Todos los días aparecen noticias sobre ataques informáticos. Y uno de los más utilizados son los de ingeniería social.

¿Sabes en qué consiste la ingeniería social? ¿Conoces los métodos para prevenir ataques de este tipo en tu empresa?

En este post tienes toda la información para detectar y evitar ataques de ingeniería social.

¿Qué es la ingeniería social?

La Ingeniería social es un método de ataque en que una persona mal intencionada utiliza la manipulación psicológica para inducir a otras personas a que:

  • divulguen sus informaciones personales,
  • descarguen apps falsas o
  • accedan a enlaces maliciosos.

A diferencia de los ataques de hackers tradicionales, la ingeniería social no utiliza sistemas muy sofisticados o programas de última generación. Cuenta solamente con la ingenuidad de las personas.

Generalmente el ciberdelincuente se presenta con identidad falsa diciéndose representante de alguna empresa o marca famosa y con esto intenta convencer a la victima para que le facilite sus datos personales.

¿Cómo se realizan esos ataques?

Se utilizan diversos canales para realizar ataques de ingeniería social:

  • Por correo electrónico, mediante ataques de tipo phishing.
  • Por teléfono, a través de una técnica conocida como vishing. Consiste en realizar llamadas telefónicas suplantando la identidad de una persona o compañía para conseguir información confidencial de las víctimas.
  • A través de las redes sociales, los ciberdelincuentes usan este medio a menudo para extorsionar a los internautas.
  • Mediante unidades externas, como USB. Los hackers infectan estos dispositivos con malware y después los colocan cerca de las instalaciones de una empresa con el objetivo de que los empleados más curiosos los inserten en sus equipos. Esta técnica es conocida como baiting.
  • A través de mensaje de texto (smishing), con el que los cibercriminales suplantan la identidad de una compañía. E intentan principalmente que las víctimas pinchen en un enlace, llamen a un número de teléfono o respondan al mensaje.

Historias de ingeniería social famosas

Desgraciadamente, hay muchos ejemplos de ataques de ingeniería social.

Correos, Movistar, Orange, Mercadona y un gran número de empresas han sido víctimas de ataques de suplantación de identidad, a través de un canal u otro, por parte de los ciberdelincuentes

Repasemos algunos clásicos:

Estafa nigeriana

Este es el cuento del tío de la era de Internet.

¿Quién no ha soñado con recibir una herencia inesperada de un pariente lejano?

La estafa nigeriana ofrece a su víctima una gran fortuna, indicándole que la suma le corresponde por una herencia, por una generosa donación, por ser ganador de un sorteo o por otros motivos distintos.

Para poder acceder a ella se exige como condición el pago por adelantado de una importante cantidad. Pero mucho menor de lo que supuestamente se va a ganar luego.

Scams sobre la muerte de celebridades

Estos casos son muy abundantes y demuestran cuánto les compensa a los hackers aprovechar noticias de famosos fallecidos o incluso inventar que murieron. Gracias a esto logran que cientos de usuarios curiosos hagan clic en enlaces engañosos.

Algunos ejemplos son:

  • la falsa muerte del automovilista Michael Schumacher y del cantante Ricardo Arjona,
  • el bulo de que Michael Jackson estaba vivo o
  • el suicidio del actor Robin Williams.

Falsas noticias alarmantes de Facebook

Seguro que alguno de tus contactos cayó en el famoso engaño de que Facebook cambiaría su color a rosa, el cual se propagaba a través de mensajes en las biografías de los usuarios que contenían un enlace.

Al hacer clic, se redireccionaba a un sitio infectado.

Lo mismo ocurría con la supuesta posibilidad de ver quién visitó tu perfil. Al clicar en el enlace se obtenía al azar los nombres de los contactos de la víctima para publicar automáticamente en su muro y así continuar la propagación de la amenaza.

Muy famoso fue también el falso botón “No Me Gusta”, que originaba un gasto extra a la víctima al quedar suscrita en servicios de SMS Premium.

Fotos y vídeos íntimos de famosos

Muchas fueron las famosas afectadas por la filtración de fotos íntimas. Entre ellas Jennifer Lawrence, Ariana Grande, Rihanna, Kate Upton y Kim Kardashian, en lo que se conoció como Celebgate

Como consecuencia de esto surgieron amenazas disfrazadas de archivos y carpetas que contenían el material robado. Así como scams con enlaces que supuestamente permitían ver vídeos XXX de las actrices.

Consejos para evitar ataques de ingeniería social

Aquí te dejo una serie de recomendaciones para protegerte de los más frecuentes ataques de ingeniería social.

No facilites datos personales

Una de las técnicas de ingeniería social que más se usa es la de un supuesto empleado de un banco que bien sea telefónicamente o a través de un correo fraudulento, os pide datos sobre vuestra cuenta bancaria (sobre tarjetas de crédito, contraseñas, etc).

A través del correo electrónico o redes sociales también nos suelen llegar muchos ataques de ingeniería social. Por ejemplo aquellos mensajes que nos llegan en los que suele haber un fichero adjunto o te indican que pinches en un enlace para “ver unas fotos íntimas de algún famoso”, o “fotos supuestamente tuyas”.

Lo que pretenden es que te infectes con algún tipo de malware para robarte información.

Hay que tener mucho cuidado sobre dónde se pincha y qué adjuntos abrir, sobre todo si no sabemos la procedencia del correo.

Recuerda que el banco nunca se pondrá en contacto contigo para pedirte este tipo de datos vía correo o teléfono. Ante la duda no des ningún dato nunca, y pregunta en el banco.

Protege tu información sensible

Otra técnica de ingeniería social que utilizan mucho los estafadores que tienen acceso físico a nuestro entorno es el “basureo”. Es decir, rebuscar entre nuestra papelera cualquier tipo de documento que pueda incluir datos privados nuestros que luego puedan utilizar en nuestra contra.

Debemos custodiar de manera adecuada cualquier documento que incluya información sensible nuestra y destruirlo antes de tirarlo a la papelera para que nadie pueda obtener nuestros datos (recibos del banco, nóminas, facturas, etc)

Es muy importante en el trabajo tener una política de escritorios limpia y no dejar a la vista ningún documento que incluya información sensible que pueda ser utilizada en nuestra contra.

No olvides nunca recoger de la impresora documentos que hayas impreso y contengan información confidencial

Una persona malintencionada podría robarnos esa información y usarla para fines maliciosos.

Cuidado al compartir información

Hoy en día sin darnos cuenta hacemos pública demasiada información nuestra sobre todo en redes sociales cuando activamos la geolocalización por ejemplo, en nuestros comentarios o nuestras fotos, si no tenemos bien configurada la cuenta cualquiera (no solo tus amigos) vería en cada momento donde nos encontramos y podrían estar espiando nuestros movimientos.

Haz un uso adecuado de los datos que proporcionas en Internet:

  • fotos que subes,
  • tratamiento de los metadatos de los archivos/fotos que intercambias,
  • datos financieros, direcciones, etc.

Cualquiera podría estar espiándonos y usar toda esa información para estafarnos o atentar contra nuestra intimidad.

Cierra sesión y no guardes las contraseñas

Si no quieres que tu identidad sea suplantada o que alguien pueda tener acceso a sitios a los que has accedido desde un ordenador que no sea el tuyo, es muy importante que cuando acabes salgas de la aplicación cerrándola correctamente. Y que te asegures de que no has aceptado que el navegador guarde tus contraseñas.

A través de algunas de las ya comentadas técnicas de ingeniería social es posible que averigüen nuestra fecha de cumpleaños, nombre de nuestra mascota, ciudad donde nacimos o nuestro equipo deportivo favorito. Así que por favor, no uses estos datos como contraseñas!!!

Se recomienda utilizar contraseñas robustas compuestas por caracteres alfanuméricos y símbolos de puntuación, que sea larga y no contenga palabras que puedan encontrarse en un diccionario.

Y por supuesto, cambiarla de vez en cuando y nada de dejarla apuntada en un sitio donde os la puedan ver.

Cuidado también con la “pregunta secreta” si la usamos para recuperar nuestra contraseña. Elige una pregunta cuya respuesta sólo sepas tú y nadie pueda averiguarla.

Por último, recuerda que el sentido común y la precaución son los mejores aliados en la defensa contra la ingeniería social.

Saber identificar los ataques de ingeniería social es fundamental para tener una buena seguridad en Internet.

Así que ya lo sabes: el ingenio de quienes pretenden engañarte no tiene límites y siempre surgirán nuevos temas para conseguir que los más despistados hagan clic.

Sobre los ataques de ingeniería social y cómo evitarlos
4.8 (96%) 5 votos