No todos los ciberataques sofisticados utilizan malware o programación. En ocasiones, les basta con jugar con las emociones humanas más básicas, como el miedo, la codicia, la confianza o la sensación de urgencia. Descubre las técnicas de ingeniería social que utilizan los hackers para engañarte y conseguir que les reveles datos confidenciales.
¿Qué es la ingeniería social?
La ingeniería social abarca diferentes tipos de ataques que explotan la psicología humana para conseguir que las personas entreguen información personal. Normalmente, juegan con las emociones de la víctima, como el miedo, la codicia, la confianza o la sensación de urgencia. La intensidad de sus sentimientos le nubla la razón y está más dispuesta a revelar datos que normalmente nunca daría.
Los hackers utilizan diversas técnicas de ingeniería social para obtener datos personales como credenciales de inicio de sesión, contraseñas, números de cuentas bancarias, números de la seguridad social, etc. Con estos datos, pueden acceder a tu red y robarte el dinero o la identidad. También pueden utilizar los datos en futuros ataques.
A los hackers les gustan los ataques de ingeniería social porque son más simples de llevar a cabo que los ataques de malware y, además, tienen un mayor índice de éxito. De hecho, con algunas tácticas de ingeniería social, ni siquiera hace falta saber programar.
Tipos de ataques de ingeniería social
Suplantación de identidad o phishing
El Suplantación de identidad o phishing es probablemente la táctica de ingeniería social más habitual. Las estafas de phishing pueden realizarse por diversos canales: correo electrónico, chat, anuncios en internet y sitios web. Sin embargo, lo más habitual es que los hackers envíen correos electrónicos para engañarte y conseguir que descargues malware o hagas clic en un enlace malicioso para robarte los datos. Estos correos están diseñados para tentarte con una oferta irresistible, asustarte con amenazas a la seguridad o manipular tu confianza.
He aquí algunos ejemplos de ingeniería social:
Recibes un correo donde te dicen que has ganado un millón en la lotería y te piden que hagas clic en un enlace para reclamar el premio.
Un banco se pone en contacto contigo en relación con un préstamo que nunca has pedido y te solicita que confirmes tus datos de pago.
Una empresa de reparto te envía una factura y te pide que la pagues de inmediato.
Spear phishing
El Spear phishing es similar al phishing, pero requiere más trabajo y, en consecuencia, tiene un mayor índice de éxito. Las estafas y los correos de phishing se dirigen a miles de personas de las que el hacker no sabe nada. En el spear phishing, en cambio, el hacker elige un objetivo concreto: una persona o una empresa. A continuación, realiza una investigación para analizar a la víctima y crear una estrategia infalible para conseguir sus datos.
Por ejemplo, un contable recién llegado a una empresa podría recibir un correo de un directivo que le pide transferir una elevada suma de dinero a la cuenta de un socio extranjero. El mensaje dice que la transferencia debe efectuarse de inmediato. Si el nuevo empleado desconoce los procedimientos habituales de la empresa o no sabe qué puede esperar de su jefe, es probable que le transfiera el dinero al hacker.
Pretexting
Si el phishing juega sobre todo con el miedo y el sentido de urgencia de las personas, el pretexting es todo lo contrario: se aprovecha de la confianza humana. Como su nombre indica, el pretexting consiste en utilizar un pretexto o una historia creíble para entablar buenas relaciones con la víctima y no dejar lugar a dudas. El pretexting se utiliza tanto online como fuera de internet. Por ejemplo, un hacker podría fingir que es un auditor y convencerte de que le dejes entrar a la sala de los servidores. O podría hacerse pasar por el director de tu banco y llamarte para que le confirmes tus datos bancarios.
Baiting
En el baiting, los hackers utilizan un objeto o una oferta irresistible como cebo para infectar tu dispositivo o una red entera. Hace un tiempo podían, por ejemplo, dejar en el aparcamiento un USB con la etiqueta «Sueldos de los ejecutivos 4.º trimestre», lo que sin duda llamaría la atención de cualquier persona. Hoy en día, es más probable encontrarse con esta táctica en una plataforma P2P. ¿Te gustaría descargar un episodio de Juego de tronos en alta calidad? Pero ¿cómo sabes que no se trata de un troyano?
Quid pro quo
En un ataque tipo «quid pro quo», el hacker te presenta una oferta tentadora y te pide algo a cambio, normalmente tus datos personales. Podría ser un «tío» tuyo al que no conoces de nada y que quiere transferirte una suma de dinero; solo tienes que darle tus datos bancarios. O tal vez sea un «especialista informático» con el que nunca te has puesto en contacto y que se ofrece a arreglarte el portátil por puro altruismo: solo necesita que le des acceso remoto a tu dispositivo.
Scareware
Si visitas sitios web no seguros (HTTP en lugar de HTTPS), tal vez te aparezcan anuncios o banners que te avisan de que tienes malware en tu dispositivo. No se trata de una ventana emergente de tu antivirus, sino que te incitan a descargar el único programa capaz de eliminar el peligroso virus. El problema es que el software que te piden descargar es en realidad un programa maligno; de ahí que esta táctica se llame scareware («scare» significa asustar).
Tailgating
Este método puede compararse en cierto modo con el pretexting, pero su objetivo principal suele ser introducirse en un edificio protegido por medidas de seguridad y no requiere mucha investigación. Consiste en que un hacker sigue a otra persona de cerca para colarse en el edificio, por ejemplo, fingiendo ser un repartidor. O simplemente, siguiendo a un empleado que no sospeche de una cara desconocida.
¿Cómo protegerse de la ingeniería social?
Puede parecer difícil protegerse frente a la ingeniería social, ya que cualquier persona podría caer en una estafa. Sin embargo, puedes tomar varias medidas sencillas para prevenir los ataques, reconocerlos y ponerles fin en cuanto sucedan.
Utiliza un buen antivirus y mantenlo actualizado.
No te lo creas todo a pies juntillas. Si una oferta parece demasiado buena para ser verdad, lo más probable es que no sea verdad.
No te apresures: investiga la situación antes de actuar. Si no tienes claro si la oferta o la solicitud son auténticas, ponte en contacto directamente con la empresa o con tu jefe.
Si un correo, un enlace o un archivo adjunto te parecen sospechosos, no los abras ni los descargues.
Familiarízate con las políticas de privacidad y seguridad de tu empresa. No permitas que un desconocido entre en una zona protegida con medidas de seguridad; pregúntale qué hace allí.
No compartas tu ordenador con otras personas y bloquéalo cuando no lo estés usando.
Activa los filtros antispam con el nivel de protección más alto.
Utiliza la autenticación multifactor. De este modo, aunque los hackers se hagan con tus credenciales de inicio de sesión, no lograrán acceder a tus cuentas, ya que no podrán superar el segundo paso de confirmación.
Forma a tus empleados y compañeros de trabajo para que sepan reconocer los ataques de ingeniería social.
No compartas por internet los nombres de tus hijos, mascotas, lugar o fecha de nacimiento y demás datos personales.
Ten cuidado con los amigos a los que solo conoces de internet.
Utiliza contraseñas únicas y seguras y protégelas con un gestor de contraseñas.
Suscríbete a nuestro boletín mensual gratuito más abajo para recibir información sobre ciberseguridad y consejos para proteger tus contraseñas.