Última actualización: 12 septiembre, 2022
La ingeniería social se basa en engañar a las personas para manipularlas y obtener información confidencial o persuadirlas para que realicen una acción.
El término ingeniería social proviene del hecho de que, a diferencia de otro tipo de ciberataques que se centran en las brechas de seguridad a nivel tecnológico, este método se realiza por manipulación psicológica. El objetivo es que las personas hagan lo que se les pide sin cuestionamientos.
Tal vez te interese “Ciberseguridad: recursos y buenas prácticas“
¿Cómo funciona la ingeniería social?
Tal como en una escena teatral con máscaras que ocultan y simulan una identidad diferente a la persona, la ingeniería social se basa en estas caretas o fachadas a través de las cuales engañan a las personas para manipularlas con la finalidad de obtener información confidencial o persuadirlas para que realicen una determinada acción.
Es un método de bajo costo que sólo depende de la interacción humana para que tenga éxito. Esto tiene que ver con la naturaleza curiosa de las personas y la confianza.
Los ciberdelincuentes realizan una investigación detallada sobre las identidades que suplantarán y las víctimas a las cuales dirigirán sus ataques. Es ahí donde actualmente las redes sociales cumplen un rol esencial, ya que son la principal fuente de información a la que pueden acceder para saber más sobre nuestras preferencias.
Una vez que obtienen esos datos, utilizan una “carnada” para llamar la atención a través de mensajes con un tono de urgencia o sorpresa. De este modo, piden hacer clic en un enlace, descarguen un archivo o realicen una transacción bancaria sin que detecten el engaño.
Por eso, el rol de las personas es la principal defensa ante ciberataques. Más del 80% de los incidentes de ciberseguridad se deben a errores humanos.
Tipos de ataque de ingeniería social más comunes
- Phishing. Mensajes que contienen enlaces o archivos maliciosos que son distribuidos mediante correos electrónicos o SMS. Aparentan ser de confianza para engañar a las personas e inducirlas a realizar una acción.
- Spear Phishing. Ataques dirigidos hacia personas específicas. Los delincuentes hacen una investigación previa para personalizar los mensajes y hacerlos más creíbles así no dudan de la legitimidad. Aparentemente proviene de un amigo, un familiar o una tienda que visitan con frecuencia.
- Vishing. Estafa realizada por llamada telefónica en la que los delincuentes manipulan a las personas ganándose su confianza mediante discursos bien construidos para que entreguen información sensible o realicen un pago. Los atacantes se hacen pasar por servicio técnico, compañeros de trabajo e inclusive, familiares o amigos.
- Smishing. Es un SMS donde se falsifica la identidad de alguna institución o empresa para que ingresen a un enlace malicioso para poder robarles sus datos.
6 tips para evitar un ataque de ingeniería social
Muchas veces el ritmo acelerado de nuestro día a día puede hacernos vulnerables a la ingeniería social. Para evitarlo es importante que actúes de forma preventiva, siguiendo estas recomendaciones:
- ¡La desconfianza es el mejor aliado de la seguridad! Entre más desconfiado eres ante correos, mensajes de texto o sitios web sospechosos, más protegido estarás frente a posibles ataques y más seguros estarán tus datos. Puedes ajustar la configuración del correo electrónico para fortalecer los filtros de spam y así detectar archivos o enlaces maliciosos.
- ¡Investiga la fuente! Es importante que corrobores el contenido de mensajes o llamadas con las personas involucradas o en los sitios Web oficiales, esto te permitirá saber si son auténticos o no.
- Si recibes un email, SMS o llamada telefónica de una fuente desconocida, busca el número en internet para ver si encuentras información relacionada.
- Comprueba hacia donde conducen los enlaces. Los hipervínculos fraudulentos son fáciles de detectar con solo deslizar el cursor por encima (NO hagas clic en ellos).
- Verifica la ortografía, ya que los bancos cuentan con equipos de personas calificadas para elaborar los comunicados que se envían a los clientes. Si un mensaje de correo electrónico tiene faltas de ortografía o una redacción incoherente, probablemente sea fraudulento.
- ¡No hagas clic en cualquier enlace! Si un mensaje contiene un hipervínculo revisa siempre la URL de destino posicionando el cursor sobre éste para que aparezca el sitio Web real al que te re direccionará. Mantén actualizado tu antivirus ya que es capaz de detectar mensajes o páginas web sospechosos.
- ¡No te dejes llevar por la curiosidad! Los ciberdelincuentes saben que un asunto o mensaje llamativo puede ser la carnada perfecta, así que trata de revisar la información antes de actuar.
- ¡Un archivo adjunto puede ser peligroso! No descargues documentos adjuntos en mensajes ya que pese a parecer de confianza, podrían contener un malware que infecte tus equipos.
También puedes leer “Ataques cibernéticos: causas, tipos y consecuencias“.