La ingeniería social es un ataque a la seguridad que se basa en la interacción humana para engañar a los usuarios con el fin de que infrinjan los procedimientos de seguridad estándar. Los atacantes utilizan técnicas de ingeniería social para manipular a las personas para que divulguen información confidencial, como contraseñas o números de cuentas bancarias.
Historia de la ingeniería social
La ingeniería social existe desde hace siglos, pero el término no se acuñó hasta la década de 1980. Uno de los primeros ataques de ingeniería social documentados fue el El gran engaño del oro de 1851en la que dos hombres convencieron a la gente de San Francisco de que habían encontrado oro en Sierra Nevada. Los hombres vendieron acciones de su "empresa minera" y se largó con el dinero.
Tipos de ingeniería social
Hay muchos tipos diferentes de ataques de ingeniería social, pero vamos a ver los 10 ataques más utilizados:
1. Phishing
El phishing es un tipo de ataque de ingeniería social que utiliza el correo electrónico o los mensajes de texto para engañar a los usuarios para que hagan clic en un enlace o archivo adjunto malicioso. Los atacantes suelen hacerse pasar por una entidad de confianza, como un banco o una organización gubernamental, para ganarse la confianza de la víctima. Una vez que la víctima hace clic en el enlace o archivo adjunto, será redirigida a un sitio web malicioso o su ordenador se infectará con malware.
2. Pretextos
El pretexto es un tipo de ataque de ingeniería social en el que el atacante crea un escenario falso para obtener información personal de la víctima. Por ejemplo, un atacante puede hacerse pasar por un representante de atención al cliente y llamar a una víctima para "verificar" la información de sus cuentas. El atacante utilizará entonces la información personal de la víctima para acceder a sus cuentas o cometer otros delitos.
3. Cebo
El cebo es un tipo de ataque de ingeniería social en el que el atacante deja un dispositivo físico, como una unidad USB, en un lugar público. El dispositivo suele contener malware o un enlace malicioso. Cuando la víctima encuentra el dispositivo y lo conecta a su ordenador, su sistema se infecta con malware.
4. Quid Pro Quo
Quid pro quo es un tipo de ataque de ingeniería social en el que el atacante ofrece algo a la víctima a cambio de información personal o acceso a un sistema. Por ejemplo, un atacante puede hacerse pasar por un representante de soporte de TI y ofrecer "fix" el ordenador de la víctima a cambio de su acceso remoto al sistema. Una vez que el atacante tiene acceso al sistema, puede instalar malware o robar información confidencial.
5. Buceo en contenedores
Dumpster diving es un tipo de ataque de ingeniería social en el que el atacante rebusca en cubos de basura o contenedores para encontrar información sensible que ha sido desechada. Esta información puede utilizarse para acceder a sistemas o cometer otros delitos.
6. Surf de hombro
El shoulder surfing es un ataque a la seguridad en el que el atacante observa a la víctima introduciendo su contraseña o PIN en un ordenador o cajero automático. El atacante puede entonces utilizar esta información para acceder a las cuentas de la víctima o cometer otros delitos.
7. Tailgating
Tailgating es un tipo de ataque de ingeniería social en el que el atacante sigue a una víctima hasta una zona segura, como un edificio de oficinas o un aparcamiento. El atacante puede entonces acceder a las cuentas de la víctima o cometer otros delitos.
8. Vishing
El vishing es un tipo de ataque de ingeniería social que utiliza llamadas de voz o mensajes de texto para engañar a las víctimas y conseguir que divulguen información confidencial. El atacante suele hacerse pasar por una entidad de confianza, como un banco o una organización gubernamental, para ganarse la confianza de la víctima. Una vez que la víctima proporciona al atacante la información solicitada, éste puede utilizarla para acceder a las cuentas de la víctima o cometer otros delitos.
9. Abrevadero
El watering hole es un tipo de ataque de ingeniería social en el que el atacante compromete un sitio web que la víctima frecuenta. El atacante puede entonces infectar el ordenador de la víctima con malware o robar información sensible al visitar el sitio web.
10. Ballenera
El whaling es un ataque de seguridad dirigido a personas de alto perfil, como directores ejecutivos o famosos. Para ganarse la confianza de la víctima, el atacante suele hacerse pasar por una entidad de confianza, como un banco o una organización gubernamental. Una vez que la víctima proporciona al atacante la información solicitada, éste puede utilizarla para acceder a las cuentas de la víctima o cometer otros delitos.
Tácticas de ingeniería social
Hay muchas tácticas que los ingenieros sociales utilizan para engañar a sus víctimas, pero algunas de las más comunes son:
Suplantación de identidad: Estos ciberdelincuentes suelen hacerse pasar por una persona de confianza, como un representante de atención al cliente, para ganarse la confianza de la víctima.
Autoridad: Suelen utilizar su posición de autoridad para convencer a las víctimas de que accedan a sus peticiones.
Intimidación: Los ingenieros sociales a veces utilizan tácticas de intimidación, como la amenaza de cancelar la cuenta de la víctima, para conseguir que acceda a sus demandas.
Adulación: Los ciberdelincuentes suelen intentar halagar a sus víctimas para ganarse su confianza.
Escasez: A menudo crearán una sensación de urgencia alegando una oferta limitada de productos o servicios.
Ejemplos de ataques de ingeniería social
La brecha de Equifax en 2017
En 2017, la agencia de información crediticia Equifax sufrió una filtración de datos que expuso la información personal de más de 140 millones de personas. Los atacantes utilizaron un tipo de ataque de ingeniería social conocido como phishing para acceder a los sistemas de Equifax. Una vez que los atacantes tuvieron acceso a los sistemas, pudieron robar información sensible, como números de la Seguridad Social y números de tarjetas de crédito.
Elecciones presidenciales estadounidenses de 2016
En 2016, el gobierno ruso utilizó ataques de ingeniería social para interferir en las elecciones presidenciales de Estados Unidos. Los atacantes utilizaron un tipo de ataque de phishing para acceder a las cuentas de correo electrónico del presidente de la campaña de Hillary Clinton, John Podesta. A continuación, los atacantes hicieron público el contenido de los correos electrónicos para perjudicar la campaña presidencial de Clinton.
El ataque de ransomware WannaCry de 2017
En 2017, el ataque de ransomware WannaCry afectó a más de 200.000 ordenadores en 150 países. Los atacantes utilizaron un ataque de ingeniería social conocido como phishing para engañar a las víctimas y que hicieran clic en un enlace malicioso. Una vez que los ordenadores de las víctimas se infectaron con el ransomware, los atacantes exigieron un rescate para descifrar los archivos.
La filtración de datos de Facebook en 2018
En 2018, el gigante de las redes sociales Facebook sufrió una filtración de datos que expuso la información personal de más de 87 millones de personas. Los atacantes utilizaron un ataque de ingeniería social conocido como phishing para acceder a los sistemas de Facebook. Una vez que los atacantes tuvieron acceso a los sistemas, pudieron robar información confidencial, como nombres, direcciones de correo electrónico y números de teléfono.
El hack de Instagram de 2018
En 2018, la app para compartir fotos Instagram fue hackeada, y la información personal de más de 6 millones de usuarios quedó expuesta. Los atacantes utilizaron un ataque de ingeniería social conocido como phishing para acceder a los sistemas de Instagram. Una vez que los atacantes tuvieron acceso a los sistemas, pudieron robar información sensible, como nombres, direcciones de correo electrónico y números de teléfono.
¿Cuáles son los 6 pasos para que un ataque de ingeniería social tenga éxito?
Investigación: El atacante investiga la organización objetivo y a sus empleados para recopilar toda la información posible.
Planificación: El atacante planifica el ataque teniendo en cuenta la información que ha recopilado en la fase de investigación.
Ejecución: El atacante lleva a cabo el ataque, utilizando los métodos y técnicas que ha planeado.
Entrega: El atacante entrega la carga útil, que puede ser malware, información sensible o credenciales.
Control: El atacante toma el control del sistema o de la cuenta, utilizando la información o el acceso que ha obtenido.
Encubrimiento: El atacante cubre sus huellas, dificultando la detección del ataque y su rastreo hasta él.
Preguntas frecuentes
¿Cómo funciona la ingeniería social?
La ingeniería social es un tipo de ataque que se basa en la interacción humana para engañar a los usuarios para que infrinjan los procedimientos de seguridad estándar. El atacante trabaja para ganarse la confianza del usuario y luego utiliza esa confianza para conseguir que el usuario haga algo que permita al atacante obtener acceso al sistema.
¿Cuál es la gravedad de la ingeniería social?
Aunque la ingeniería social puede utilizarse para lograr diversos objetivos, la mayoría de las veces se utiliza para obtener acceso a sistemas o datos. Una vez que un atacante tiene acceso a un sistema, puede explotarlo en su propio beneficio. Esto puede provocar la pérdida de datos, pérdidas económicas e incluso daños en el sistema.
¿Cuál es el tipo más común de ingeniería social?
Uno de los tipos más comunes de ingeniería social es el phishing. En este caso, un atacante envía un correo electrónico que parece proceder de una fuente legítima, como un banco o un sitio web. El correo electrónico contendrá un enlace que llevará al usuario a un sitio web falso diseñado para parecerse al real. A continuación, se pide al usuario que introduzca sus datos de acceso, que el atacante puede utilizar para acceder al sistema.
¿Cómo puedo evitar la ingeniería social?
Hay algunas cosas que puedes hacer para ayudar a prevenir los ataques de seguridad. En primer lugar, debes ser consciente de los peligros de hacer clic en los enlaces de los correos electrónicos. Si no está seguro de la procedencia de un mensaje, no haga clic en los enlaces que contiene. En segundo lugar, nunca debe facilitar información personal, como sus datos de acceso, a nadie que no conozca y en quien no confíe. Por último, mantén tus sistemas actualizados con los últimos parches de seguridad para evitar que los atacantes aprovechen cualquier vulnerabilidad.
¿Qué porcentaje de hackers utiliza la ingeniería social?
La ingeniería social es una técnica muy popular entre los piratas informáticos, y se calcula que se utiliza en alrededor del 90% de los ataques con éxito.
¿Cuál es el coste de un ataque de ingeniería social?
El ataque medio de ingeniería social cuesta a una organización 1,6 millones de dólares y tarda 4 meses en detectarse. Una parte importante de este coste se debe a que es difícil determinar cuándo un empleado es víctima de un ataque. Cualquier empleado con acceso legítimo puede dejar el entorno vulnerable a los atacantes cuando cae en una campaña de ingeniería social e instala software malicioso, proporciona credenciales a los atacantes o divulga información sensible.
Cómo proteger su empresa de los ataques de ingeniería social
Skysnag automatiza DMARC, SPF y DKIM por usted, ahorrándole las molestias y el tiempo necesarios para la configuración manual. El software automatizado de Skysnag protege la reputación de su dominio y le mantiene alejado de correos electrónicos comerciales comprometidos, robo de contraseñas y pérdidas financieras potencialmente significativas. Regístrese a través de este enlace para una prueba gratuita y proteja su negocio de los ataques de ingeniería social.
Compruebe el cumplimiento de la seguridad DMARC de su dominio
Aplique DMARC, SPF y DKIM en días, no en meses
Skysnag ayuda a los atareados ingenieros a aplicar DMARC, responde a cualquier error de configuración de SPF o DKIM, lo que aumenta la capacidad de entrega del correo electrónico, y elimina la suplantación de identidades y el spoofing del correo electrónico.
