[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/01\/09\/ataques-ingenieria-social-evitarlos\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2019\/01\/09\/ataques-ingenieria-social-evitarlos\/","headline":"Ataques de ingenier\u00eda social \u00bfQu\u00e9 son y c\u00f3mo evitarlos?","name":"Ataques de ingenier\u00eda social \u00bfQu\u00e9 son y c\u00f3mo evitarlos?","description":"Aprende a detectar y prevenir ataques de ingenieria social con estos consejos, como se realizan esos ataques, ejemplos de ingenieria social \u2705","datePublished":"2019-01-09","dateModified":"2020-10-08","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2019\/01\/ataques-de-ingenieria-social-01.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2019\/01\/ataques-de-ingenieria-social-01.jpg","height":843,"width":1500},"url":"https:\/\/ayudaleyprotecciondatos.es\/2019\/01\/09\/ataques-ingenieria-social-evitarlos\/","about":["CIBERSEGURIDAD"],"wordCount":3207,"articleBody":"              if (typeof BingeIframeRan === \"undefined\") {                window.addEventListener(\"message\", receiveMessage, false);                function receiveMessage(event) {                  try {                    var parsed = JSON.parse(event.data)                    if (parsed.context === \"iframe.resize\") {                      var iframes = document.getElementsByClassName(\"binge-iframe\");                      for (let i = 0; i < iframes.length; ++i) {                        if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) {                          iframes[i].height = parsed.height; }                         iframes[i].style.opacity = 1;                     }                    }                  } catch (error) {                  }                }                var BingeIframeRan = true;              }              Cuando pensamos en ataques inform\u00e1ticos o ciberataques, es muy probable que lo primero que nos venga a la mente sean intentos de hackeos a trav\u00e9s del uso de malware o spyware, pero lo cierto es que hay formas m\u00e1s sencillas que solo requieren un poco de habilidad en manipular a las personas y saber d\u00f3nde buscar informaci\u00f3n sobre ellas. Hablamos de los ataques de ingenier\u00eda social. En esta entrada vamos a ver qu\u00e9 es un ataque de ingenier\u00eda social y c\u00f3mo podemos prevenirlos, adem\u00e1s de algunos ejemplos, para que ve\u00e1is lo habituales que son hoy en d\u00eda.\u00bfQu\u00e9 es un ataque de ingenier\u00eda social?\u00bfC\u00f3mo se realizan los ataques de ingenier\u00eda social?Tipos de ataques de ingenier\u00eda socialAtaques personalesPretextingDumpster DivingShoulder SurfingBaitingAtaques escalablesPhishingSmishingVishingSextorsion\u00bfC\u00f3mo evitar los ataques de ingenier\u00eda social?No facilites datos personalesProtege tu informaci\u00f3n sensibleCuidado al compartir informaci\u00f3nCierra sesi\u00f3n y no guardes las contrase\u00f1asEjemplos reales de ataques de ingenier\u00eda socialEstafa nigerianaScams sobre la muerte de celebridadesFalsas noticias alarmantes de FacebookFotos y v\u00eddeos \u00edntimos de famososEmail suplantando a la Agencia TributariaEntradas relacionadas\u00bfQu\u00e9 es un ataque de ingenier\u00eda social?La Ingenier\u00eda social es un m\u00e9todo de ataque en que una persona mal intencionada utiliza la manipulaci\u00f3n psicol\u00f3gica para inducir a otras personas a que:Divulguen sus informaciones personales,Descarguen apps falsas oAccedan a enlaces maliciosos.A diferencia del malware o los m\u00e9todos usados por hackers tradicionales, los ataques de ingenier\u00eda social no utilizan sistemas muy sofisticados o programas de \u00faltima generaci\u00f3n. Cuentan solamente con la ingenuidad de las personas.Generalmente el ciberdelincuente se presenta con identidad falsa dici\u00e9ndose representante de alguna empresa o marca famosa y con esto intenta convencer a la victima para que le facilite sus datos personales.\u00bfC\u00f3mo se realizan los ataques de ingenier\u00eda social?Los ataques de ingenier\u00eda social se pueden realizar de diferentes formas y a trav\u00e9s de diferentes medios; estas son solo algunos ejemplos de ataques de ingenier\u00eda social m\u00e1s habituales en las que se llevan a cabo (m\u00e1s adelante profundizaremos en algunas ellas):Por\u00a0correo electr\u00f3nico, mediante ataques de tipo\u00a0phishing.Por\u00a0tel\u00e9fono, a trav\u00e9s de una t\u00e9cnica conocida como\u00a0vishing. Consiste en realizar llamadas telef\u00f3nicas suplantando la identidad de una persona o compa\u00f1\u00eda para conseguir informaci\u00f3n confidencial de las v\u00edctimas.A trav\u00e9s de las\u00a0redes sociales, los ciberdelincuentes usan este medio a menudo para extorsionar a los internautas.Mediante unidades externas, como USB. Los hackers infectan estos dispositivos con malware y despu\u00e9s los colocan cerca de las instalaciones de una empresa con el objetivo de que los empleados m\u00e1s curiosos los inserten en sus equipos. Esta t\u00e9cnica es conocida como baiting.A trav\u00e9s de mensaje de texto (smishing), con el que los cibercriminales suplantan la identidad de una compa\u00f1\u00eda. E intentan principalmente que las v\u00edctimas pinchen en un enlace, llamen a un n\u00famero de tel\u00e9fono o respondan al mensaje.Tipos de ataques de ingenier\u00eda socialComo dec\u00edamos existen diferentes tipos de ataques basados en ingenier\u00eda social, que habitualmente se agrupan en dos categor\u00edas: ataques personales y ataques escalables. A continuaci\u00f3n vamos a ver los m\u00e1s habituales en ambas categor\u00edas.Ataques personalesEsta primera categor\u00eda de ataques personales o locales ni siquiera requiere de conexi\u00f3n a Internet, puesto que se llevan a cabo en persona, es decir, de manera f\u00edsica.PretextingEl pretexting (pretexto) suele ir de la mano del Impersonate (hacerse pasar por alguien), ya que lo m\u00e1s habitual es que el atacante se haga pasar por un t\u00e9cnico o empleado de alguna empresa de servicios, para ganarse la confianza de la v\u00edctima y despu\u00e9s le ofrecer\u00e1 alguna excusa para alejarla de su equipo inform\u00e1tico o dispositivo y poder acceder a \u00e9l. Por ejemplo, alertar de alg\u00fan problema de seguridad que necesita revisar. En el momento en que el atacante gana acceso al equipo, podr\u00e1 instalar alg\u00fan tipo de malware para tomar control del mismo.Dumpster Diving\u00bfCu\u00e1ntos de vosotros no hab\u00e9is anotado alguna contrase\u00f1a en un papel? Es algo habitual y normalmente, si el papel no sale de casa, no entra\u00f1a mucho riesgo. Sin embargo, cuando a veces hacemos limpieza, podemos tirar esos papeles sin destruirlos adecuadamente antes. Y aunque os pueda parecer extra\u00f1o o poco probable, hay que gente que rebusca entre la basura de otros para encontrar esa informaci\u00f3n que no hemos destruido debidamente.Lo mismo podemos aplicar a soportes digitales, como CDs, discos duros y memorias USB, que decidimos tirar sin previamente limpiarlas o destruirlas de forma correcta.Shoulder SurfingA veces echar un vistazo por encima del hombro para ver qu\u00e9 libro est\u00e1 leyendo una persona que viaja a nuestro lado en el transporte p\u00fablico, es un gesto inocente que responde a nuestra curiosidad. Sin embargo, para aquellos que buscan hacerse con contrase\u00f1as, PIN o patrones de desbloqueo de equipos port\u00e1tiles, espiar por encima del hombro de su v\u00edctima es una forma de averiguarlo con relativa facilidad, ya que muchas veces no estamos muy pendientes de la gente a nuestro alrededor cuando sacamos el m\u00f3vil y lo desbloqueamos, por ejemplo.BaitingLo hemos mencionado antes; el baiting (poner un cebo) consiste en dejar un pendrive con software malicioso dentro en alg\u00fan sitio que la v\u00edctima visite con regularidad (puede ser su escritorio, por ejemplo) y esperar a que la curiosidad haga el resto. Es probable que si te encuentras un pendrive por ah\u00ed tirado lo recojas y te lo lleves para, si no ver lo que hay en su interior, borrar el contenido y usarlo t\u00fa. Seguramente, en el momento en que lo conectemos al ordenador y lo abramos, el malware que lleva incorporado se instalar\u00e1 en nuestro equipo, dej\u00e1ndolo a merced de los hackers.Ataques escalablesEn la segunda categor\u00eda de ataques de ingenier\u00eda social tenemos los ataques escalables o remotos, es decir, los que s\u00ed requieren del uso de Internet (u otros medios de telecomunicaci\u00f3n) para llevarlos a cabo.PhishingEl phishing es todav\u00eda hoy en d\u00eda la pr\u00e1ctica m\u00e1s habitual de ingenier\u00eda social y a\u00fan as\u00ed sigue obteniendo resultados de las v\u00edctimas que caen en esta trampa.Consiste en enviar correos electr\u00f3nicos que simulan ser una comunicaci\u00f3n oficial de alguna compa\u00f1\u00eda, banco o servicio que tenemos contratado, en el que nos avisan de alg\u00fan problema con nuestra cuenta; para solucionarlo, nos indican pinchar en un enlace dentro del email. Dicho enlace nos llevar\u00e1 a una web falsa, aunque en apariencia pr\u00e1cticamente indistinguible de una real, donde tendremos que introducir bien nuestro usuario y contrase\u00f1a o incluso nuestros datos bancarios.Con el tiempo, los ataques de phishing se han ido refinando, hasta el punto de encontrar algunos bastante personalizados. Sin embargo, hay formas de evitarlo; lo primero es tener claro que ninguna compa\u00f1\u00eda o banco te va a pedir que les facilites ciertos datos por Internet y menos a trav\u00e9s de un enlace por correo electr\u00f3nico. Lo segundo es comprobar la direcci\u00f3n del remitente del correo, se parecer\u00e1 a la oficial, pero tendr\u00e1 algo que la haga evidentemente falsa. Y tercero, si os quer\u00e9is asegurar de que no hay un problema con vuestra cuenta, entrad en ella introduciendo la direcci\u00f3n en la barra de navegaci\u00f3n y no pinchando en el enlace del correo fraudulento.SmishingEn l\u00ednea con el phishing, pero llevado a la pr\u00e1ctica a trav\u00e9s de mensajes SMS, tenemos el smishing, que consiste en que el atacante suplanta la identidad tu banco o alg\u00fan servicio y te env\u00edan un SMS notific\u00e1ndote alg\u00fan problema que solo puede solucionar entrando en el enlace que te facilitan en el mensaje. Evidentemente, te llevar\u00e1 a una web falsa, que usar\u00e1n para robarte tus datos.VishingOtra forma de conseguir robarnos nuestras claves o datos personales es a trav\u00e9s del vishing. Esta t\u00e9cnica, que se lleva a cabo mediante una llamada telef\u00f3nica, consiste en que el atacante se hace pasar por un supuesto t\u00e9cnico o empleado de una compa\u00f1\u00eda para avisarnos de alg\u00fan problema y solicitarnos nuestros datos y claves personales para poder solucionarlo.Nuevamente, para evitarlo, deb\u00e9is recordar que vuestras compa\u00f1\u00edas o bancos nunca os pedir\u00e1n vuestras claves personales.SextorsionLa sextorsion como ataque de ingenier\u00eda social est\u00e1 muy relacionada con el phishing. Lo habitual es que la v\u00edctima reciba un email amenazador, en el que se le avisa de que han hackeado su ordenador y que han tenido acceso al contenido pornogr\u00e1fico que haya podido visitar, incluso dir\u00e1n que han accedido a la webcam y que le han grabado mientras ve\u00eda ese contenido en alguna posici\u00f3n comprometida. Le ofrecer\u00e1n alg\u00fan dato, como su nombre usuario o una contrase\u00f1a que use o haya usado, para tratar de convencerle de que van en serio y amenazar\u00e1n con divulgar dicho contenido con sus contactos de correo o redes sociales. Para no hacerlo, a cambio pedir\u00e1n el pago de una suma de dinero, normalmente en bitcoins.Evidentemente, si no frecuentas p\u00e1ginas pornogr\u00e1ficas o no tienes webcam, este tipo de ataque no suele preocuparte mucho, pero los atacantes siempre pueden dar con una v\u00edctima que dude y acabe picando.\u00bfC\u00f3mo evitar los ataques de ingenier\u00eda social?Ahora que ya conoces los ataques de ingenier\u00eda social m\u00e1s habituales, te damos varios consejos para que los evites en el futuro.No facilites datos personalesYa lo hemos comentado en algunos de los ataques que hemos descrito m\u00e1s arriba; deb\u00e9is recordar que ni vuestro banco ni ninguna compa\u00f1\u00eda con la que teng\u00e1is contratados servicios os va a pedir que les facilit\u00e9is vuestros datos personales a trav\u00e9s de un enlace dentro de un email. Y si ten\u00e9is la duda, nunca, nunca pinch\u00e9is en ese tipo de enlaces, en cambio, entrad en la web de vuestro banco o compa\u00f1\u00eda escribiendo la direcci\u00f3n la barra del navegador, para aseguraros de que lleg\u00e1is al sitio oficial y no a uno falso.Protege tu informaci\u00f3n sensibleA veces no solo se trata de proteger la informaci\u00f3n que contienen nuestros equipos, sino tambi\u00e9n aquella que queda recogida en formato papel o soportes digitales que pueden acabar en el punto limpio. Recordad que es importante destruir documentos (cuando ya no los necesitemos) que puedan contener datos personales o informaci\u00f3n sensible, como extractos bancarios, facturas, las etiquetas con nuestro nombre en direcci\u00f3n en paquetes de mensajer\u00eda\u2026 Igual que es importante destruir los soportes digitales que vayamos a tirar.Adem\u00e1s, si tenemos nuestras contrase\u00f1as escritas en un papel o pots-it, debemos asegurarnos de que est\u00e1n a buen recaudo y no a la vista de cualquiera.Cuidado al compartir informaci\u00f3nHoy en d\u00eda sin darnos cuenta hacemos p\u00fablica demasiada informaci\u00f3n nuestra sobre todo en redes sociales cuando activamos la geolocalizaci\u00f3n por ejemplo, en nuestros comentarios o nuestras fotos, si no tenemos bien configurada la cuenta cualquiera (no solo tus amigos) ver\u00eda en cada momento donde nos encontramos y podr\u00edan estar espiando nuestros movimientos.Haz un uso adecuado de los datos que proporcionas en Internet:Fotos que subes.Tratamiento de los metadatos de los archivos\/fotos que intercambias.Datos financieros, direcciones, etc.Cualquiera podr\u00eda estar espi\u00e1ndonos y usar toda esa informaci\u00f3n para estafarnos o atentar contra nuestra intimidad.Cierra sesi\u00f3n y no guardes las contrase\u00f1asSi no quieres ser v\u00edctima de suplantaci\u00f3n de identidad o que alguien pueda tener acceso a sitios a los que has accedido desde un ordenador que no sea el tuyo, es muy importante que cuando acabes salgas de la aplicaci\u00f3n cerr\u00e1ndola correctamente. Y que te asegures de que no has aceptado que el navegador guarde tus contrase\u00f1as.A trav\u00e9s de algunas de las ya comentadas t\u00e9cnicas de ingenier\u00eda social es posible que averig\u00fcen nuestra fecha de cumplea\u00f1os, nombre de nuestra mascota, ciudad donde nacimos o nuestro equipo deportivo favorito. As\u00ed que por favor, no uses estos datos como contrase\u00f1as.Se recomienda utilizar contrase\u00f1as robustas compuestas por caracteres alfanum\u00e9ricos y s\u00edmbolos de puntuaci\u00f3n, que sea larga y no contenga palabras que puedan encontrarse en un diccionario.Y por supuesto, cambiarla de vez en cuando y nada de dejarla apuntada en un sitio donde os la puedan ver.Cuidado tambi\u00e9n con la \u00abpregunta secreta\u00bb si la usamos para recuperar nuestra contrase\u00f1a. Elige una pregunta cuya respuesta s\u00f3lo sepas t\u00fa y nadie pueda averiguarla.Por \u00faltimo, recuerda que el sentido com\u00fan y la precauci\u00f3n son los mejores aliados en la defensa contra la ingenier\u00eda social.Saber identificar los ataques de ingenier\u00eda social es fundamental para tener una buena seguridad en Internet.Ejemplos reales de ataques de ingenier\u00eda socialA poco que busqu\u00e9is por Internet, podr\u00e9is encontrar una buena cantidad de ejemplos reales de ataques de ingenier\u00eda social. Correos, Movistar, Orange, Mercadona y otras grandes empresas no se han librado de ser v\u00edctimas de ataques de suplantaci\u00f3n de identidad para poder enga\u00f1ar a sus clientes y usuarios.A continuaci\u00f3n vamos a ver algunos de esos ejemplos:Estafa nigerianaEste es el cuento del t\u00edo de la era de Internet.\u00bfQui\u00e9n no ha so\u00f1ado con recibir una herencia inesperada de un pariente lejano?La estafa nigeriana ofrece a su v\u00edctima una gran fortuna, indic\u00e1ndole que la suma le corresponde por una herencia, por una generosa donaci\u00f3n, por ser ganador de un sorteo o por otros motivos distintos.Para poder acceder a ella se exige como condici\u00f3n el pago por adelantado de una importante cantidad. Pero mucho menor de lo que supuestamente se va a ganar luego.Scams sobre la muerte de celebridadesEstos casos son muy abundantes y demuestran cu\u00e1nto les compensa a los hackers aprovechar noticias de famosos fallecidos o incluso inventar que murieron. Gracias a esto logran que cientos de usuarios curiosos hagan clic en enlaces enga\u00f1osos.Algunos ejemplos son:La falsa muerte del automovilista Michael Schumacher y del cantante Ricardo Arjona.El bulo de que Michael Jackson estaba vivo.El suicidio del actor Robin Williams.Falsas noticias alarmantes de FacebookSeguro que alguno de tus contactos cay\u00f3 en el famoso enga\u00f1o de que Facebook cambiar\u00eda su color a rosa, el cual se propagaba a trav\u00e9s de mensajes en las biograf\u00edas de los usuarios que conten\u00edan un enlace.Al hacer clic, se redireccionaba a un sitio infectado.Lo mismo ocurr\u00eda con la supuesta posibilidad de ver qui\u00e9n visit\u00f3 tu perfil. Al clicar en el enlace se obten\u00eda al azar los nombres de los contactos de la v\u00edctima para publicar autom\u00e1ticamente en su muro y as\u00ed continuar la propagaci\u00f3n de la amenaza.Muy famoso fue tambi\u00e9n el falso bot\u00f3n \u00abNo Me Gusta\u00bb, que originaba un gasto extra a la v\u00edctima al quedar suscrita en servicios de SMS Premium.Fotos y v\u00eddeos \u00edntimos de famososMuchas fueron las famosas afectadas por la filtraci\u00f3n de fotos \u00edntimas. Entre ellas Jennifer Lawrence, Ariana Grande, Rihanna, Kate Upton y Kim Kardashian, en lo que se conoci\u00f3 como Celebgate.Como consecuencia de esto surgieron amenazas disfrazadas de archivos y carpetas que conten\u00edan el material robado. As\u00ed como scams con enlaces que supuestamente permit\u00edan ver v\u00eddeos XXX de las actrices.Email suplantando a la Agencia TributariaAdem\u00e1s de los Bancos o grandes empresas, tambi\u00e9n los organismos oficiales son objeto de suplantaci\u00f3n de identidad. Uno de ellos es la Agencia Tributaria, en cuyo nombre se han realizado varios ataques de ingenier\u00eda social.El \u00faltimo consiste en un email haci\u00e9ndose pasar por este organismo en el que nos informa de que al realizar una revisi\u00f3n de nuestra actividad fiscal ha comprobado que nos tiene que devolver un importe. Con esto ya consiguen captar la atenci\u00f3n de las v\u00edctimas.Para poder recibir el ingreso nos obliga a rellenar y enviar un cuestionario con nuestros datos.Se trata de una estafa que tiene la finalidad de robar los datos de la v\u00edctima suplantando la identidad de la Agencia Tributaria. Y para conseguir esa finalidad usan la devoluci\u00f3n de impuestos como cebo.La Agencia Tributaria nos da una serie de recomendaciones para no caer en estas estafas. As\u00ed, nos indican que ellos nunca nos pedir\u00e1n datos econ\u00f3micos, personales o confidenciales por correo electr\u00f3nico. No nos pedir\u00e1n n\u00fameros de tarjetas bancarias o de cuenta.Tampoco se realizan nunca devoluciones en tarjetas bancarias por lo que no debemos rellenar ning\u00fan formulario en el que nos solicite esa tarjeta.La Agencia Tributaria en ning\u00fan caso cobrar\u00e1 ning\u00fan importe por los tr\u00e1mites realizados. Por ello no nos enviar\u00e1n nunca un email solicit\u00e1ndonos un dinero por un tr\u00e1mite realizado de devoluci\u00f3n de impuestos.Entradas relacionadas\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\tPharming, c\u00f3mo protegernos de esta estafa online\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t"},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/01\/09\/ataques-ingenieria-social-evitarlos\/#breadcrumbitem","name":"Ataques de ingenier\u00eda social \u00bfQu\u00e9 son y c\u00f3mo evitarlos?"}}]}]