La ingeniería social es una técnica de manipulación que los ciberdelincuentes utilizan para obtener información confidencial de los usuarios. Si alguna vez has recibido una llamada telefónica o un correo electrónico inesperado de alguien que te pide información sobre tu número de cuenta, tu número de la seguridad social u otra información personal, es posible que hayas sido objeto de un ataque de ingeniería social.
Los atacantes que utilizan la ingeniería social no necesitan hackear las bases de datos o burlar las herramientas de ciberseguridad sino que convencen a los usuarios para que entreguen voluntariamente información privada haciéndose pasar por empresas de confianza u ofreciendo productos falsos. Estas estafas pueden tener múltiples objetivos, desde números de tarjetas de crédito e información de cuentas bancarias hasta archivos y dispositivos seguros.
La ingeniería social puede adoptar muchas formas y no siempre es fácil de detectar. Afortunadamente, hay diferentes estrategias que puedes utilizar para identificar las posibles estafas y protegerte de futuros ataques.
¿Cómo funciona la ingeniería social?
La ingeniería social consiste en manipular a las personas para que revelen información sensible o proporcionen acceso a un dispositivo o cuenta personal. Los hackers suelen hacerse pasar por alguien de confianza que se pone en contacto contigo para pedir información o instrucciones de acceso a una web o un archivo. Por ejemplo, un correo electrónico de una empresa que te pide descargar un archivo adjunto o una llamada del servicio técnico solicitando información.
Algunos de estos mensajes son convincentes y pueden ser difíciles de distinguir de solicitudes auténticas. Muchos estafadores investigan de antemano a una empresa o a un individuo para averiguar todo lo posible sobre ellos; una vez que disponen de esa información, pueden personalizar sus mensajes basándose en sus afiliaciones o en el puesto dentro de la empresa.
Si el objetivo cae en la trampa, es posible que se le pida que envíe información de la cuenta, que introduzca sus credenciales de inicio de sesión en un sitio fraudulento o que descargue, sin saberlo, malware en su dispositivo.
Tipos de ataques de ingeniería social
Existen numerosos métodos que los hackers pueden utilizar para realizar ataques de ingeniería social. Estos son los cuatro más comunes:
Phishing
El phishing es uno de los tipos más comunes de estafas de ingeniería social. Para llevar a cabo este ataque un hacker se hace pasar por una empresa u organización conocida y envía a sus objetivos un correo electrónico, solicitando acceso a las credenciales de inicio de sesión, la información de tarjetas de crédito u otros datos confidenciales.
Los hackers pueden solicitar información directamente o pedirte que hagas clic en un enlace que te redireccionará a una web falsa para que introduzcas tus credenciales de acceso u otra información personal.
Los estafadores también pueden aprovechar otras formas de comunicación para ejecutar ataques de phishing. El smishing hace referencia a los mensajes de phishing enviados a través de SMS y el vishing a las llamadas telefónicas o mensajes de voz. Estos mensajes de phishing suelen incluir una notificación de alerta o de urgencia para hacer que los objetivos actúen rápidamente.
Spear Phishing
El spear phishing es un tipo de ataque de phishing que se dirige específicamente a un empleado de una empresa u organización. En lugar de enviar un correo electrónico o mensaje masivo, el atacante elige a un trabajador para enviarle una solicitud de información personalizada. Estos mensajes suelen convencer al objetivo de que tiene una relación con el remitente, lo que les hace más propensos a compartir información o datos sensibles.
Baiting
Aunque el objetivo final es el mismo, el baiting funciona de forma ligeramente diferente a los ataques de phishing. En lugar de enviar solicitudes de información, los estafadores ponen anuncios o hardware que atraen a los objetivos para que accedan a sitios web maliciosos o descarguen malware. Por ejemplo, un atacante puede crear un anuncio atractivo que parece llevar a la página de un producto. Sin embargo, cuando el usuario hace clic en él, el enlace descarga una aplicación infectada con malware.
La utilización de hardware físico es otro método muy popular para realizar estafas. Para ello, los hackers dejan una unidad flash u otro dispositivo de almacenamiento en un lugar donde sus objetivos lo verán fácilmente. Si la víctima lo conecta a su ordenador, infecta el dispositivo con malware.
Tailgaiting
El tailgaiting es un ataque que requiere un soporte físico en el que una persona se hace pasar por un empleado u otro individuo de confianza para acceder a una zona restringida. Puede ser un supuesto conserje que te pide que mantengas la puerta abierta o un nuevo empleado que ha perdido su tarjeta de acceso. Una vez que tiene acceso, el atacante busca datos, documentos u otra información restringida de la empresa.
Ejemplos de ataques de ingeniería social
Los hackers intentan ser lo más convincentes posible, por lo que los ataques de ingeniería social pueden ser difíciles de identificar. Los siguientes casos reales te ayudarán a entender mejor cómo puede ser un ataque de ingeniería social.
Estafa de phishing por correo electrónico dirigida a Google y Facebook
Uno de los casos más conocidos de un ataque de ingeniería social ocurrió entre 2013 y 2015, cuando un grupo de hackers utilizó spear phishing para estafar a Google y Facebook por valor de 100 millones de dólares.
El grupo, dirigido por Evaldas Rimasauskas, creó una falsa empresa de fabricación de ordenadores casi idéntica al proveedor legítimo de Google y Facebook. A continuación, enviaban a determinados empleados facturas por correo electrónico en las que se les pedía que transfirieran dinero a una cuenta bancaria controlada por los hackers. Como las facturas incluían bienes y servicios que una empresa legítima había proporcionado y los remitentes parecían de confianza, el grupo pudo convencer a los empleados de que enviaran 100 millones de dólares durante un período de dos años.
Estafa a la Seguridad Social en EEUU
En 2018, la Comisión Federal de Comercio comenzó a recibir múltiples informes de llamadas de estafadores que decían trabajar para la administración de la Seguridad Social. En estas llamadas, los hackers se hacían pasar por empleados y pedían a las víctimas que confirmaran sus números de seguridad social. Intentaban hacer las llamadas más convincentes explicando que un problema informático había causado un problema interno.
De hecho, el robo de identidad mediante ataques de ingeniería social de este tipo es un problema constante. Por eso las autoridades instan a los ciudadanos a no dar nunca sus datos de la seguridad social por teléfono si reciben una llamada sospechosa.
Señales de un ataque
Los ataques de ingeniería social son cada vez más convincentes y difíciles de detectar. Afortunadamente, algunos signos pueden ayudarte a identificarlos antes de convertirte en su siguiente víctima.
No reconoces al remitente
Recibir un correo electrónico o un mensaje de alguien que no reconoces no siempre es señal de un ataque de ingeniería social, pero debes actuar con cautela. Si el remitente dice trabajar en tu empresa u organización, verifica su identidad antes de responder o hacer clic en cualquier enlace.
Correos electrónicos inesperados
Si recibes un correo electrónico inesperado de un compañero de trabajo o de una empresa con la que no sueles mantener correspondencia, podría tratarse de una estafa. Sobre todo, si el mensaje te pide que des información de acceso u otros datos sensibles y expresa una sensación de emergencia. Los estafadores suelen utilizar este método para engañar a los empleados y que envíen información por miedo a reprimendas. Si te ocurre esto, evita responder al correo electrónico o abrir cualquier archivo adjunto hasta que puedas comprobar con tu jefe o con un compañero que se trata de una solicitud legítima.
Ofertas de descargas gratuitas
Los hackers de ingeniería social también suelen atraer a sus víctimas para que hagan clic en enlaces con malware ofreciéndoles un producto de descarga gratuito. Estas ofertas suelen llegar a través de correos electrónicos o de un anuncio en línea y ofrecen aplicaciones, música, libros electrónicos u otros productos digitales gratuitos. Los botones de descarga pueden incluso aparecer en artículos en línea o junto a enlaces legítimos para engañar a los usuarios.
Te piden que respondas urgentemente
La urgencia es uno de los rasgos más comunes de un ataque de ingeniería social. Los hackers no quieren darte tiempo de cuestionar la legitimidad de su solicitud, así que pueden decirte que hay una emergencia o una fecha límite y que necesitan la información lo antes posible. Puede resultar especialmente difícil resistirse si el hacker se hace pasar por un superior, una institución financiera u otra organización importante. Sin embargo, es crucial comprobar la veracidad de las solicitudes urgentes e inesperadas antes de proporcionar cualquier información.
Cómo protegerse
Una vez que conozcas los signos de un ataque de ingeniería social, piensa en tomar las siguientes medidas para protegerte de futuros ataques.
Nunca hagas clic en enlaces desconocidos
Nunca hagas clic en un enlace de descarga gratuita de un anuncio o de un correo electrónico no solicitado. Los estafadores suelen añadir enlaces maliciosos a los correos electrónicos o a los anuncios en línea para convencer a las víctimas de que descarguen programas infectados en sus dispositivos. Si recibes una oferta sospechosa por correo electrónico o ves un anuncio que parece demasiado bueno para ser cierto, es probable que se trate de una estafa. Hacer clic en el enlace proporcionado sin verificar su autenticidad podría exponer tu dispositivo a malware o comprometer información sensible.
Eliminar solicitudes de información o asistencia sospechosas
Si recibes una solicitud de información de una fuente que no puedes verificar, bórrala de tu bandeja de entrada sin hacer clic en ningún enlace o archivo adjunto. Así te aseguras de no abrirlo accidentalmente más tarde o pasarlo a otra persona.
Actualiza los filtros de spam
Todos los programas de correo electrónico ofrecen filtros de spam para evitar que los mensajes fraudulentos o no deseados lleguen a tu bandeja de entrada. Si hace tiempo que no compruebas la configuración del filtro de spam, ve al espacio configuración de tu correo electrónico y asegúrate de que el filtro está activado y actualizado. La mayoría de los filtros de spam básicos también permiten personalizaciones y bloquear remitentes específicos.
Asegura tus dispositivos
Es posible que las herramientas de ciberseguridad no puedan evitar todas las estafas de ingeniería social, pero pueden ayudar a proteger tu dispositivo del malware si eres víctima de un ataque. El software antivirus es una gran herramienta que puedes instalar en tus dispositivos para protegerte de los virus y buscar malware. También deberías crear contraseñas fuertes y únicas para tus cuentas online y actualizar tus credenciales de acceso periódicamente, para asegurarte de que tus cuentas online son lo más seguras posible.
Los ataques de ingeniería social son especialmente peligrosos porque eluden el software antivirus y las herramientas de ciberseguridad tradicionales. Sin embargo, siempre que estés atento y tomes las precauciones adecuadas, puedes reducir el riesgo de ser víctima de un ataque.
Para obtener más formas de asegurar tus dispositivos y proteger tu actividad online, consulta nuestras herramientas antivirus y VPN para Windows y Android.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
También te puede interesar
Panda Antivirus Gratis
Soporte Técnico GRATUITO
