Ingeniería social

La ingeniería social es el uso del engaño para manipular a las personas a fin de que compartan información confidencial o personal que pueda utilizarse con fines fraudulentos. Este tipo de ciberataque es sorprendentemente común, y cualquiera podría ser un objetivo. De hecho, el 98 % de los ciberataques involucran algún tipo de ingeniería social¹ y las organizaciones promedio son blanco de más de 700 ataques de ingeniería social cada año².

Muy pocas cosas que se publican en internet son privadas. “Internet es para siempre” y se puede acceder a casi cualquier cosa cargada en un sitio web o enviada por correo electrónico, a menos que esté debidamente encriptada o asegurada.

Las redes sociales son la forma número uno en que los atacantes pueden recopilar información sobre usted, sus amigos, familiares y negocios. La información aparentemente inofensiva, como su historial académico, los nombres de sus mascotas o su comida favorita son a menudo las repuestas a las preguntas de seguridad, y los atacantes pueden utilizar dicha información para jaquear sus cuentas seguras. Además, pueden usar su información para hacerse pasar por usted en ataques de ciberestafa contra otros, o pueden usar esa información para concentrarse en usted en ataques de ingeniería social.

Este video demuestra lo astutos que pueden ser los ingenieros sociales:

Reconocer un intento de ingeniería social

Reconocer un ataque de ingeniería social puede ser complicado, porque las personas a menudo se hacen pasar por autoridades en cargos de conocimiento o poder. Hay algunos métodos comunes de ataques de ingeniería social que se han estudiado y documentado: soporte técnico, inspecciones no programadas, solicitudes urgentes y amenazas/intimidación.

Soporte técnico

Si Soporte técnico lo llama de la nada, probablemente sea un ataque de ingeniería social. El departamento de Soporte técnico suele tener tanto trabajo que no buscan problemas que resolver, sino que los problemas les llegan a ellos. Si recibe una llamada de Soporte técnico no solicitada, busque a la persona que llama en el directorio de la empresa y pídale que pase por su escritorio. También podría decirle que le devolverá la llamada y, a continuación, llamar directamente a Soporte técnico.

Solicitudes urgentes

Los ingenieros sociales y estafadores a menudo crean un “sentido de urgencia” para manipular a las personas a fin de que actúen sin pensar. Nunca tome decisiones apresuradas ni se sienta presionado a actuar sin analizar la situación. Si se comunican con usted, responda que se pondrá en contacto con ellos más adelante para que pueda verificar lo que le están diciendo y comprobar sus credenciales. Vaya directamente al sitio web y utilice la información de contacto correcta. Tómese su tiempo y sepa que las empresas de confianza le darán tiempo para investigar y resolver con seguridad un problema legítimo.

Inspecciones no programadas

Otra forma de ingeniería social es hacerse pasar por alguien de servicio técnico. Los atacantes llevarán portapapeles y usarán uniformes para reforzar su credibilidad con el objetivo de acceder a áreas restringidas y obtener información o instalar programas maliciosos.

Consulte con la gerencia para validar la identidad de esas personas y no tenga miedo de ponerse en contacto con seguridad.

Amenazas e intimidación

“Ayúdeme o el jefe se enfadará”.

Los atacantes usarán el miedo para manipularle. Es posible que intenten convencerle de que se meterá en problemas si no les da la información que buscan.

Otras formas de ingeniería social

• Ciberestafa: La ciberestafa [phishing] es una técnica de ingeniería social que tiene como objetivo engañar a las personas para que hagan clic en un vínculo, abran un archivo adjunto o revelen información confidencial como información de identificación personal, detalles bancarios y crediticios o contraseñas.
• Ciberestafa por voz y mensajes de texto: Una forma de ciberestafa, es la ciberestafa por voz [vishing, en inglés, en referencia a voice-phishing] y la ciberestafa por mensajes de texto [smishing, en inglés, en referencia a SMS-phishing]; son ataques que utilizan llamadas telefónicas y mensajes de texto para engañarle a fin de que revele información personal.
• Cebo: El cebo [baiting] es una forma específica de ciberestafa en la que el atacante promete algo a cambio de un pequeño pago. Por lo general, es algo demasiado bueno para ser verdad y está destinado a obtener su información financiera y personal.
• “Acceso por proximidad” o “acceso a través de otro usuario”: Estas estrategias de ingeniería social se utilizan para obtener acceso no autorizado a áreas restringidas. El acceso por proximidad [tailgating] ocurre cuando el atacante sigue de cerca a una persona autorizada y entra inadvertidamente por una entrada o puerta evitando las credenciales necesarias. El acceso a través de otro usuario [piggybacking] es similar, pero alguien permite a sabiendas que el atacante entre, pensando que es un visitante o empleado.
• Ciberestafa por códigos QR: Esta forma de ciberestafa utiliza códigos QR [de ahí quishing en inglés, en referencia a QR-phishing] para engañar a las personas a fin de que proporcionen información confidencial o descarguen software dañino en sus dispositivos. La ciberestafa por códigos QR la realizan los delincuentes que colocan un código QR fraudulento en un lugar común, como un menú, una valla publicitaria, un cartel o un anuncio. Los usuarios entonces escanean el código QR y este los dirige a un sitio web malicioso diseñado para robar credenciales o comprometer cuentas y dispositivos.

Evitar los intentos de ingeniería social

Para evitar ser víctima de los ingenieros sociales y los atacantes, asegúrese de que su configuración de privacidad esté activada y que la revise con frecuencia. Algunas compañías como Facebook actualizan frecuentemente sus políticas de privacidad, lo que puede revertir la configuración de privacidad a la que viene por defecto. Asegúrese de ver su configuración de privacidad con regularidad para cerciorarse de que se mantenga como usted desea que esté. Además, asegúrese de que su información esté oculta o solo sea visible para la audiencia deseada (preferiblemente solo sus amigos y no “amigos de amigos”).

Además de actualizar su configuración de privacidad, cambie su contraseña con regularidad y habilite la autenticación multifactor cuando esté disponible. Asegúrese de que su contraseña en las redes sociales sea tan segura como las de las cuentas personales o laborales. Tal como sucede con la ciberestafa por correo electrónico, los atacantes pueden robar sus credenciales y estafarle a través de las redes sociales.

Confíe en su instinto

Siempre confíe en su instinto y esté alerta. Si algo no parece estar bien, probablemente no lo esté. Usted es la mejor fuente de conocimiento cuando se trata de lo que es y no es normal.

Si observa cosas fuera de lo común (llamadas inesperadas de Soporte técnico, inspecciones inusuales, su navegador web se abre en una nueva página de repente), asegúrese de seguir estas pautas:

• Investigue y luego responda: Investigue la solicitud antes de actuar apresuradamente. Las estafas comunes de ingeniería social pueden documentarse en línea y puede encontrar información al respecto.
• Evite los vínculos: Si no está seguro del remitente, o el correo electrónico o el mensaje es inesperado, vaya directamente a la fuente para verificar la autenticidad, en lugar de hacer clic en un vínculo.
• Sea precavido: Los atacantes a menudo se hacen pasar por alguien a quien usted conoce o usan una cuenta vulnerada para comunicarse con usted. Si una situación es inusual o fuera de lo común, podría tratarse de un ataque de ingeniería social. Siempre es mejor ser precavido en estas situaciones.

Los ataques de ingeniería social son algunos de los ciberataques más comunes y peligrosos en el mundo tecnológico actual. Pueden sucederle a cualquiera en cualquier momento. Podría ser un ataque personal dirigido a usted como individuo o un ataque contra su organización. Aprender a reconocer estos ataques es clave para proteger su información. Recuerde tener cuidado con su información personal cuando esté en línea y confíe en su instinto. Usted es la mejor defensa contra los ataques de ingeniería social.