InicioAl díaProtege tu información: ¿qué son los ataques de ingeniería social?

Protege tu información: ¿qué son los ataques de ingeniería social?

Hace muchos años, se creía que la mayoría de los ataques informáticos eran causados por avanzados programas de virus o malware, que traspasaban cualquier sistema de seguridad que tuviéramos instalado en nuestros equipos. Hoy sabemos que esto no es del todo cierto, ya que una gran cantidad de ataques contra usuarios y compañías están basados en la ingeniería social que va en aumento, y es esencial que conozcamos su significado y saber cómo prevenirlos y evitar así ser víctimas.

El punto débil de una estrategia de ciberseguridad siempre es el ser humano, y la ingeniería social se aprovecha de la incapacidad del usuario para detectar un ataque. Y es que, a medida que las defensas se hacen más robustas, los ciberdelincuentes utilizan cada vez más técnicas de ingeniería social para explotar el eslabón más débil de la cadena de seguridad: las personas.

Publicidad

Y es que, los ingenieros sociales se centran en los seres humanos, más que en la tecnología, para reunir información útil y romper las barreras de protección.

El resultado final es el mismo: la manipulación psicológica que lleva a entregar información sensible.

La ingeniería social es el término utilizado para un gran abanico de actividades maliciosas realizadas a través de las interacciones humanas, utiliza la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o faciliten información confidencial. En pocas palabras, es el arte de manipular en su más pura esencia a las personas para que nos den lo que queremos.

Los ataques de ingeniería social se producen en uno o varios pasos. En primer lugar, el agresor investiga a la víctima para recopilar la información de necesaria, como por dónde comunicarse con esta y los protocolos que debe llevar a cabo el ataque.

A continuación, el atacante actúa para ganarse la confianza de la víctima y proporcionar las palabras adecuadas para romper la seguridad, como revelar información sensible o conceder acceso a determinado sitios.

Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa en el error humano, más que en las vulnerabilidades del software o aplicaciones.

Por ejemplo, un atacante podría llamar a un usuario objetivo y fingir ser un miembro del personal de soporte de IT para engañar al usuario para que de su contraseña.

El término ingeniería social fue utilizado por primera vez en 1894 por el industrial holandés JC Van Marken, pero es un método de ciberataque desde los años 90.

En los años 90, la ingeniería social consistía en llamar a los objetivos para engañarlos y que dieran sus credenciales o proporcionaran el número de teléfono fijo de una empresa.

Algunas estadísticas sobre la ingeniería social muestran que:

  • Es responsable del 98 % de los ataques
  • En 2020, el 75 % de las empresas declararon haber sido víctimas de phishing
  • El incidente cibernético más común en 2021 fue el phishing
  • El coste medio tras una violación de datos es de $150 dólares por registro
  • Más del 70% de las violaciones de datos comienzan con phishing o ingeniería social
  • Google registró más de 2 millones de sitios web de phishing en 2021
  • Aproximadamente el 43% de los correos electrónicos falsos suplantan a grandes organizaciones como Microsoft
  • El 60% de las empresas informan de la pérdida de datos tras un ataque de phishing con éxito, y el 18% de los usuarios a los que se dirige son víctimas del phishing
  • Como la ingeniería social tiene tanto éxito, los ataques basados en el phishing y el robo de identidad han aumentado un 500% en los últimos años. Según la Oficina Federal de Investigaciones, la ingeniería social cuesta a las organizaciones 1,600 millones de dólares en todo el mundo. Las organizaciones pagan una media de casi 12 millones de dólares anuales por delitos de ciberseguridad.

Un componente importante del coste es el tiempo que tardan las organizaciones en detectar una violación de datos, que es una media de 146 días.

Si un delincuente consigue hackear o aplicar ingeniería social a la contraseña del correo electrónico de una persona, tendrá acceso a la lista de contactos de esa persona, y como la mayoría de la gente utiliza una sola contraseña en todas partes, probablemente también tenga acceso a los contactos de las redes sociales de esa persona.

Una vez que este tiene la cuenta de correo electrónico bajo su control, envía correos electrónicos a todos los contactos de la persona o deja mensajes en todas las redes sociales.

¿Cómo puedes caer en esto? pues parece que bastante fácil ya que el correo proviene de alguien conocido. Y es que, estos falsos correos pueden contener un enlace al que haces clic porque confías y tu dispositivo se infectará con malware, tomando este el control y recopilando la información de tus contactos y engañarlos igual que te engañaron a ti.

Lo mismo ocurre si ves que te llega un pdf, por ejemplo, de alguien que conoces. Harás clic y las puertas se abrirán para el hacker.

Escenarios de cebo
Estos esquemas de ingeniería social saben que si se cuelga algo que la gente quiere, mucha gente morderá el anzuelo. Estos se encuentran a menudo en sitios Peer-to-Peer que ofrecen una descarga de algo como una nueva película o música. Pero también se encuentran en las redes sociales o en sitios web maliciosos que se encuentran en los resultados de las búsquedas.

Respuesta a una pregunta que nunca tuviste
Los delincuentes pueden fingir que responden a tu «solicitud de ayuda». Eligen empresas que utilizan millones de personas, como una empresa de software o un banco.

Crear desconfianza
Algunos tipos de ingeniería social consisten en crear desconfianza o iniciar conflictos. Estos quieren crear desconfianza en tu mente sobre alguien o algo para luego intervenir como héroes y ganarse tu confianza. Incluso pueden llegar a ser extorsionistas que quieren manipular información y luego amenazarte con revelarla.

Esta forma de ingeniería social suele comenzar con el objetivo de obtener acceso a una cuenta de correo electrónico, red social, chat, foro, etc. Lo consiguen mediante el pirateo, la ingeniería social o simplemente adivinando contraseñas muy débiles.

Consejos para evitar convertirte en una víctima

Los ingenieros sociales manipulan los sentimientos humanos, como la curiosidad o el miedo, para llevar a cabo sus planes y hacer caer a las víctimas en sus trampas. Por lo tanto, ten en cuenta los siguientes consejos:

No abras correos electrónicos ni archivos adjuntos de fuentes sospechosas: si no conoces al remitente en cuestión, no tienes por qué responder a un correo electrónico. Incluso si lo conoces y sospechas de su mensaje, coteja y confírmalo.

Las ofertas extranjeras son falsas: si recibes un correo electrónico de una lotería o sorteo extranjero, dinero de un familiar desconocido o solicitudes de transferencia de fondos de un país extranjero para obtener una parte del dinero, está garantizado que se trata de una estafa.

Desconfía de las ofertas tentadoras: si una oferta suena demasiado suculenta, piénsalo dos veces antes de aceptarla. Buscar en Google el tema puede ayudarte a determinar rápidamente si se trata de una oferta legítima o de una trampa.

Utiliza la autenticación multifactor (MFA): una de las informaciones más valiosas que buscan los atacantes son las credenciales de los usuarios. El uso de la autenticación multifactor ayuda a garantizar la protección de tu cuenta en caso de que el sistema se vea comprometido, ya que necesitará algo más que solo tener tu contraseña.

Mantén actualizado tu software antivirus: asegúrate de que las actualizaciones automáticas están activadas, o acostúmbrate a estar pendiente de ellas. Comprueba periódicamente que se han aplicado las actualizaciones y analiza tu sistema en busca de posibles infecciones.

Elimina cualquier solicitud de información bancaria o de contraseñas: si te piden que respondas a un mensaje con información personal, es una estafa.

Rechaza las peticiones u ofertas de ayuda: las empresas y organizaciones reales no se ponen en contacto contigo para ofrecerte ayuda. Si no has solicitado específicamente ayuda al remitente, considere una estafa cualquier oferta de «ayuda».

Con todo esto, no importa cuántas cerraduras y cerrojos haya en tus puertas y ventanas, o si tienes sistemas de alarma, si confías en la persona de la puerta que dice ser el repartidor de Amazon y le dejas entrar sin comprobar primero si es cierto, estás completamente expuesto a cualquier riesgo.

ARTÍCULOS RELACIONADOS

TEMAS MUY INTERESANTES