Así intentan engañarte los ciberdelincuentes con la ingeniería social

Fernando AnayaNOTICIA10.06.2023 - 08:00h
  • En la actualidad, los seres humanos son el punto débil de cualquier estrategia de ciberseguridad.
En este fraude digital, el atacante se gana la confianza de la víctima haciéndose pasar por una persona, una empresa o un servicio de confianza para robarle datos personales y poder suplantar su identidad. El fin es poder realizar acciones en su nombre, como transferencias bancarias o contratos.
En este fraude digital, el atacante se gana la confianza de la víctima.
PIXABAY / IAMMRROB
En este fraude digital, el atacante se gana la confianza de la víctima haciéndose pasar por una persona, una empresa o un servicio de confianza para robarle datos personales y poder suplantar su identidad. El fin es poder realizar acciones en su nombre, como transferencias bancarias o contratos.

Cuando la mayoría de gente oye la palabra 'ciberamenaza' se imagina algún tipo de malware o a un hacker que busca aprovecharse de las vulnerabilidades de un software. Sin embargo, en la actualidad, los seres humanos son el punto débil de cualquier estrategia de ciberseguridad; y es precisamente de esta vulnerabilidad de la que se aprovecha la ingeniería social.

Fernando Anaya, country manager de Proofpoint para España y Portugal

Fernando Anaya

  • Country manager de Proofpoint para España y Portugal

En una amenaza de este tipo, el atacante utiliza las emociones humanas para convencer al objetivo de que haga una acción, como enviar dinero, divulgar información confidencial o compartir credenciales. Hoy en día, la ingeniería social forma parte del 98% de los ciberataques, siendo el robo de identidad mediante campañas de phishing su forma más habitual.

La ingeniería social lleva siendo un método de ataque desde los años 90, por lo que engañar a los usuarios de esta manera no es nada nuevo en el mundo de la ciberseguridad. Sin embargo, las técnicas para conseguirlo sí que han ido evolucionando. 

En aquella época, los ataques consistían en llamar a los usuarios para intentar conseguir que dieran sus credenciales o proporcionaran un número de teléfono fijo que les conectara con un servidor corporativo interno. 

En la actualidad, los ataques son mucho más sofisticados: los ciberdelincuentes adaptan las historias utilizadas para obtener información de su objetivo y su contexto e incorporan otras amenazas como el phishing en sus campañas. Los ataques de estos grupos organizados pueden conseguir beneficios mucho mayores, por ejemplo, engañando al empleado de una empresa para que envíe millones de euros a cuentas en el extranjero.

A menudo, estos ataques utilizan la manipulación y la persuasión para que las víctimas infrinjan los procedimientos de seguridad habituales. Son tan eficaces, porque se basan en la tendencia de las personas a confiar en los demás o explotan su curiosidad por ofertas o nuevas informaciones que actúan como cebo.

Cómo identificar un ataque que utiliza ingeniería social

Independientemente de los objetivos del atacante, hay algunas señales claras que ayudan a identificar si se está siendo víctima de un engaño de este tipo:

  • Sensación de urgencia: para jugar con el miedo de la víctima, se le presiona para que realice una acción urgentemente. Por ejemplo, pueden exigir dinero o conseguir que un usuario comparta su contraseña ante la amenaza de poder perder su cuenta.
  • Dirección falsificada: es habitual que el atacante utilice un dominio similar al oficial para intentar que el objetivo no se dé cuenta. Un sistema de protección del correo electrónico impedirá que los remitentes falsos accedan a la bandeja de entrada de un usuario objetivo. En su ausencia, es importante buscar errores ortográficos.
  • Solicitudes de amistad extrañas: no es raro que un atacante comprometa una cuenta de correo electrónico y envíe mensajes a la lista de contactos de la víctima. Los mensajes suelen ser breves y no están personalizados, por lo que hay que dudar a la hora de hacer clic en enlaces de amigos si el mensaje no parece propio de esa persona.
  • Enlaces a webs falsas: es común que se utilicen enlaces de phishing para que los usuarios divulguen información confidencial. Hay que evitar introducir credenciales en un sitio web directamente desde el enlace de un correo electrónico, incluso si parece una página legítima.
  • Demasiado bueno para ser verdad: los estafadores suelen prometer dinero o algo valioso a cambio de una compensación económica. Por ejemplo, el mensaje promete a la víctima un iPhone gratis si paga los gastos de envío. Si la oferta parece demasiado buena para ser cierta, seguramente se trate de una estafa.
  • Archivos adjuntos sospechosos: los ataques más sofisticados pueden intentar instalar malware en los dispositivos del objetivo mediante adjuntos de correo electrónico. No se deben ejecutar nunca macros o archivos ejecutables directamente desde un email, aunque sea aparentemente inofensivo.
  • Remitente dudoso: muchas técnicas de ingeniería social están diseñadas para imitar a una fuente conocida, como un amigo o un compañero de trabajo. En el caso de recibir un correo electrónico sospechoso, es mejor ponerse en contacto con la persona real a través de una llamada telefónica o un mensaje de WhatsApp para ver si se trata de una suplantación de identidad.
  1. Negativa a responder preguntas: si un mensaje parece sospechoso, es buena idea responder pidiendo al remitente que se identifique. Un ciberdelincuente no podrá o querrá verificar su identidad. Esto también se aplica a otras tácticas de ingeniería social, como mensajes de texto o llamadas telefónicas.

Cómo evitar ser una víctima de estos ciberataques

Los usuarios informados pueden identificar las técnicas de ingeniería social y evitar caer en sus trampas. Es importante seguir estos consejos para no convertirse en una víctima:

  1. Informarse sobre los ataques más habituales o recientes de ingeniería social.
  2. No interactuar con webs directamente desde enlaces. En su lugar, escribir el dominio en el buscador.
  3. Identificar la información confidencial y ser consciente de qué datos se están divulgando, por ejemplo, en redes sociales. En general, evitar compartir demasiada información personal en Internet.
  4. Utilizar contraseñas únicas con diversos tipos de caracteres puede hacerlas más difíciles de descifrar. Un gestor de contraseñas fiable puede ayudar a gestionarlas de forma segura.
  5. Mantener los dispositivos vigilados para evitar robos. En sitios públicos, como aeropuertos o cafeterías, hay que bloquearlos para evitar accesos indeseados.
  6. Actualizar los softwares antimalware para que detecten amenazas recientes.
  7. Desconfiar de cualquier solicitud de datos o dinero. Antes de actuar, hacer preguntas y verificar la identidad del remitente.

La ingeniería social es tan popular entre los estafadores porque funciona. Debido a su éxito, los ataques basados en el phishing y el robo de identidad se han quintuplicado en los últimos años. Mediante la formación en ciberseguridad, las personas pueden tomar un papel activo en la defensa de su información y dispositivos

Todos debemos saber cómo podemos ser manipulados y por qué podríamos ser objetivo de ciberdelincuentes. Por este motivo, la ingeniería social es un tema fundamental para la concienciación de los usuarios.

Los ataques basados en el phishing y el robo de identidad se han quintuplicado en los últimos años.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.