23 enero, 2023
Se llama ingeniería social a las diferentes técnicas de manipulación que usan los ciberdelincuentes para obtener información confidencial de los usuarios. Enterate más sobre esta práctica para estar prevenido.
Hoy en día, uno de los activos más valiosos es la información. Compartir nuestra información personal en línea con millones de personas, ya sea en redes sociales, e-mail o aplicaciones, puede terminar en una invasión a la privacidad.
Basándose en técnicas de Ingeniería Social, ciberdelincuentes engañan a sus víctimas haciéndose pasar por otra persona, con el fin de obtener información que puedan utilizar para manipular a la víctima y cometer delitos. Por ejemplo, se hacen pasar por familiares, personas de soporte técnico, compañeros de trabajo o personas de confianza para engañarlas, apropiarse de datos personales, contraseñas bancarias y hasta suplantar la identidad de la persona engañada.
Como la ingeniería social explota las debilidades humanas en lugar de las vulnerabilidades técnicas o del sistema digital, a veces se le llama «ataque informático humano».
¿Cómo actúan?
Los ciberdelincuentes manipulan y engañan a las personas a través de:
- llamadas telefónicas o SMS
- mensajes en aplicaciones de mensajería instantánea
- correos electrónicos
- redes sociales
¿Cuáles son las técnicas de ingeniería social más difundidas?
Los ataques de ingeniería social son muy difíciles de identificar. Los ciberdelincuentes usan diferentes técnicas psicológicas y sociales y trabajan con distintos tipos de dispositivos y plataformas para engañar a las personas. Entre las diferentes técnicas, podemos enumerar:
- Vishing: Con ella obtienen información mediante una llamada telefónica. El ciberdelincuente se hace pasar por un familiar, personal de una empresa o de soporte técnico y obtiene datos de la víctima.
- Baiting: El baiting atrae a las víctimas para que, consciente o inconscientemente, entreguen información confidencial a través de formularios web, o descarguen código malicioso, tentándolas con una oferta interesante o ganar un premio valioso.
- Phishing: envían correos electrónicos falsos para obtener información de la víctima. Por ejemplo, pueden solicitar datos personales, de tarjetas de crédito, de la obra social, de actualización laboral, contraseñas de sistemas, etc.
- Dispositivos maliciosos: dejan colocado un dispositivo con contenido malicioso en una computadora y este obtiene información de la persona que la utiliza.
- Spear phishing: envían un correo electrónico falso a alguien que tiene, por ejemplo, un determinado cargo o maneja información sensible en una empresa. Los delincuentes intentan robarle datos sensibles de dicha organización.
- Concursos falsos: informan a la persona que ha ganado un premio para obtener información personal o pagos por envíos de ese premio que no existe.
- Farming: realizan varias comunicaciones con las víctimas hasta conseguir la mayor cantidad de información posible, para luego utilizarla con distintos fines, como extorsión.
- Robo de cuentas: roban los accesos a cuentas reales para cometer ilícitos entre los contactos de la víctima, como enviar software malicioso, realizar estafas o pedidos de dinero.
¿Cómo podemos protegernos de la ingeniería social?
Las personas tienden a actuar precipitadamente cuando están asustadas o apuradas. Las estafas de ingeniería social pueden utilizar cualquier número de técnicas para inducir miedo o urgencia en las víctimas: decirle a la víctima que una transacción de una compra reciente no se ha aprobado, que un virus ha infectado su sistema, que si no abona una deuda cortarán tal servicio, etc. La ingeniería social también puede apelar al miedo de las víctimas a perderse algo (FOMO), lo que crea un tipo de urgencia diferente.
Para protegerte de ataques de Ingeniería Social es fundamental que no entregues datos personales a personas extrañas por teléfono, correos electrónicos o redes sociales. Además:
- Configurá la privacidad en las redes sociales para que no queden expuestos tus datos personales.
- Informate y aprendé sobre este tipo de amenazas.
- Usá una contraseña segura y diferente para cada dispositivo o aplicación que utilices con regularidad.
- Configurá la autenticación en dos pasos para estar alerta de accesos indebidos a tus cuentas.
- Prestá atención a cualquier persona / marca / empresa que te pida información personal a través de redes o e-mail.
- Nunca divulgues información personal sensible con desconocidos o en lugares públicos.
Defensas de Ingeniería Social para empresas:
En una gran organización, basta con el error de un solo empleado para comprometer la integridad de toda la red empresarial. Algunas de las medidas que los expertos recomiendan para mitigar el riesgo y el éxito de las estafas de Ingeniería Social incluyen:
- Implementar un conjunto de políticas de seguridad en la organización que minimice las acciones de riesgo.
- Efectuar controles de ciberseguridad para reducir el peligro inherente del robo de la información.
- Realizar rutinariamente auditorías para detectar huecos de seguridad de esta naturaleza.
- Llevar a cabo de manera regular programas de concientización sobre la seguridad de la información entre los empleados y colaboradores.
- Mantener los sistemas operativos actualizados con los últimos parches de seguridad para cerrar algunas vulnerabilidades que los atacantes explotan a través de ingeniería social.
Ahora que conoces más sobre la ingeniería social y la seguridad de la información, la próxima vez que sientas que tu información no está completamente segura, recordá y poné en práctica estos consejos.