Ingeniería social, el ciberataque más común en la red

Carlos Rebato    20 febrero, 2020
Ingeniería social: por qué es más común de lo que parece | Thinkbig

La seguridad tecnológica cada día se encuentra más en riesgo. Los ataques más comunes se producen a través de ransomware, spyware, entre otros. Los cibercriminales siempre buscan nuevas formas de incorporar tácticas para engañar a la víctima. Una de estas estrategias es la llamada ingeniería social.

¿Qué es la ingeniería social?

En el entorno de los ataques cibernéticos, la ingeniería social puede definirse como el arte de hackear la psicología humana con el fin de obtener acceso a datos no autorizados (Rodríguez, 2018). Frecuentemente, pueden actuar mediante canales de comunicación:

  • Mensajes de texto
  • Correo electrónico
  • Chat
  • Redes sociales.

A través de estos medios, se extrae información de interés y confidencial para forzar a las personas a hacer acciones perjudiciales. En este caso, los delincuentes se enfocan en el comportamiento irracional, sesgos cognitivos, distracción y emociones de los usuarios.

Por ejemplo, en el 2018, la Condusef (Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros del gobierno mexicano) detectó un nuevo ataque de ingeniería social contra los usuarios de la banca por Internet. En esta experiencia, mediante un mensaje de texto, los ciberdelincuentes notificaron de una falsa desactivación de la tarjeta bancaria y solicitaron la validación de la identidad del usuario. El fin de esta acción era la obtención de datos personales y bancarios para, posteriormente, realizar consumos cargados a la tarjeta o vaciar la cuenta.

Principales tipos de ataques de ingeniería social

Frecuentemente, los hackers desarrollan nuevas estrategias para engañar a los usuarios. Por tal motivo, es esencial familiarizarse con los tipos de técnicas y así mantenerse prevenidos. Entre algunos de ellos, se encuentran:

1. Suplantación de identidad

Resulta uno de los principales ataques de piratería social en general. Las fuentes de ataque empleadas son el correo electrónico, SMS, redes sociales, entre otros.

Por ejemplo, el atacante se hace pasar por una compañía legítima, como un banco o una gran empresa. La trampa principal será un correo que parecerá confiable e incluirá un llamado de acción. Es así como se pueden solicitar contraseñas o información privada debido al engaño.

2. Spear phishing

Este tipo de ataque se diferencia de los tradicionales debido a que se orienta a una organización específica, un área de la empresa o solo a un empleado. En este caso, se necesita una detallada investigación por parte del cibercriminal en torno a las víctimas. Se hace muy difícil distinguir el email ilegítimo y, por lo tanto, se incrementan las posibilidades de éxito del ataque de ingeniería social.

3. Whaling

Es una subcategoría del phishing y, en otras palabras, significa que los cibercriminales van por los “peces más grandes”. Este tipo de ataque va dirigido a quienes tienen un rango más alto en empresas: los CEO y otros puestos ejecutivos. Sus tácticas son similares al spear phishing para el robo de información confidencial y acceso a sistemas restringidos.

4. Vishing

Si el phishing se hace a través del correo electrónico, el vishing se realiza mediante llamadas telefónicas para ejecutar el fraude. El atacante crea un número falso, llama a la víctima y finge ser representante de un banco o proveedor de servicios. Luego solicita las credenciales o detalles de las cuentas bancarias.

¿Cómo protegerse de los ataques de ingeniería social?

La ingeniería social está directamente relacionada con el comportamiento humano básico. Esto implica que es difícil dar consejos infalibles para evitar estos riesgos. Al respecto, Antokoletz (2018), docente e investigador de inteligencia artificial y algoritmos genéticos, explica que la prevención es un elemento totalmente cultural en la ciberseguridad. En otras palabras: educación y protocolos de seguridad.

Algunas recomendaciones al respecto son:

  1. Ser escéptico. En otras palabras, no creer todo lo que digan y quizá hacer algunas preguntas básicas antes de dar información confidencial. Hay que asegurarse de que la persona que llama o envía correo electrónico sea de confianza.
  2. Educación. Tal y como se mencionó, la formación ante estos tipos de peligros es vital. Capacitar y familiarizar al personal en torno a las diversas tácticas es fundamental. Debe comprenderse la ingeniería social en sus variadas formas.
  3. Actualización. Los ciberdelincuentes siempre buscan la manera de localizar brechas de seguridad en los sistemas informáticos. Todo ello implica que se deban actualizar los dispositivos, mantenerse al tanto de parches de seguridad que ayuden a mitigar ataques, entre otras medidas. Es importante documentar todas las contingencias presentadas para que los miembros de la empresa estén siempre atentos.

Es así como la ingeniería social emplea la emoción humana como punto de contacto. Todas las personas son vulnerables a estas amenazas. Por consiguiente, es importante mantener siempre la guardia alta: nunca se sabe cuándo pueden venir los ataques.

Photo by Joseph Gruenthal on Unsplash

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *