La ingeniería social manipula a las personas para que compartan información que no deberían compartir, descarguen software que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o bien cometan otros errores que comprometan sus activos o seguridad personal o empresarial.
Un correo electrónico que parece proceder de un proveedor fiable en el cual se solicita información actualizada de la tarjeta de crédito, un buzón de voz amenazante que afirma ser del IRS o una oferta jugosa de un potentado extranjero son solo algunos ejemplos de ingeniería social.
Como la ingeniería social explota las debilidades humanas en lugar de las vulnerabilidades técnicas o del sistema digital, a veces se le llama "ataque informático humano".
En muchos casos, los ciberdelincuentes utilizan tácticas de ingeniería social para obtener el tipo de datos personales (credenciales de inicio de sesión, números de tarjeta de crédito, números de cuenta bancaria, números de seguridad social) que pueden utilizar para la usurpación de identidad, lo que les permite realizar compras con el dinero o crédito de sus víctimas, presentar solicitudes de préstamo a nombre de otra persona o solicitar prestaciones por desempleo de otras personas, entre otras. Pero un ataque de ingeniería social también puede ser la primera fase de un ciberataque a mayor escala. Por ejemplo, un ciberdelincuente podría engañar a una víctima para que compartiera un nombre de usuario y una contraseña, y luego utilizar esas credenciales para plantar ransomware en la red de empleado de la víctima.
La ingeniería social es atractiva para los ciberdelincuentes porque les permite acceder a redes, dispositivos y cuentas digitales sin el difícil trabajo técnico que implica hackear cortafuegos, software antivirus y otros controles de ciberseguridad. Esta es una de las razones por las cuales la ingeniería social es la principal causa de ataque a redes comprometidas a día de hoy, según el informe State of Security 2021 de ISACA. También es una de las más costosas: de acuerdo con el informe sobre el coste de una brecha de seguridad en los datos de 2021 de IBM, las filtraciones de datos provocadas por ataques de ingeniería social suponen un coste medio de 4,47 millones de dólares para las empresas.
Las tácticas y técnicas de ingeniería social se basan en la ciencia de la motivación humana. Manipulan las emociones y los instintos de las víctimas de maneras que se sabe que impulsan a las personas a realizar acciones que no les favorecen.
La mayoría de los ataques de ingeniería social aplican una o más de las siguientes tácticas:
Los ataques de phishing son mensajes digitales o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software malicioso, transfieran dinero o activos a las personas equivocadas o realicen alguna otro acción dañina. Los estafadores diseñan los mensajes de phishing de tal manera que parezca que provienen de una organización o persona fiable o creíble, a veces incluso una persona que el destinatario conoce personalmente.
Hay muchos tipos de estafas de phishing:
De acuerdo con el informe sobre el coste de una brecha de seguridad en los datos de 2021 de IBM, el phishing es el método de envío de malware más común y la segunda causa más común de filtraciones de datos.
El baiting atrae a las víctimas para que, consciente o inconscientemente, entreguen información confidencial, o descarguen código malicioso, tentándolas con una oferta interesante o incluso un objeto valioso.
La estafa nigeriana es probablemente el ejemplo más conocido de esta técnica de ingeniería social. Más ejemplos actuales incluyen las descargas de software, música o juegos gratuitos pero infectados con malware. Pero algunas formas de baiting no son muy ingeniosas. Por ejemplo, algunos estafadores simplemente dejan unidades USB infectadas con malware donde alguien pueda encontrarlas y usarlas porque "oye, una unidad USB gratuita".
En el tailgating, también llamado "piggybacking", una persona no autorizada sigue de cerca a una persona autorizada hacia un área que contiene información confidencial o activos valiosos. El tailgating puede ser físico, por ejemplo, siguiendo a un empleado por una puerta desbloqueada, pero también puede ser digital, como cuando una persona deja un ordenador desatendido mientras sigue conectada a una red o cuenta privada.
En el pretexting, el estafador crea una situación falsa para la víctima y se hace pasar por la persona adecuada para resolverla. Muy a menudo (e irónicamente), el estafador afirma que la víctima se ha visto afectada por una brecha de seguridad y le ofrece solucionarla si esta le proporciona información de cuenta importante o control sobre su sistema o dispositivo (técnicamente hablando, casi todos los ataques de ingeniería social implican algún nivel de pretexting).
En una estafa quid pro quo, los hackers ofrecen un bien o servicio deseable a cambio de información confidencial de la víctima. El ganar un concurso falso o recompensas de fidelidad aparentemente inocentes ("gracias por su pago, tenemos un regalo para usted") son ejemplos de tácticas quid pro quo.
También considerado una forma de malware, el scareware es software que utiliza el miedo para manipular a las personas para que compartan información confidencial o descarguen malware. El scareware a menudo toma la forma de un aviso de la policía que acusa al usuario de un delito, o un mensaje de soporte tecnológico falso advirtiendo al usuario de malware en su dispositivo.
Siguiendo la frase "alguien ha envenenado el abrevadero": los hackers inyectan código malicioso en una página web legítima frecuentada por sus blancos. Los ataques de abrevadero son responsables de todo, desde el robo de credenciales hasta descargas involuntarias de ransomware.
Los ataques de ingeniería social son notoriamente difíciles de impedir porque se basan en la psicología humana en lugar de vías tecnológicas. La superficie de ataque también es significativa: en una gran organización, basta con el error de un empleado para comprometer la integridad de toda la red empresarial. Algunas de las medidas que los expertos recomiendan para mitigar el riesgo y el éxito de las estafas de ingeniería social incluyen:
Ponga a prueba a los empleados mediante ejercicios de ingeniería social física, vishing y phishing
Proteja su organización de amenazas internas maliciosas o no intencionadas.
Proteja a los usuarios, los activos y los datos mediante la gestión y la prevención del fraude antes de que ocurra.
Proteja a sus empleados ante ataques de phishing que puedan comprometer la seguridad de su organización.
Aplicaciones, redes, hardware y penetración del personal para descubrir y corregir vulnerabilidades.
Identifique, priorice y gestione la corrección de defectos que podrían exponer sus activos más importantes.
Soluciones globales de información sobre amenazas con productos y experiencia líderes en la industria.
Las conclusiones extraídas de 537 brechas reales le ayudarán a comprender el ciberriesgo en un mundo en constante evolución.
El ransomware retiene los dispositivos y los datos de las víctimas como rehenes hasta que se paga un rescate.
Las estafas de phishing plantean importantes riesgos financieros y de seguridad a particulares y empresas.
Alguna forma de malware (software malicioso) es la raíz de casi todos los tipos de ciberataque.
La seguridad de datos protege la información digital ante accesos no autorizados, corrupción o robo.
Los ciberataques intentan robar, exponer, alterar, inhabilitar o destruir información mediante el acceso no autorizado a los sistemas.
La autenticación de multifactores refuerza la seguridad, cumple con los requisitos normativos y respalda una estrategia de seguridad de confianza cero