Tácticas de ingeniería social
Una guía completa sobre tácticas de ingeniería social.
¿Qué es la ingeniería social?
En el ámbito de la ciberseguridad, la ingeniería social se refiere a la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial. A diferencia del hacking tradicional, que explota vulnerabilidades en software o hardware, la ingeniería social explota la psicología humana. Los ciberdelincuentes utilizan el engaño, la urgencia y el miedo para engañar a las víctimas y hacerlas cometer errores de seguridad o revelar datos confidenciales.
A medida que la tecnología avanza y las medidas técnicas de seguridad se vuelven más sólidas, los atacantes apuntan cada vez más al eslabón más débil de la cadena de seguridad: el usuario humano. Comprender estas tácticas es crucial para protegerse a usted y a su organización de infracciones potencialmente devastadoras.
Tácticas comunes de ingeniería social
Los ciberdelincuentes emplean una variedad de tácticas de ingeniería social para lograr sus objetivos maliciosos. Éstos son algunos de los métodos más frecuentes:
1. Phishing
El phishing es quizás la táctica de ingeniería social más conocida y utilizada. Implica enviar comunicaciones fraudulentas (generalmente correos electrónicos) que parecen provenir de una fuente confiable, como un banco, un servicio en línea popular o incluso un colega.
- Cómo funciona: El correo electrónico normalmente crea una sensación de urgencia (por ejemplo, "Su cuenta ha sido suspendida") e incluye un enlace a un sitio web falso que parece idéntico al real. Cuando la víctima ingresa sus credenciales en el sitio falso, el atacante las roba.
- Spear Phishing: Una forma más específica de phishing en la que el atacante investiga a la víctima para personalizar el correo electrónico, haciéndolo muy convincente.
- Caza de ballenas: Un ataque de phishing altamente dirigido a altos ejecutivos o personas de alto perfil ("ballenas") que tienen acceso a información confidencial o autoridad financiera.
2. Vishing (phishing por voz)
Vishing utiliza la comunicación por voz, normalmente llamadas telefónicas, para engañar a las víctimas. Los atacantes pueden falsificar el identificador de llamadas para que parezca que llaman desde una organización legítima.
- Cómo funciona: La persona que llama puede afirmar ser del soporte de TI, del IRS o de un banco, advirtiendo a la víctima de un problema urgente. Luego intentarán extraer información confidencial, como contraseñas, PIN o números de Seguro Social, por teléfono.
3. Smishing (phishing por SMS)
El smishing es similar al phishing pero utiliza SMS (mensajes de texto) en lugar de correo electrónico.
- Cómo funciona: Las víctimas reciben un mensaje de texto que contiene un enlace malicioso o una solicitud para llamar a un número de teléfono. Los mensajes a menudo prometen recompensas o alertan al usuario sobre una entrega de paquete falsa o un problema con la cuenta. Debido a que las personas tienden a confiar más en los mensajes de texto que en los correos electrónicos, el smishing puede ser muy efectivo.
4. Cebo
El acoso se basa en la curiosidad o la codicia humana. Los atacantes ofrecen algo atractivo para atraer a la víctima a una trampa.
- Acoso físico: Un atacante podría dejar una unidad USB infectada con malware en un lugar público, como un estacionamiento o una cafetería, con la etiqueta "Nómina 2024" o "Confidencial". Cuando una víctima curiosa conecta el disco a su computadora, se instala el malware.
- Cambiación digital: Implica ofrecer descargas gratuitas, como películas, música o software, en sitios web maliciosos. Al hacer clic en el enlace de descarga se infecta el dispositivo del usuario.
5. Pretexto
El pretexto implica crear un escenario fabricado (el pretexto) para robar información. El atacante dedica tiempo a establecer una identidad falsa y generar confianza en la víctima.
- Cómo funciona: Un atacante podría hacerse pasar por un proveedor, un compañero de trabajo o una autoridad policial. Por ejemplo, podrían llamar al departamento de recursos humanos de una empresa afirmando ser un investigador de verificación de antecedentes y necesitar información sobre un empleado. El pretexto se basa en la voluntad de la víctima de ayudar a alguien que cree que tiene autoridad o lo necesita.
6. Quid pro quo
Quid pro quo (algo por algo) implica ofrecer un beneficio o servicio a cambio de información o acceso.
- Cómo funciona: Un atacante podría llamar a extensiones aleatorias en una oficina y afirmar ser del soporte técnico. Cuando finalmente llegan a alguien que tiene un problema informático, el atacante se ofrece a "solucionarlo", pero solicita la contraseña del usuario o le indica que descargue software malicioso para resolver el problema.
7. Seguir muy cerca y llevar a cuestas
Estas son tácticas de ingeniería social física que se utilizan para obtener acceso no autorizado a áreas restringidas.
- Tailgating: Un atacante sigue de cerca a una persona autorizada hasta un área segura sin su conocimiento.
- Aprovechamiento: El atacante engaña a una persona autorizada para que le mantenga la puerta abierta. Podrían llevar una caja pesada, fingir que han olvidado su tarjeta de identificación o simplemente entablar una conversación amistosa para poder entrar.
Cómo protegerse contra la ingeniería social
La mejor defensa contra la ingeniería social es la educación y la concientización. A continuación se presentan estrategias clave para protegerse a usted y a su organización:
- Verifique la fuente: Nunca confíe automáticamente en correos electrónicos, llamadas telefónicas o mensajes inesperados. Verificar la identidad del remitente a través de un canal independiente. Por ejemplo, si recibe una llamada sospechosa de su banco, cuelgue y llame al número oficial que figura en el reverso de su tarjeta de débito.
- Busque señales de alerta: Sea escéptico ante las comunicaciones que crean una sensación de extrema urgencia, exigen una acción inmediata u ofrecen algo que parece demasiado bueno para ser verdad. Compruebe si hay errores gramaticales y ortográficos, que son comunes en los correos electrónicos de phishing.
- Pase el cursor antes de hacer clic: Pase siempre el cursor del mouse sobre los enlaces de los correos electrónicos para ver la URL de destino real antes de hacer clic. Si la URL parece sospechosa o no coincide con el supuesto remitente, no haga clic en ella.
- Utilice la autenticación multifactor (MFA): Habilite MFA en todas sus cuentas. Incluso si un atacante roba su contraseña, no podrá iniciar sesión sin el segundo factor de autenticación.
- Implementar capacitación en seguridad: Las organizaciones deben brindar capacitación periódica e integral sobre concientización sobre seguridad a todos los empleados, enseñándoles cómo reconocer e informar intentos de ingeniería social.
- Establecer políticas sólidas: Las empresas deben tener políticas claras con respecto a la verificación de solicitudes de información confidencial o transacciones financieras, especialmente aquellas que involucran circunstancias urgentes o inusuales.
Conclusión
La ingeniería social es una amenaza generalizada y en constante evolución. Al manipular la confianza y las emociones humanas, los atacantes pueden sortear las defensas técnicas más fuertes. Reconocer las tácticas comunes (desde el phishing y el vishing hasta el hostigamiento y el pretexto) es el primer paso hacia la prevención. Al cultivar un saludable sentido de escepticismo, verificar las solicitudes de información y priorizar la concienciación sobre la seguridad, las personas y las organizaciones pueden reducir significativamente el riesgo de ser víctimas de estos ataques engañosos.