¿Qué es exactamente la Ingeniería Social y como puede protegerse de ser víctima de ella?

En el mundo del cibercrimen la ingeniería social se refiere a un método de manipulación que se utiliza para recopilar información confidencial de las personas. Es posible que haya sido objeto de un ataque de ingeniería social si alguna vez recibió una llamada telefónica o un correo electrónico inesperado de alguien que le solicitó su número de cuenta, número de seguro social u otra información personal .

Los atacantes que utilizan la ingeniería social no necesitan ingresar a las bases de datos ni eludir las medidas de seguridad cibernética; más bien deben persuadir a los consumidores para que brinden voluntariamente información confidencial fingiendo ser negocios de buena reputación o entregando productos falsificados. Estas estafas pueden estar dirigidas a una amplia variedad de información, incluidos números de tarjetas de crédito, detalles de cuentas bancarias e incluso archivos y dispositivos confidenciales.

La práctica de la ingeniería social puede adoptar una variedad de apariencias y no siempre es fácil de identificar. Estás de suerte ya que hay una variedad de métodos a tu disposición que pueden ayudarte a reconocer tales contras y defenderte de futuros ataques.

¿Cómo funciona la ingeniería social?

El término “ingeniería social” se refiere a la práctica de coaccionar a alguien para que revele información confidencial o le conceda acceso a un dispositivo o cuenta personal. Los hackers a menudo se comunicarán con usted haciéndose pasar por alguien que conoce y en quien confía para solicitar información o consejos sobre cómo acceder a un sitio web o un archivo. Por ejemplo una corporación puede enviarle un correo electrónico exigiendo que descargue un archivo adjunto o un representante del soporte técnico puede llamarlo para solicitar información.

Algunas de estas comunicaciones son persuasivas y puede ser difícil distinguirlas de las solicitudes legítimas a primera vista. Los estafadores a menudo realizan investigaciones preliminares sobre la empresa o la persona a la que pretenden dirigirse para obtener la mayor cantidad de información posible sobre ellos. Una vez que han obtenido esta información pueden personalizar sus comunicaciones adaptándolas a las afiliaciones o puestos que ocupa el objetivo dentro de la empresa.

Si la víctima es engañada por la estafa, se le puede solicitar que proporcione información de la cuenta, ingrese sus credenciales de inicio de sesión en un sitio web falso o descargue malware en su dispositivo sin su conocimiento.

Diversas formas de manipulación utilizando ingeniería social.

Los hackers tienen una amplia variedad de herramientas a su disposición para realizar ataques de ingeniería social. Estos son los cuatro que ocurren con mayor frecuencia:

Phishing

Uno de los métodos más extendidos de fraude de ingeniería social se conoce como phishing. Para llevar a cabo este ataque, un hacker se hará pasar por una corporación u organización conocida y enviará un correo electrónico a los objetivos del ataque solicitando acceso a sus credenciales de inicio de sesión, información de tarjetas de crédito u otros datos confidenciales.

La información puede solicitarse directamente de usted, o el hacker puede pedirle que haga clic en un enlace que lo llevará a un sitio web falso donde debe ingresar sus credenciales de inicio de sesión u otra información confidencial.

Los estafadores también pueden realizar ataques de phishing utilizando otros modos de comunicación, como la mensajería instantánea. Las estafas de phishing que se realizan a través de mensajes de texto se denominan smishing, mientras que las estafas de phishing realizadas mediante llamadas telefónicas o mensajes de voz se denominan vishing. Los correos de phishing como este a veces contienen algún tipo de advertencia o indicación de peligro inminente para alentar a sus objetivos a tomar medidas inmediatas.

Suplantación de Identidad (Spear Phishing)

Un tipo de ataque de phishing conocido como spear phishing es aquel que está dirigido especialmente a un miembro del personal de una empresa u otra organización. En lugar de enviar un correo electrónico o mensaje genérico a un gran grupo de personas el atacante selecciona a un trabajador para que entregue una solicitud de información personalizada. Es común que estas comunicaciones persuadan al objetivo de que tiene una conexión con el remitente, lo que aumenta la probabilidad de que el objetivo proporcione información o datos privados.

Baiting

Aunque el resultado final es el mismo en ambos casos, los métodos utilizados en phishing y baiting no son exactamente iguales. Los estafadores no envían solicitudes de información; más bien insertan anuncios o hardware que engañan a las víctimas para que visiten sitios web dañinos o descarguen malware. Por ejemplo un adversario puede crear un anuncio atractivo que dé la impresión de conducir a la página de un producto. Sin embargo cuando el usuario haga clic en él descargará un programa que está infestado de malware.

Otra táctica común para cometer fraude es el uso de dispositivos físicos reales. Para hacer esto los hackers instalarán una unidad flash u otro tipo de dispositivo de almacenamiento en un área donde sea fácil para sus objetivos encontrarlo. Cuando la víctima conecta el dispositivo a su computadora abre la puerta para que el software malicioso ingrese al dispositivo.

Tailgaiting

Para obtener acceso a una ubicación restringida una persona puede implementar los ataques basados ​​en hardware conocidos como “tailgating” en los que finge ser un empleado u otra persona de confianza. Es posible que alguien que se hace pasar por conserje le pida que le deje la puerta abierta, o puede ser que un nuevo empleado haya extraviado su tarjeta de acceso. Una vez que el atacante ha obtenido acceso, su siguiente paso es buscar datos, documentos u otro material que esté prohibido para la empresa.

Ejemplos de exploits usando Ingeniería Social

Como resultado del hecho de que los hackers quieren parecer lo más creíbles posible, los ataques de ingeniería social pueden ser difíciles de detectar. Comprenderá mejor cómo puede ser un ataque de ingeniería social leyendo los siguientes ejemplos del mundo real.

Sofisticado ataque de Phishing por correo electrónico digerido a Google y Facebook

Entre 2013 y 2015, una banda de hackers empleó el phishing selectivo para estafar a Google y Facebook por un total de 100 millones de dólares. Este incidente es uno de los incidentes de ingeniería social más conocidos que jamás haya tenido lugar.

La pandilla que estaba dirigida por Evaldas Rimasauskas fabricó una empresa de fabricación de computadoras para que se pareciera casi exactamente al proveedor original que usan Google y Facebook. Siguieron esto enviando facturas específicas de los trabajadores por correo electrónico solicitando a esos empleados que enviaran dinero a una cuenta bancaria que estaba controlada por los hackers. La organización logró persuadir a los trabajadores para que transfirieran un total de cien millones de dólares en el transcurso de dos años utilizando facturas que incluían productos y servicios que habían sido entregados por una empresa real. Además los remitentes parecían confiables.

Fraude a la seguridad social en los Estados Unidos

En 2018 la Comisión Federal de Comercio comenzó a recibir muchas denuncias de llamadas de estafadores que decían trabajar para la Administración del Seguro Social. Estos estafadores dieron la falsa impresión de que llamaban de la Administración del Seguro Social. Durante estas conversaciones los hackers se hicieron pasar por trabajadores y solicitaron a las víctimas que verificaran sus números de seguro social antes de colgar. Intentaban reforzar la credibilidad de las llamadas afirmando que un problema con una computadora había provocado una dificultad a nivel interno.

El robo de identidad es un problema persistente que a menudo ocurre como resultado de estafas de ingeniería social como las que se describen a continuación. Debido a esto las autoridades recomiendan encarecidamente al público en general que nunca proporcione su información de seguridad social por teléfono particularmente en el caso de que reciba una llamada dudosa.

Señales de un posible ataque

Los ataques que incluyen ingeniería social son cada vez más convincentes y más difíciles de detectar a medida que pasa el tiempo. Estás de suerte ya que existen indicadores que pueden ayudarte a reconocerlos antes de que te conviertas en su próxima víctima.

No puede identificar al remitente

No debe suponer automáticamente que es el objetivo de un ataque de ingeniería social solo porque recibió un correo electrónico o un mensaje de alguien que no conoce, pero aun así debe tener cuidado. Verifique la identificación del remitente antes de reaccionar a cualquiera de sus mensajes o hacer clic en cualquiera de los enlaces que le proporcionan si afirman trabajar para su empresa u organización.

Correos electrónicos inesperados

Si recibe un correo electrónico inesperado de un compañero de trabajo o de una empresa con la que no suele tratar, existe la posibilidad de que se trate de una estafa. Especialmente en el caso de que la carta comunique un sentimiento de urgencia y le solicite detalles de acceso u otros datos sensibles, así como también se lo solicite. Los estafadores a menudo usan esta táctica para engañar a los trabajadores para que proporcionen información por temor a represalias por parte de sus empleadores. En caso de que esto le ocurra debe abstenerse de responder al correo electrónico o abrir archivos adjuntos hasta que haya confirmado con su gerente o un compañero de trabajo que la solicitud es genuina.

Proveedores de descargas gratuitas

Los hackers que utilizan la ingeniería social a menudo utilizan la promesa de un producto de descarga gratuita como otra táctica para que sus víctimas hagan clic en enlaces que conducen a sitios web maliciosos. Estas ofertas a menudo llegan en forma de un correo electrónico o un anuncio que se muestra en línea e incluyen descargas gratuitas de software, música, libros electrónicos u otros elementos digitales. También es posible colocar botones de descarga en artículos web o junto a enlaces que sean legales para engañar a los lectores.

Quieren una respuesta inmediata de usted

Una de las características más frecuentes de un ataque mediante ingeniería social es la sensación de urgencia. Debido a que los hackers no quieren darle tiempo para evaluar la autenticidad de su solicitud es posible que le digan que hay una emergencia o que hay una fecha límite y que necesitan la información tan pronto como puedan obtenerla. Si el hacker se hace pasar por un superior, una institución financiera u otra entidad importante puede ser bastante difícil luchar contra él. Antes de responder a cualquier demanda de información es fundamental verificar la legitimidad de las mismas en particular las que surgen de la nada.

Cómo salvaguardar su propia seguridad

Una vez que se haya familiarizado con las indicaciones reveladoras de un ataque de ingeniería social, debe pensar en implementar los procedimientos que se describen a continuación para defenderse de más ataques.

Nunca haga click en enlaces que provengan de fuentes desconocidas

Nunca abra un correo electrónico no solicitado ni haga clic en un enlace a una descarga gratuita que vea en un anuncio. Los estafadores a menudo incluyen enlaces dañinos en correos electrónicos o anuncios que se muestran en línea para que las víctimas descarguen software contaminado en sus dispositivos. Si recibe una oferta cuestionable en un correo electrónico o se encuentra con un anuncio que parece demasiado bueno para ser verdad, debe asumir que se trata de una estafa. Si hace clic en la URL proporcionada sin verificar primero su legitimidad, puede poner su dispositivo en riesgo de ser infectado con malware o poner en peligro información importante.