Blog
Últimas noticias
bg
Consejos sobre seguridad

¿Qué es la ingeniería social?

LastPassJune 28, 2024
¿Qué es la ingeniería social?

Los ciberdelitos que mayores estragos han causado no se han fraguado gracias a algoritmos complejos ni software de última generación, sino aprovechando la confianza y los descuidos de los usuarios. A través de la ingeniería social, los hackers pulsan los teclas (metafóricas) que abren la puerta a comportamientos de riesgo. Y los utilizan para introducir malware o crear grandes brechas de seguridad.  

La ingeniería social utiliza la psicología humana para planificar sus ataques, por lo que es doblemente perniciosa. Sin embargo, si entendemos cómo funciona, nos será más fácil protegernos de sus embestidas. En este artículo veremos: 

  • Qué es la ingeniería social y cómo funciona 
  • Tipos de ingeniería social 
  • Cómo identificar las amenazas y protegerse de los ataques

Ingeniería social: todo lo que debe saber

Definición de ingeniería social

La ingeniería social es una técnica de manipulación que aprovecha los errores humanos para acceder a información y recursos privados. En sus ataques, engañan a los usuarios para que revelen datos, faciliten el acceso a sistemas o distribuyan malware sin su conocimiento. Estas prácticas se conocen también como “hackeo humano”, porque la psicología y el comportamiento humanos son su baza.  

En ataques de ingeniería social, el hacker suele tener dos objetivos: provocar daños o problemas y robar recursos de valor como información, dinero o control del acceso. El rasgo distintivo es el engaño al usuario para cometer el delito. 

Según Firewall Times, en más del 98% de los ciberataques hay algún tipo de ingeniería social. Además, una organización cualquiera recibe más de 700 ataques de ingeniería social cada año. 

Técnicas de ingeniería social más utilizadas

Los delincuentes tratan de aprovechar la forma cómo pensamos y actuamos, además de la falta de conocimientos. Por ejemplo, mucha gente no se da cuenta de que dar su número de teléfono les deja en una situación vulnerable. La capacidad de persuasión determina la eficacia de un ataque de este tipo. Cuanto mejor sea, más fácil será que hagamos algo que normalmente ni se nos pasaría por la cabeza.  

Una de las herramientas utilizadas en los ataques de ingeniería social es la manipulación emocional. Los hackers buscan conectar con una emoción que nos impulse a actuar de forma poca segura. Estas son algunas de las emociones que utilizan: 

  • Miedo 
  • Ilusión 
  • Curiosidad 
  • Rabia 
  • Culpa

Otro de los rasgos característicos es la urgencia. Por ejemplo, el usuario recibe un correo o un mensaje indicándole que tiene que entrar en un sitio web inmediatamente, o una oferta termina esa misma medianoche. Al crear esta falsa sensación de urgencia, es fácil que actuemos de forma más irracional y rellenemos un formulario al que en otras circunstancia no prestaríamos atención.  

La confianza es la base de cualquier ataque de ingeniería social. El ciberdelicuente ha investigado a fondo su víctima y sabe cómo ganarse su confianza. Por ejemplo, en el caso del fraude del CEO, buscan información sobre el CEO y la compañía en cuestión para resultar totalmente convincentes y conseguir que una persona de Recursos Humanos facilite información confidencial al supuesto CEO.  

Cómo funciona la ingeniería social

Para reducir los riesgos, las organizaciones deben entender qué es exactamente la ingeniería social. En este tipo de ataques, el objetivo no es propagar un virus peligroso que provoque la caída de la red ni encontrar la forma de acceder a un software o información confidencial: aquí se trata de que el usuario caiga en sus trampas.  

El primer paso en un ataque de ingeniería social es recabar información sobre la víctima y cualquier grupo al que pertenezca. Después de estos preparativos, el ciberdelincuente trata de ganarse su confianza con unas interacciones aparentemente normales. Cuando lo ha conseguido y baja sus defensas, lanza el ataque y desaparece cuando tiene lo que buscaba.  

Tipos de ataques de ingeniería social

Ataques de phishing

En un ataque de phishing, el hacker se hace pasar por una persona u organización de confianza para conseguir acceder a información privada. Existen dos tipos de estafas de phishing: el spam phishing y el spear phishing. El spam phishing es un ataque masivo, que no tiene como objetivo una persona concreta. En el spear phishing, en cambio, se utiliza información específica para atacar a objetivos elegidos por su valor, como ejecutivos, altos cargos de la administración o famosos.  

Uno de los últimos ejemplos de spam phishing masivo es el fraude de mensaje de UPS. Las víctimas recibían un mensaje de UPS avisándoles de que no se había podido entregar un paquete. El enlace les llevaba a una página donde tenían que introducir información delicada o pagar una tarifa innecesaria. También infectaba el ordenador con malware. 

Baiting y tailgating

El baiting es un tipo de ataque que busca manipular la víctima para que revele información personal. El anzuelo suele ser una recompensa gratuita o exclusiva, que evidentemente es falsa. El resultado del ataque es la infección del ordenador con malware.  

Uno de los métodos más utilizados es el envío de un adjunto de correo con una oferta gratuita o la descarga de un software gratis fraudulento. En espacios públicos como bibliotecas o aparcamientos, se utilizan unidades USB con este fin. 

Pretexting

En un ataque de pretexting, el hacker utiliza una identidad falsa para ganarse la confianza del usuario. Haciéndose pasar por un empleado o proveedor, consigue entablar una relación directa. Una vez que ha caído en sus redes, puede hacer de todo, desde distribuir malware hasta obtener información confidencial. 

Cómo protegerse de los ataques de ingeniería social

La importancia de las contraseñas seguras

Es muy típico usar una misma contraseña fácil de recordar en varias cuentas, como el nombre de nuestro gato, y no cambiarla durante mucho tiempo. Cisco recomienda crear políticas que establezcan claramente qué tipo de contraseñas pueden usar los empleados.  

Algunas de estas políticas serían especificar el número de letras y el tipo de caracteres que deben utilizar o detallar con qué frecuencia tienen que cambiar las contraseñas. O mejor todavía: imponer este requisito directamente en el software que utilizan. Un gesto tan sencillo como recalcar a los empleados la importancia de no compartir las contraseñas es un gran paso para proteger la información confidencial. 

El sitio donde se guardan las contraseñas es igual de importante. Un gestor de contraseñas le ayudará a crear, proteger, autocompletar y actualizar sus contraseñas. Y algunos pueden incluso sincronizar la información entre sus distintos dispositivos. 

Autenticación de doble factor

Los servicios de red más expuestos, como las VPN o los grupos de módems, deben usar la autenticación multifactor para reforzar la protección. Por ejemplo, los empleados pueden verificar la contraseña de su ordenador en su dispositivo móvil. En este caso, un ciberdelicuente podría llegar a “descifrar” la contraseña, pero no accedería a la información que solo el empleado puede ver en su dispositivo. 

Algunos métodos de autenticación de doble factor son los códigos de un solo uso, la autenticación biométrica (como el escaneo de la huella dactilar), códigos SMS y notificaciones push. 

Formación en ciberseguridad para los empleados

Dar un manual de 50 páginas sobre ciberseguridad a un empleado no sirve de mucho para reforzar la seguridad. Seguramente lo consultará solo cuando tenga problemas (y si consigue entender lo que pone). Es mucho más efectivo integrar la ciberseguridad en la cultura y el funcionamiento cotidiano de la empresa para que la protección sea máxima. Sus empleados deberían ser capaces de responder esta pregunta: “¿Qué es la ingeniería social?” 

Reduzca el riesgo de ataques con una buena formación. Una charla no sirve: tiene que ser interactiva e interesante. Algunas organizaciones cuentan con formación online para los nuevos empleados con módulos y tests para reforzar los conocimientos. También es útil hablar de ataques recientes a empresas similares o de problemas de ciberseguidad que hayan afectado directamente a algún departamento.  

La creatividad da buenos resultados en la formación en ciberseguridad. Son muchas las empresas que utilizan módulos con simulaciones de ataques en su software, a veces incluso en tiempo real.  

Cómo reconocer los indicadores de ingeniería social

Señales de alarma

Estos son algunos de los indicados sugeridos por Webroot

  • Correos de una supuesta fuente de confianza reclamando ayuda. Por ejemplo, el correo de un “compañero de trabajo” pidiendo información sobre una tarjeta de crédito de la empresa. 
  • Hacerse pasar por una organización legítima como un banco para extraer información. 
  • Una acción o una respuesta relacionada con algo que nunca hemos hecho. En el caso de UPS que veíamos antes, se habla de un paquete que no habíamos solicitado. 

Peticiones sospechosas

Estos serían algunos ejemplos de peticiones cuestionables: 

  • Pedir donativos a una ONG y otras organizaciones. Los hackers eligen las causas sociales que más preocupan en cada momento para tocarle la fibra.  
  • Notificaciones de un supuesto premio. Para recibirlo, le pedirán que rellene un formulario o indique su dirección o banco para acceder al dinero. 
  • Respuesta a una consulta que nunca ha realizado. El hacker puede hacerse pasar por su banco u otro organismo a sabiendas de que un correo de este remitente le generará más curiosidad que si se tratara de una organización que no conoce. Quizás le pidan que se autentique o que les dé acceso a su organización

Llamadas o correos sospechosos

A veces las llamadas y los correos se dan en combinación con los indicadores que veíamos arriba y son más fáciles de detectar. Por ejemplo, si un ciberdelincuente que se hace pasar por su banco le envía un SMS desde un número de teléfono con mucho espacio entre los números, seguramente le saltarán todas las alarmas.  

Uno de los típicos correos engañosos consiste en informarle de un problema y pedirle que verifique algo, normalmente haciendo clic en un enlace o rellenando un formulario. Los correos o los formularios pueden llegar a reproducir de forma muy fiel el logotipo y el estilo de la empresa real, por lo que puede creer que son auténticos. Uno de los rasgos de estos ataques de ingeniería social con phishing es la urgencia: hay que actuar rápido o las consecuencias serán graves.  

Prácticas recomendadas para prevenir la ingeniería social

Actualización periódica del software

No lo deje todo en manos de las actualizaciones automáticas ni dé por sentado que su intervención no es necesaria. El software sin actualizar pone las cosas más fáciles a los hackers. Asegúrese de que todas las aplicaciones se están actualizando automáticamente según lo previsto.

Cómo proteger la información delicada

A más niveles de protección, más seguridad. Una posibilidad es buscar una solución con funciones concretas para reforzar la seguridad de volúmenes considerables de datos. Sin embargo, antes de colaborar con un proveedor especializado en este tipo de servicios es importante pensarlo bien porque seguramente tendrá acceso a su información.   

Implementación de controles de acceso

La gestión de contraseñas y la autenticación multifactor son dos estrategias sencillas pero muy efectivas. Otros controles, como la autenticación adaptativa, verifican la identidad de un usuario teniendo en cuenta factores contextuales como la ubicación, analítica de comportamiento, etc.  

Recursos complementarios

Funciones de seguridad de LastPass

Una de las grandes diferencias entre LastPass y otros gestores de contraseñas es su cifrado de conocimiento cero. Solo el titular de la cuenta tiene acceso a sus datos utilizando su contraseña maestra. La información sin cifrar nunca llega a nuestros servidores, lo que garantiza su integridad. 

Protección de cuentas personales y profesionales

Aunque normalmente las cuentas de empresa estarán mejor protegidas, no podemos descuidar la protección de nuestra información personal. Por ejemplo, añadiendo la autenticación multifactor a nuestro correo o al acceso a nuestro banco. Con un gestor de contraseñas o un autenticador no tendrá que preocuparse por si olvida una contraseña o se produce un incidente de seguridad.  

Los hackers echan mano de la ingeniería social para aumentar la sofisticación de sus ataques. Sin embargo, ahora que ya sabe qué es la ingeniería social, podrá detectar y frenar los intentos de engaño que pueden poner en riesgo su ciberseguridad. Si algo le parece sospechoso, intente plantearse las siguientes preguntas:  

  • ¿Me estoy dejando llevar más de lo habitual por las emociones? (Por ejemplo, de repente siente miedo, curiosidad, angustia, prisa, etc.) 
  • ¿El mensaje procede de una persona u organización legítima? 
  • ¿Hay enlaces o adjuntos sospechosos? 
  • ¿Parece demasiado bueno para ser verdad?

Recuerde que la base del “hackeo humano” es aprovecharse de sus emociones y comportamientos. Por tanto, deténgase un instante, confíe en sus instintos y extreme la vigilancia en su uso de Internet y sus prácticas de seguridad para evitar caer en las garras de la ingeniería social. 

Vaya un paso por delante de la ingeniería social. Inicie hoy mismo la prueba gratuita de LastPass