La ingeniería social es la práctica de utilizar técnicas psicológicas para manipular el comportamiento. La ingeniería social explota el error humano y alienta a las víctimas a actuar en contra de sus intereses. En el mundo de la seguridad de la información, la ingeniería social se define como hacer que las personas revelen datos privados en línea, como detalles de inicio de sesión o información financiera.

En otros contextos, la ingeniería social tiene un significado ligeramente diferente. Por ejemplo, en las ciencias sociales, la ingeniería social es simplemente el esfuerzo por influir psicológicamente en el comportamiento social dentro de un grupo más grande. Esto puede incluir animar a las personas a comportarse adecuadamente en el transporte público, dejar de fumar e incluso apoyar el cambio político.

Aquí, nos centraremos en la ingeniería social en el contexto de la seguridad de la información, donde los piratas informáticos implementan técnicas en línea para obtener acceso a información confidencial. En este entorno digital, la ingeniería social puede definirse como ciberdelincuencia.

¿Cómo funciona la ingeniería social?

La ingeniería social explota los sesgos cognitivos de las personas para trabajar. Un ingeniero social finge ser una persona agradable, confiable o autoritaria y engaña a la víctima para que confíe en él. Una vez que la víctima confía en el atacante, puede ser manipulada para revelar información privada.

Desafortunadamente, hay muchos sesgos cognitivos que los atacantes pueden explotar para su beneficio, robando datos privados de las víctimas delante de sus narices. Las técnicas de ingeniería social explotan esta tendencia a confiar de varias maneras diferentes.

Tipos de ataques de ingeniería social

Una de las mejores formas de protegerse de los ataques de ingeniería social es aprender los métodos más comunes que se utilizan en la ingeniería social. La ingeniería social ocurre con frecuencia en línea hoy en día, incluso a través de estafas en las redes sociales, donde los atacantes se hacen pasar por contactos confiables o figuras de autoridad para manipular a las personas para que expongan información confidencial.

Los siguientes son otros tipos de ataques comunes en la ingeniería social:

Phishing

El phishing es un ataque de ingeniería social en el que las comunicaciones se disfrazan como si provinieran de una fuente confiable. Estos mensajes, generalmente correos electrónicos, están diseñados para engañar a las víctimas para que entreguen información personal o financiera. Después de todo, ¿por qué deberíamos dudar de la veracidad de las noticias de amigos, familiares o tiendas que frecuentamos? Las estafas de phishing se aprovechan de esta confianza.

Spear phishing

El Spear phishing es un tipo de ataque de ingeniería social contra grandes empresas o individuos. Los ataques de phishing dirigido principalmente a grupos pequeños o personas poderosas, como ejecutivos de empresas y celebridades. Los ataques de ingeniería social que utilizan este método generalmente están bien investigados y disfrazados de manera inteligente, lo que los hace difíciles de detectar.

Vishing

El Vishing, también conocido como «phishing de voz», es un ataque de phishing sofisticado. En estos ataques, los números de teléfono a menudo se disfrazan como legítimos: el atacante puede hacerse pasar por una persona de TI, un colega o un banquero. Algunos atacantes también pueden usar cambiadores de voz para ocultar aún más su identidad.

Smishing

El Smishing es un tipo de ataque de phishing que se presenta en forma de mensajes de texto o SMS. Por lo general, estos ataques requieren que la víctima tome alguna acción inmediata haciendo clic en un enlace malicioso o llamando a un número de teléfono. Por lo general, piden a las víctimas que revelen información personal que los atacantes pueden usar en su beneficio. Los ataques de phishing por SMS a menudo transmiten una sensación de urgencia, lo que hace que las víctimas actúen rápidamente y caigan en la trampa.

Whaling

Es Whaling es uno de los ataques de phishing más ambiciosos de todos los tiempos, con consecuencias desastrosas. Este tipo de ataque de ingeniería social generalmente se dirige a objetivos de alto valor. A veces se habla de «fraude de CEO», lo que da una idea de las marcas típicas. Los ataques de caza de ballenas son más difíciles de identificar que otros ataques de phishing porque emplean con éxito un tono apropiado para el negocio y utilizan el conocimiento interno de la industria en su beneficio.

Baiting

Los ataques de ingeniería social no siempre se originan en Internet: también pueden comenzar desde redes externas. Los señuelos son cuando un atacante coloca un dispositivo infectado con malware (por ejemplo, una unidad USB) donde se puede encontrar fácilmente. Estos dispositivos suelen estar etiquetados de una manera especial para despertar la curiosidad. Si alguien particularmente curioso (o codicioso) lo recogió y lo conectó a una computadora, sin darse cuenta podría infectarse con malware.

Scareware

El scareware es malware que utiliza la ingeniería social para asustar a las personas para que descarguen software de seguridad falso o visiten sitios web infectados con malware. El scareware a menudo se presenta en forma de ventanas emergentes que pretenden ayudar a eliminar los virus informáticos que pueden estar presentes en su dispositivo. Después de hacer clic en la ventana emergente, se le redirige a un sitio malicioso o se instala más malware sin su conocimiento.

Si sospecha que tiene scareware u otras ventanas emergentes molestas, analice regularmente su PC con una herramienta de eliminación de virus confiable. Escanear su dispositivo en busca de amenazas de forma regular es una buena práctica de higiene digital. Previene futuros ataques de ingeniería social e incluso ayuda a mantener seguros sus datos privados.

Pretexting

El Pretexting es la creación de un escenario falso o «excusa» que utilizan los estafadores para engañar a sus víctimas. Los ataques de excusa se pueden realizar en línea o fuera de línea, y son una de las técnicas más efectivas de los ingenieros sociales: el atacante investiga mucho para fingir que son reales.

Averiguar los trucos de una excusa no es fácil, así que tenga cuidado al compartir información confidencial con extraños. Si alguien te llama con una pregunta urgente, comunícate con la organización para descartar ataques de ingeniería social.

Honey trap

Una Honey trap es un esquema de ingeniería social en el que un atacante atrae a una víctima a una situación sexual vulnerable. Los atacantes usan esta situación como una oportunidad para sexo u otra extorsión. Los ingenieros sociales a menudo colocan trampas mediante el envío de spam, afirmando haber estado «mirando a través de su cámara web» o algo igualmente siniestro.

Si recibe un correo electrónico como este, verifique que su cámara web sea segura. Mantenga la calma y no responda: estos correos electrónicos no son más que spam.

Spam en el correo electrónico

El correo electrónico no deseado es una de las formas más antiguas de ingeniería social en Internet y es responsable de casi todo el correo no deseado en su bandeja de entrada. En el mejor de los casos, el spam es molesto. En el peor de los casos, es una estafa para obtener sus datos personales. Muchos servidores de correo electrónico verifican automáticamente los mensajes en busca de spam malicioso, pero el proceso no es perfecto y, a veces, se reciben correos electrónicos peligrosos.

El método anterior es el tipo más común de ataque de ingeniería social utilizado para obtener acceso a los datos personales de una víctima. Los atacantes siempre están encontrando nuevas formas de engañar a las personas y las máquinas, especialmente utilizando formas más creativas de usar métodos antiguos de ingeniería social como el correo no deseado y las excusas.

Cómo evitar la ingeniería social

La mejor manera de evitar los ataques de ingeniería social es saber cómo detectarlos cuando los ve. Una vez en la red del ingeniero social, es muy difícil salir de ellos. Afortunadamente, no es necesario ser un aficionado a la tecnología para seguir buenas prácticas de ingeniería social. Todo lo que necesitas es tu intuición y sentido común.

_{Fuente: Avast Academy}