SUSCRÍBETE
Fátima Rodríguez
Fátima Rodríguez

Ingeniera en Ciberseguridad en Ingeniería Dric, egresada de la carrera de Ingeniería en telecomunicaciones por la UNAM, cuenta con una maestría en Ingeniería en Seguridad y Tecnologías de la Información por el Instituto Politécnico Nacional, cuenta con experiencia en seguridad defensiva, ofensiva y regulación de la Seguridad de la Información. Profesional en Ciberseguridad con base en ISO27032:2012.

¿Qué es la ingeniería social?

La definición de ingeniería social abarca varios tipos de manipulación psicológica. En ocasiones, la ingeniería social puede tener resultados positivos, como fomentar comportamientos saludables. En términos de seguridad de la información, sin embargo, la ingeniería social a menudo se utiliza únicamente para beneficio del atacante. En estos casos, la ingeniería social implica manipulación para obtener información confidencial, como datos personales o financieros. Por tanto, la ingeniería social también puede definirse como un tipo de ciberdelito.

¿Cómo funciona la ingeniería social?

La ingeniería social se aprovecha de los sesgos cognitivos de las personas, que son como fallos en el hardware humano. Por desgracia para los seres humanos, hay muchos sesgos cognitivos que las personas malintencionadas pueden aprovechar para obtener datos personales y financieros de las víctimas delante de sus narices. Por ejemplo, la tendencia humana de confiar en personas percibidas como amables, atractivas o con alguna autoridad puede usarse en nuestra contra en ataques de ingeniería social.

¿Por qué es tan peligrosa la ingeniería social?

Hay algo especialmente peligroso sobre las prácticas de manipulación de ingeniería social. A menudo, las víctimas de ingeniería social no se dan cuenta de que están siendo manipuladas hasta que es demasiado tarde, y el delincuente ya ha tenido acceso a los datos confidenciales que buscaban. Si bien los sesgos cognitivos pueden favorecer la adaptabilidad, también es verdad que pueden usarse en nuestra contra. Los ataques de ingeniería social buscando información privada de los usuarios, lo cual puede conducir al robo de identidad, fraude de identidad, extorsiones y mucho más.

Tipos habituales de ataques de ingeniería social 

Los casos de ingeniería social pueden ser difíciles de identificar, pero eso no significa que sea imposible detectar estas estafas. Hay casi tantos tipos de ataques de ingeniería social como sesgos cognitivos, y algunos incluso aparecen en las noticias de vez en cuando. Ya hemos mencionado algunos ejemplos famosos de ataques de ingeniería social. Ahora, revisemos las técnicas de ingeniería social más habituales que existen.

  1. Spam en el correo electrónico: es uno de los tipos de ingeniería social más antiguos en Internet y es responsable de prácticamente toda la basura que llega a su bandeja de entrada. En el mejor de los casos, el spam en el correo electrónico es molesto. En el peor de los casos, se trata de una estafa para obtener sus datos personales. Muchos servidores de correo electrónico revisan los mensajes automáticamente en busca de spam malicioso, pero el proceso no es perfecto y a veces llegan mensajes peligrosos a su bandeja de entrada.
  2. Phishing: análogamente al spam en el correo electrónico, el phishing generalmente se lleva a cabo a través del correo electrónico, pero siempre parece ser legítimo. El phishing es un tipo de ataque de ingeniería social en el que los mensajes parecen provenir de una fuente fiable y están diseñados específicamente para engañar a las víctimas y que revelen sus datos personales o financieros. Después de todo, por qué habría de dudar de la autenticidad de un mensaje que provenga de un amigo, un familiar o una tienda que visitamos a menudo? Las estafas de phishing se aprovechan deliberadamente de esta confianza.
  3. Baiting: los ataques de ingeniería social no siempre tienen su origen en Internet: también pueden empezar fuera de las redes. El baiting se refiere al caso en el que un atacante deja un dispositivo infectado con malware (por ejemplo, una unidad USB) en algún lugar fácil de encontrar. Estos dispositivos suelen tener etiquetas provocativas para crear curiosidad. Si alguien especialmente curioso (o quizá avaricioso) lo recoge y lo conecta a su equipo, este podría infectarse con malware. Obviamente, nunca es buena idea tomar unidades flash desconocidas y conectarlas a su dispositivo.
  4. Vishing: también conocido como phishing por voz, es un tipo sofisticado de ataque de phishing. En estos ataques, se suplanta un número de teléfono para que parezca legítimo, de modo que los atacantes se hacen pasar por técnicos, compañeros de trabajo, personal de informática, etc. Algunos atacantes incluso usan filtros de voz para enmascarar su identidad.
  5. Smishing: es un tipo de ataque de phishing que toma la forma de mensajes de texto, o SMS. Habitualmente, estos ataques piden a la víctima que realice alguna acción inmediata a través de vínculos maliciosos en los que hacer clic o números de teléfono a los que llamar. A menudo, solicitan a las víctimas que revelen información personal que los atacantes pueden usar para beneficio propio. Los ataques de smishing suelen transmitir una sensación de urgencia y se aprovechan de la confianza de las personas en los mensajes de sus smartphones para que actúen rápidamente y sean víctimas de un ataque.

Cómo evitar la ingeniería social

Una vez que cae en las redes de un ingeniero social, puede ser difícil librarse de ellas. La mejor manera de evitar los ataques de ingeniería social es saber cómo detectarlos. Afortunadamente, no necesita ser un experto en tecnología para seguir buenas prácticas de ingeniería social. Lo único que necesita es su intuición y sentido común.

  • Instale software antivirus de confianza: puede ahorrarse el tiempo y las molestias de tener que comprobar las fuentes gracias a software antivirus de confianza capaz de detectar mensajes o páginas web sospechosos. Avast Free Antivirus detecta y bloquea malware e identifica posibles ataques de phishing antes de que tengan la oportunidad de actuar sobre usted.
  • Cambie la configuración de spam en el correo electrónico: también puede ajustar su configuración del correo electrónico para fortalecer los filtros de spam si estos mensajes aparecen en su bandeja de entrada. Dependiendo del cliente de correo electrónico que utilice, el procedimiento podría ser ligeramente distinto, así que lea nuestra guía para evitar spam en el correo electrónico.
  • Investigue la fuente: si recibe un mensaje de correo electrónico, un SMS o una llamada telefónica de una fuente no conocida, busque esa dirección o ese número de teléfono en un motor de búsqueda para ver qué aparece. Si forma parte de un ataque de ingeniería social, el número o la dirección de correo electrónico puede haberse identificado como tal previamente. Incluso si el remitente parece legítimo y así lo intenta asegurar, compruébelo de todos modos, porque la dirección de correo electrónico o el número de teléfono podrían ser ligeramente diferentes a los de la fuente real, y podrían estar vinculados a una página web no segura.


¿Lo mejor de todo? Sophos Phish Theart incluye un escudo web dedicado exclusivamente a la protección antiphishing para que nunca sea víctima de ingeniería social desde su bandeja de entrada. No pierda más tiempo. Empiece a protegerse hoy mismo.

Visitas: 135

ARTICULOS RELACIONADOS

¿Qué es y cómo trabaja un CSIRT para dar respuesta a incidentes?

Principales características y los beneficios de contar con personal que integre estrategias en ciberseguridad.

concientización en ciberseguridad csirt cultura de seguridad Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 46

México es el segundo país en América Latina con más negocios hackeados

En lo que va de 2021, el 22.8% de los ciberataques están dirigidos a empresas en México.

ciberataques kaspersky negocios cackeados Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 39

¿Qué es un plan de concienciación de seguridad informática?

La única defensa conocida para los ataques de ingeniería social es un programa efectivo de concienciación de seguridad.

ciberseguridad concientización en ciberseguridad cultura de seguridad Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 43

COMENTARIOS

SUSCRÍBETE

help_outline