Algunos piratas informáticos confían en explotar las vulnerabilidades humanas en lugar de las tecnológicas; descubra cómo protegerse de la “ingeniería social”.
Resumen
Las técnicas de ingeniería social se basan en las vulnerabilidades humanas, no en la destreza técnica de un pirata informático potencial. La ingeniería social se utiliza para obtener acceso (no autorizado) a datos confidenciales, billeteras o cuentas de criptomonedas, o para inducir a las víctimas a descargar malware en computadoras y redes para causar más daños. Tales técnicas incluyen phishing, cebo, ataques quid pro quo, pretextos y chupar rueda.
Ataques de phishing y de ingeniería social relacionados
Durante un ataque de phishing, un actor malintencionado se hace pasar por una figura de autoridad u organización creíble en un intento de engañar a la víctima para que revele información confidencial o se deshaga de los fondos. Si bien el objetivo de un ataque de phishing puede ser un individuo, en la mayoría de los casos el objetivo más amplio del atacante es comprometer uno o más sistemas a los que la víctima tiene acceso. Si un ataque de phishing contra un individuo tiene éxito, las consecuencias pueden repercutir en todas partes, afectando a otros usuarios y redes adyacentes con una velocidad alarmante.
Las variantes de los ataques de phishing incluyen spear phishing, vishing y smishing. Los ataques de spear phishing están muy dirigidos a personas, organizaciones o empresas específicas. Por ejemplo, los atacantes pueden personalizar sus correos electrónicos o comunicaciones con el conocimiento de la posición de un individuo dentro de una organización. Los llamados “ataques vishing” utilizan comunicaciones de voz, especialmente soluciones de Voz sobre Protocolo de Internet (VoIP), para engañar a las víctimas para que llamen y revelen información personal como su número de tarjeta de crédito o dirección de facturación. Los “ataques smishing” utilizan SMS o mensajes de texto para redirigir a las víctimas a sitios maliciosos o engañarlos para que divulguen información personal confidencial.
Cebo: una técnica común de ingeniería social
Los ataques de cebo a menudo explotan la codicia de la víctima con la promesa de un pago rápido. Por ejemplo, un atacante puede dejar una memoria USB infectada en un lugar público, con la esperanza de que la víctima inserte la memoria USB por curiosidad y, por lo tanto, instale malware en su sistema. Un anuncio en línea puede engañar a la víctima prometiéndole un pago en efectivo rápido a cambio de crear una cuenta con su información personal confidencial.
Los sitios web de igual a igual también son blanco de ataques de cebo. La promesa de descargas gratuitas de películas o música puede inducir a algunos usuarios a bajar la guardia y ceder su información bancaria. Las víctimas que entregan información bancaria a cambio de promesas de ofertas, retornos rápidos de inversiones o premios en efectivo gratis pueden encontrar sus cuentas agotadas una vez que se comparta esa información.
Ataque de ingeniería social Quid Pro Quo
De manera similar a los esquemas de cebo, los ataques quid pro quo generalmente implican una promesa de intercambio fraudulento. Por ejemplo, un atacante puede prometer una recompensa u ofrecer participar en un estudio de investigación a cambio de datos de la empresa. Los estafadores también pueden hacerse pasar por personal de TI interno, listo para ayudar con un problema u ofrecer protección de seguridad de software a cambio de información personal u otros datos confidenciales.
Pretextos: un ejemplo familiar de ingeniería social
Los pretextos suelen adoptar la forma de un atacante que se hace pasar por una figura de confianza, como un funcionario bancario o un agente de la ley. Luego, el atacante obtiene información personal de la víctima, como un número de seguro social, con el pretexto de verificar su identidad.
Un escenario de pretexto familiar podría implicar un mensaje de la cuenta de redes sociales de un amigo alegando que está varado y necesita fondos de emergencia inmediatos. Un estafador también puede afirmar ser un representante de una campaña política o de caridad y pedir apoyo para una causa.
Cada uno de estos escenarios se basa en alguna forma de manipulación psicológica, en la que se hace creer a la víctima que está cumpliendo con sus deberes o ayudando a un amigo necesitado.
Tailgating o piggybacking: ataques de ingeniería social en persona
Los ataques de tailgating o piggybacking generalmente involucran el acceso físico a un edificio o área restringida que contiene información segura. Los delincuentes pueden simplemente seguir a alguien que les mantenga la puerta abierta hasta un edificio seguro, sin pasar por los protocolos de seguridad del edificio. Por esta razón, las empresas centradas en la seguridad pueden capacitar a sus empleados sobre ataques de seguimiento, además de otras técnicas de ingeniería social.
Ya sea que trabaje en un banco o en un intercambio de cifrado, o simplemente tenga una cuenta bancaria o de intercambio de cifrado, tenga cuidado con estos ataques de ingeniería social que podrían comprometer sus cuentas personales.
