¿Qué es la ingeniería social?

Hablamos mucho acerca de las vulnerabilidades de software, y las versiones humanas de ellas son nuestras...

Image

Hablamos mucho acerca de las vulnerabilidades de software, y las versiones humanas de ellas son nuestras emociones. Cuando las personas deben enfrentar situaciones aterradoras, la primera reacción es actuar y, luego, pensar. La ingeniería social se basa en esta “vulnerabilidad” para que los ataques sean exitosos.

Tipos de ataques de ingeniería social

La ingeniería social es una de las formas en las que los cibercriminales usan las interacciones entre personas para que el usuario comparta información confidencial. Ya que la ingeniería social se basa en la naturaleza humana y las reacciones humanas, hay muchas formas en que los atacantes pueden engañar, en línea o sin conexión.

Carnada

Los humanos somos curiosos, lo cual es fundamental en estas situaciones. El cibercriminal puede dejar un dispositivo, como una memoria USB, infectado con software malicioso a la vista en un espacio público. Alguien recogerá ese dispositivo y lo conectará a su equipo para ver qué contiene. En ese momento, el software malicioso se introducirá en el equipo.

Phishing

Es el truco más antiguo entre cibercriminales y sigue siendo uno de los más exitosos. Intentan usar una variedad de métodos para engañar a las personas y obtener su información. Las tácticas que se basan en el miedo son las más populares entre los criminales, dado que presentan una situación en la que se debe actuar de inmediato y, normalmente, involucran una cuenta bancaria u otra cuenta en línea. Esta táctica depende de que los usuarios tomen decisiones basadas en el miedo y en cómo se sienten, en lugar de pensar por un momento en la situación. Otras versiones de correos electrónicos simulan provenir de una figura de autoridad, como alguien de mayor jerarquía en la empresa que solicita su nombre de usuario y contraseña para poder acceder a un sistema. Las personas suelen cumplir con lo solicitado si proviene de un compañero de trabajo, en particular si tiene mayor jerarquía administrativa. Otra táctica popular usada para el phishing es transmitir una sensación de urgencia. Seguramente ha visto correos electrónicos que anuncian productos con grandes descuentos pero con una cantidad limitada. Parece una gran oferta y proporciona al usuario la sensación de que debe actuar inmediatamente; por lo tanto, las decisiones se toman de forma impulsiva.

Hacking de correo electrónico y envío de spam a contactos

Prestarle atención a lo que recibimos de personas conocidas es una reacción natural. Si mi hermana me envía un correo electrónico con el asunto "Mira este sitio que encontré, es increíble”, lo abriré sin pensarlo dos veces. Es por eso que los cibercriminales buscan las direcciones de correo electrónico y las contraseñas. Una vez que obtienen esas credenciales, pueden apoderarse de la cuenta y enviar spam a todos los contactos de la libreta de direcciones del usuario. El objetivo principal es difundir software malicioso, engañar a las personas para obtener sus datos personales y más.

Pretexto

Un pretexto es una historia elaborada que inventa el cibercriminal a fin de crear una situación en la cual atrapar a sus víctimas. A veces, es una historia trágica de una persona varada en el exterior o de un príncipe de un país desconocido cuyo padre acaba de fallecer y que necesita 500 USD para asumir el trono. Estos tipos de situaciones apelan a la tendencia de las personas a ayudar a quienes lo necesitan. Los pretextos normalmente se usan en combinación con varios de los otros métodos, debido a que la mayoría de las situaciones requieren alguna historia para atraer la atención del objetivo o a que el atacante se hace pasar por otra persona en una llamada telefónica.

Quid Pro Quo

Una cosa por otra. En este tipo de estafa se tienta a los usuarios con ganar algo, como premios o descuentos en productos costosos, pero solo una vez que hayan completado un formulario en el cual se solicita una gran cantidad de información personal. Todos los datos recopilados se usan para el robo de identidad.

Spear phishing

El spear phishing está relacionado con el phishing, aunque es un poco más complejo. Es una campaña dirigida a empleados de una empresa en particular a la cual los cibercriminales desean robarle datos. El criminal elige un objetivo en la organización y realiza una investigación en línea sobre él, durante la cual recopila información personal y sobre sus intereses a partir de las búsquedas que realiza en Internet y de sus perfiles de redes sociales. Una vez que el criminal conoce al objetivo, comienza a enviarle correos electrónicos que le resulten relevantes y personales para persuadirlo de que haga clic en un vínculo malicioso que alberga software malicioso o de que descargue un archivo malicioso. Todos comprobamos nuestros correos electrónicos personales y nuestros perfiles de redes sociales mientras estamos conectados a la red de la empresa, y los cibercriminales dependen de ello. Una vez que el usuario ha caído en el engaño, el software malicioso se instala en el equipo de la red, lo cual permite que se propague fácilmente a otros equipos dentro de la red de la empresa.

Vishing

De todos estos métodos, el vishing es el que involucra mayor interacción humana. El criminal llama al empleado de una empresa y se hace pasar por una persona de confianza o por un representante de su banco o de otra empresa con la cual tiene negocios. Luego, intenta obtener información del objetivo haciéndose pasar por un compañero que perdió su contraseña (y le pide al empleado la suya) o haciéndole una serie de preguntas para verificar su identidad.

La ingeniería social puede realizarse de dos formas: con un solo ataque, como un correo electrónico de phishing; o de forma más compleja, normalmente dirigida a instituciones. Estos dos métodos se conocen como hunting y farming.

Hunting

El hunting es la versión corta de estos ataques. Normalmente, los cibercriminales usan el phishing, la carnada y el hacking de correo electrónico con el propósito de extraer tantos datos como pueda de la víctima con la menor interacción posible.

Farming

Es una estafa de larga duración, en la cual los cibercriminales buscan establecer una relación con el objetivo. Normalmente, observan los perfiles de redes sociales del objetivo e intentan construir una relación con él basada en la información que recopilan durante la investigación. Este tipo de ataque también depende del pretexto, ya que el atacante intenta engañar a la víctima por tanto tiempo como puede para obtener todos los datos que sean posibles.

La ingeniería social está en todos lados, en línea y sin conexión. El gran éxito que tiene se debe al único componente involucrado en el que no se puede instalar software de seguridad: el ser humano. La mejor defensa contra estos tipos de ataques es informarse y conocer las señales de alerta.

Ayuda a proteger tu vida digital en tus dispositivos.

¿Temes perder información personal o el valioso contenido que hay en tu computadora? Norton Security Plus te brinda una protección completa en todos tus dispositivos: hasta 5 equipos con Windows, Macs, smartphones o tablets.

Crea una cuenta hoy mismo y pruébalo gratis por 30 días en hasta cinco dispositivos.

logotipo de Norton
  • Norton
Norton empodera a las personas y familias de todo el mundo para que se sientan más seguras en sus vidas digitales

Nota editorial: Nuestros artículos le brindan información educativa. Es posible que nuestras ofertas no cubran ni protejan contra todos los tipos de delitos, fraudes o amenazas sobre los que escribimos. Nuestro objetivo es aumentar la conciencia sobre la seguridad cibernética. Revise los Términos completos durante la inscripción o la configuración. Recuerde que nadie puede prevenir todos los robos de identidad o delitos cibernéticos, y que LifeLock no supervisa todas las transacciones en todas las empresas. Las marcas Norton y LifeLock son parte de Gen Digital Inc.

Contents

    ¿Desea obtener más información?

    Síganos para conocer los últimos consejos, novedades y actualizaciones.