ballenas (whaling) , utilizan información personalizada para dirigirse a usuarios particulares. Los ataques de caza de ballenas apuntan a objetivos de alto valor como celebridades, altos directivos y altos funcionarios del gobierno.

Ya sea que se trate de una comunicación directa o a través de un formulario de sitio web falso, cualquier cosa que comparta va directamente al bolsillo del estafador. Incluso puede que con engaños lo induzcan a descargar un malware que contiene la siguiente etapa del ataque de phishing. Cada uno de los métodos utilizados en el phishing tiene modos de distribución únicos, que incluyen, entre otros:

Phishing (vishing) por voz, mediante llamadas telefónicas que pueden ser sistemas de mensajes automatizados que registran todo lo que usted diga. A veces, una persona real puede hablar con usted para aumentar la confianza y el sentido de urgencia.

Los mensajes de texto de phishing (smishing) o los mensajes de aplicaciones móviles pueden incluir un enlace web o un mensaje de seguimiento a través de un correo electrónico o un número de teléfono fraudulentos.

El phishing por correo electrónico es el medio más tradicional de phishing, ya que utiliza un correo electrónico que le insta a responder o hacer un seguimiento por otros medios. Se pueden usar vínculos web, números de teléfono o archivos adjuntos de malware.

El phishing de Angler se lleva a cabo en las redes sociales, donde un atacante finge ser del equipo de servicio al cliente de una empresa de confianza. Interceptan sus comunicaciones con una empresa para secuestrar y desviar su conversación a mensajes privados, donde luego hacen avanzar el ataque.

El phishing en buscadores intenta colocar enlaces a sitios web falsos en la parte superior de los resultados de búsqueda. Estos pueden ser anuncios pagados o usar métodos de optimización legítimos para manipular las clasificaciones de búsqueda.

Los enlaces de phishing URL lo tientan a visitar sitios web de phishing. Estos vínculos se suelen enviar en correos electrónicos, mensajes de texto, mensajes de redes sociales y anuncios en línea. Los ataques ocultan vínculos en texto o botones con hipervínculos, utilizando acortadores de vínculos o URL con erratas intencionales.

El phishing durante la sesión aparece como una interrupción de su navegación web normal. Por ejemplo, es posible que vea ventanas emergentes de inicio de sesión falsas para las páginas que está visitando.

Ataques de cebo

Los ataques de cebo abusa de su curiosidad natural para convencerlo de que se exponga a un atacante. Por lo general, el potencial de recibir algo gratis o exclusivo es la manipulación utilizada para explotarlo. El ataque por lo general implica termina infectándolo con malware.

Los métodos populares de ataques de cebo pueden incluir:

  • Unidades USB dejadas en espacios públicos, como bibliotecas y estacionamientos.
  • Archivos adjuntos de correo electrónico que incluyen detalles sobre una oferta gratuita o software gratuito fraudulento.

Ataques de acceso físico

Los ataques de acceso físico involucran a los atacantes que se presentan en persona, haciéndose pasar por alguien que tiene derecho de acceso a áreas o información restringidas.

Los ataques de esta naturaleza son más comunes en entornos empresariales, como gobiernos, empresas u otras organizaciones. Los atacantes pueden hacerse pasar por un representante de un proveedor conocido y de confianza para la empresa. Algunos atacantes pueden incluso ser empleados despedidos hace poco que quieren vengarse de su antiguo empleador.

Hacen que su identidad sea incierta pero lo suficientemente creíble como para evitar que le hagan preguntas. Esto requiere un poco de investigación por parte del atacante e implica un alto riesgo. Por lo tanto, si alguien está intentando este método, significa que ha identificado que puede recibir una recompensa muy valiosa si tiene éxito.

Ataques que usan pretextos

Los ataques que usan pretextos echan mano de una identidad engañosa como "pretexto" para ganarse la confianza. Por ejmplo, pueden hacerse pasar por un proveedor o un empleado de la compañía. Este enfoque requiere que el atacante interactúe con usted de manera más proactiva. Una vez que lo han convencido de que son legítimos, lanzan el ataque.

Ataques de "acceso a cuestas"

Tailgating , o "llevar a cuestas", es el acto de seguir a un miembro del personal autorizado a un área de acceso restringido. Los atacantes pueden apelar a la cortesía social para que usted les abra la puerta o convencerlo de que también están autorizados a estar en el área. Los pretextos también pueden jugar un papel.

Ataques de reciprocidad

Quid pro quo es un término que puede interpretarse como "un favor por un favor", que en el contexto del phishing significa un intercambio de su información personal por alguna recompensa u otra compensación. Los obsequios u ofertas para participar en estudios de investigación pueden exponerlo a este tipo de ataque.

El exploit proviene de entusiasmarlo por algo valioso que viene con una baja inversión de su parte. Pero en realidad el atacante toma sus datos y no le da recompensa alguna.

Ataques de suplantación de DNS y de envenenamiento de caché DNS

La suplantación de DNS manipula su navegador y servidores web para que vayan a sitios web maliciosos cuando ingresa una URL legítima. Una vez infectado con este exploit, el redireccionamiento continuará a menos que los datos de enrutamiento inexactos se eliminen de los sistemas involucrados.

Los ataques de envenenamiento de la caché de DNS infectan su dispositivo con instrucciones de enrutamiento para que la URL legítima o varias URL se conecten a sitios web fraudulentos.

Ataques de scareware o intimidación

Scareware es una forma de malware que se utiliza para asustarlo y hacer que realice una acción. Este malware engañoso utiliza advertencias alarmantes sobre infecciones de malware falsas o afirman que una de sus cuentas se ha visto comprometida.

Como resultado, el scareware lo induce a comprar software de ciberseguridad fraudulento o divulgar detalles privados como las credenciales de su cuenta.

Ataques al abrevadero

Los ataques de abrevadero infectan páginas web populares con malware para afectar a muchos usuarios a la vez. Requiere una planificación cuidadosa por parte del atacante para encontrar debilidades en sitios específicos. Buscan vulnerabilidades existentes que no se conocen y no están reparadas; tales debilidades se consideran exploits de día cero.

Otras veces, pueden encontrar que un sitio no ha actualizado su infraestructura para reparar problemas conocidos. Los propietarios de sitios web pueden optar por retrasar las actualizaciones de software para mantener las versiones de software que saben que son estables. Publicarán la actualización una vez que la versión más nueva tenga un historial probado de estabilidad del sistema. Los piratas informáticos abusan de este comportamiento para atacar vulnerabilidades recientemente parcheadas.

Métodos de ingeniería social inusuales

En algunos casos, los cibercriminales han usado métodos complejos para llevar a cabo los ciberataques, por ejemplo:

  • Phishing por fax: Los clientes de un banco recibieron un correo electrónico falso que aseguraba provenir del banco y que pedía al cliente que confirmara sus códigos de acceso, pero el método de confirmación no era a través de las rutas usuales de correo electrónico o Internet. Más bien se pedía a los clientes que imprimieran el formulario del correo electrónico, que lo rellenaran con sus datos y que lo enviaran por fax al número de teléfono del ciberdelincuente.
  • Distribución por correo tradicional:En Japón, unos cibercriminales usaron un servicio de entrega a domicilio para distribuir CD infectados con spyware troyano. Los discos se entregaron a los clientes de un banco japonés. Las direcciones de los clientes habían sido robadas de la base de datos del banco.

Ejemplos de ataques de ingeniería social

https://latam.kaspersky.com/content/es-mx/images/repository/isc/2017-images/malware-img-05.jpg

Los ataques de malware merecen un enfoque especial, ya que son comunes y tienen efectos prolongados.

Cuando los creadores de malware utilizan técnicas de ingeniería social, pueden convencer a un usuario incauto de que abra archivos infectados o enlaces a sitios infectados y otros recursos. Numerosos gusanos para correo electrónico y otros tipos de malware usan estos métodos. Sin un paquete de software de seguridad completo para sus dispositivos móviles y de escritorio, es probable que se exponga a una infección.

Ataques con gusanos

El cibercriminal intenta atraer la atención del usuario al enlace o al archivo infectado y lo convence para que haga clic en él.

Ejemplos de este tipo de ataque:

  • El gusano LoveLetter sobrecargó los servidores de correo electrónico de muchas empresas en 2000. Las víctimas recibieron un correo electrónico que las invitaba a abrir una supuesta carta de amor adjunta. Cuando abrían el archivo adjunto, el gusano se copiaba a sí mismo en todos los contactos de la libreta de direcciones de la víctima. Este gusano todavía se considera uno de los más devastadores, por el daño financiero que infligió.
  • El gusano de correo electrónico Mydoom, que apareció en Internet en enero de 2004, utilizaba textos que fingían ser mensajes técnicos emitidos por el servidor de correo.
  • El gusano Swen se hacía pasar por un mensaje enviado desde Microsoft. Afirmaba que el adjunto era un parche que eliminaba vulnerabilidades de Windows. No es sorprendente que muchas personas se tomaran la afirmación en serio y trataran de instalar el "parche" falso, cuando en realidad era un gusano.

Canales de entrega de vínculos de software maliciosos

Los enlaces a sitios infectados se pueden enviar por correo electrónico, ICQ y otros sistemas de mensajería instantánea, o incluso a través de salas de chat de Internet IRC. Los virus móviles se envían a menudo mediante mensajes SMS.

Cualquiera sea el método de envío, el mensaje contendrá palabras llamativas o intrigantes que animen al usuario desprevenido a hacer clic en el enlace. Este método de penetración en un sistema puede permitir que el malware eluda los filtros antivirus del servidor de correo.

Ataques de red punto a punto (P2P)

Las redes P2P también se utilizan para distribuir malware. Los ataque de este tipo se dan cuando un gusano o un virus troyano aparece en la red P2P, pero tiene un nombre destinado a captar la atención y convencer a los usuarios de que descarguen y abran el archivo, por ejemplo: Por ejemplo:

  • Hackear contraseñas de AIM y AOL.exe
  • Microsoft CD Key Generator.exe
  • EstrellaDePorno3D.exe
  • Emulador de Play Station crack.exe

Avergonzar a los usuarios infectados para que no denuncien un ataque

En algunos casos, los creadores y distribuidores de malware se esfuerzan por reducir las probabilidades de que las víctimas denuncien una infección:

Las víctimas pueden responder a una oferta falsa de una utilidad gratuita o una guía que promete beneficios ilegales como:

  • Acceso gratuito a Internet o comunicaciones móviles.
  • La posibilidad de descargar un generador de números de tarjetas de crédito.
  • Un método para aumentar el saldo de la cuenta en línea de la víctima.

En estos casos, cuando la descarga resulta ser un virus troyano, la víctima no querrá revelar sus propias intenciones ilegales. De ahí que es probable que no denuncie la infección a ninguna fuerza de seguridad.

Otro ejemplo de esta técnica fue el virus troyano que se enviaba a direcciones de correo electrónico tomadas de un sitio web de búsqueda de empleo. Las personas que se habían registrado en el sitio recibieron ofertas de trabajo falsas, que además incluían un virus troyano. El ataque se centró en direcciones de correo electrónico corporativas. Los cibercriminales sabían que el personal que recibiera el troyano no iba a querer decir a sus empleadores que se habían infectado mientras buscaban otro empleo.

Cómo detectar las señales de ataques de ingeniería social

Defenderse de la ingeniería social requiere que sepa observarse a sí mismo. Siempre haga una pausa y piense antes de hacer cualquier cosa o responder.

Los atacantes esperan que reaccione antes de considerar los riesgos, lo que significa que debe hacer lo contrario. Para ayudarlo, aquí hay algunas preguntas que debe hacerse si sospecha de un ataque:

  • ¿Estoy sintiendo emociones fuertes? Cuando se siente demasiado curioso, temeroso o emocionado, es menos probable que evalúe las consecuencias de sus acciones. Es más, quizá ni se ponga a considerar la legitimidad de la situación ante la que se encuentra. Considere una señal de alerta si está experimentando emociones fuertes.
  • ¿Este mensaje proviene de un remitente legítimo? Inspeccione con mucho cuidado las direcciones de correo electrónico y los perfiles de redes sociales cuando reciba un mensaje sospechoso. Puede haber letras parecidas a otras, como "torn@example.com" en lugar de "tom@example.com". Los perfiles de redes sociales falsos que usan un duplicado de la imagen de su amigo y otros detalles también son comunes.
  • ¿Fue mi amigo quien me envió este mensaje? Siempre es bueno preguntarle al remitente si es el verdadero remitente del mensaje en cuestión. Ya sea que se trate de un compañero de trabajo o de otra persona en su vida, pregúntele en persona o si es posible, por teléfono. Es posible que hayan sido hackeados y no lo sepan, o que alguien esté suplantando sus cuentas.
  • ¿El sitio web en el que estoy tiene detalles extraños? Las irregularidades en la URL, la mala calidad de la imagen, los logotipos de la empresa antiguos o incorrectos y los errores tipográficos de la página web pueden ser señales de advertencia de que un sitio web es fraudulento. Si ingresa a un sitio web falsificado, asegúrese de salir de inmediato.
  • ¿Esta oferta suena demasiado buena para ser verdad? En el caso de obsequios u otros métodos de marketing, las ofertas son una fuerte motivación para impulsar un ataque de ingeniería social. Debe considerar por qué alguien le está ofreciendo algo de valor sin ganar mucho de su parte. Tenga cuidado en todo momento porque incluso los datos básicos como su dirección de correo electrónico pueden recopilarse y venderse a anunciantes indeseables.
  • ¿Archivos adjuntos o enlaces sospechosos? Si un vínculo o nombre de archivo parece vago o extraño en un mensaje, reconsidere la autenticidad de toda la comunicación. Además, considere si el mensaje se envió en un contexto o momento extraño o si genera alguna otra señal de alerta.
  • ¿Puede esta persona probar su identidad? Si no puede hacer que esta persona verifique su identidad con la organización a la que dicen pertenecer, no le permita el acceso que está solicitando. Esto se aplica tanto en persona como en línea, ya que las infracciones físicas requieren que se pase por alto la identidad del atacante.

Cómo prevenir los ataques de ingeniería social

Aparte de detectar un ataque, también puede ser proactivo con respecto a su privacidad y seguridad. Saber cómo prevenir los ataques de ingeniería social es de suma importancia para todos los usuarios de dispositivos móviles y computadoras.

A continuación, le sugerimos algunas formas importantes de protegerse contra todo tipo de ciberataques:

Hábitos de administración de cuentas y comunicación segura

La comunicación en Internet es donde es especialmente vulnerable. Las redes sociales, el correo electrónico y los mensajes de texto son objetivos comunes, pero también hay tener en cuenta las interacciones en persona.

Nunca haga clic en los enlaces de ningún correo electrónico o mensaje. Escriba siempre usted mismo las URL en su barra de direcciones, sin importar quién sea el remitente. Además, realice una investigación adicional para encontrar una versión oficial de la URL en cuestión. Nunca interactúe con ninguna URL que no haya verificado como oficial o legítima.

Use la autenticación multifactor: Las cuentas en línea son mucho más seguras cuando se usa algo más que una contraseña para protegerlas. La autenticación multifactor agrega capas adicionales para verificar su identidad al iniciar sesión en la cuenta. Estos "factores" pueden incluir datos biométricos como el reconocimiento de huellas dactilares o de rostro, o códigos de acceso temporales enviados en mensajes de texto.

Cree contraseñas seguras y utilice un administrador de contraseñas Cada una de sus contraseñas debe ser diferente y compleja. Trate de usar diversos tipos de caracteres, entre ellos mayúsculas, números y símbolos. Además, es probable que desee optar por contraseñas más largas cuando sea posible. Para ayudarlo a administrar todas sus contraseñas personalizadas, es posible que desee usar un administrador de contraseñas para almacenarlas y recordarlas de manera segura.

No comparta ni publique los nombres de sus escuelas, mascotas, lugar de nacimiento u otros datos personales. Sin saberlo, podría estar publicando respuestas a sus preguntas de seguridad o partes de su contraseña. Si configura sus preguntas de seguridad para que sean fáciles de recordar pero inexactas, le resultará más difícil a un delincuente descifrar su cuenta. Si su primer automóvil fue un "Toyota", escribir una mentira como "coche de payasos" en su lugar podría dejar fuera de combate por completo de cualquier pirata informático entrometido.

Tenga mucho cuidado al hacer amistades solo en línea. Si bien Internet puede ser una excelente manera de conectarse con personas en todo el mundo, es un medio común para los ataques de ingeniería social. Esté atento a las señales y las señales de alerta que indiquen manipulación o un claro abuso de confianza.

Hábitos de uso seguro de la red

Las redes en línea comprometidas pueden ser otro punto de vulnerabilidad que se explote para saber más sobre su vida y antecedentes. Para impedir que se usen sus datos en su contra, tome medidas de protección para cualquier red a la que se conecte.

Nunca permita que extraños se conecten a su red Wi-Fi principal. En casa o en el lugar de trabajo, debe organizar a una conexión Wi-Fi para invitados. Esto permite que su conexión principal cifrada y protegida con contraseña permanezca segura y sin intercepciones. Si alguien decide "escuchar a escondidas" la información, no podrá acceder a la actividad que usted y otras personas deseen mantener en privado.

Use una VPN. En caso de que alguien en su red principal (por cable, inalámbrica o incluso celular) encuentre una manera de interceptar el tráfico, una red privada virtual (VPN) puede mantenerlos fuera. Las VPN son servicios que le brindan un "túnel" privado y cifrado en cualquier conexión a Internet que utilice. Su conexión no solo está protegida contra los curiosos, sino que sus datos se anonimizan, así que no se los puede usar para rastrearlo través de cookies u otros medios.

Mantenga seguros todos los dispositivos y servicios conectados a la red. Muchas personas conocen las prácticas de seguridad en Internet para dispositivos informáticos móviles y tradicionales. Sin embargo, proteger su red, además de todos sus dispositivos inteligentes y servicios en la nube, es igual de importante. Asegúrese de proteger los dispositivos que se suelen pasar por alto, como los sistemas de información y entretenimiento para automóviles y los enrutadores de redes domésticas. Las violaciones de datos en estos dispositivos podrían impulsar la personalización de una estafa de ingeniería social.

Hábitos de uso seguro de dispositivos

Mantener sus dispositivos protegidos es tan importante como todos sus otros comportamientos digitales. Proteja su teléfono móvil, tableta y otros dispositivos informáticos con los siguientes consejos:

Utilice un software de seguridad de Internet completo. Cuando las tácticas sociales tienen éxito, resultan en infecciones de malware. Para combatir los rootkits, troyanos y otros bots, es fundamental implementar una solución de seguridad para Internet de alta calidad que sea capaz de eliminar infecciones y rastrear su origen.

Nunca deje sus dispositivos sin protección en público. Siempre bloquee su computadora y dispositivos móviles, sobre todo en el trabajo. Cuando utilice sus dispositivos en espacios públicos como aeropuertos y cafeterías, téngalos siempre en su poder.

Mantenga todo su software actualizado al máximo. Las actualizaciones inmediatas brindan a su software correcciones de seguridad esenciales. Cuando omite o deja para después las actualizaciones de su sistema operativo o aplicaciones, está dejando expuestos los agujeros de seguridad conocidos a los piratas informáticos. Dado que saben que así se comportan muchos usuarios de computadoras y dispositivos móviles, usted se convierte en el objetivo principal de los ataques de malware de ingeniería social.

Verifique las filtraciones de datos conocidas en sus cuentas en línea. Servicios como Kaspersky Premium monitorean activamente las brechas de datos nuevas y existentes que puedan afectar a sus direcciones de correo electrónico. Si sus cuentas aparecen en los datos comprometidos, recibirá una notificación junto con consejos sobre cómo tomar medidas.

La protección contra la ingeniería social comienza con la educación. Si todos los usuarios son conscientes de las amenazas, nuestra seguridad como sociedad colectiva mejorará. Asegúrese de aumentar la conciencia sobre estos riesgos compartiendo lo que ha aprendido con sus compañeros de trabajo, familiares y amigos.

Artículos relacionados:

¿Qué es la ingeniería social?

La ingeniería social es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados.
Kaspersky Logo