Los ataques de ingeniería social manipulan a las personas para que compartan información que no deberían compartir, descarguen software que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o cometan otros errores que comprometan su seguridad personal u organizacional. Dado que la ingeniería social utiliza la manipulación psicológica y aprovecha los errores o debilidades humanas en lugar de las vulnerabilidades técnicas o digitales de los sistemas, a veces se denomina "hacking humano".
Un correo electrónico que parece ser de un compañero de confianza que solicita información confidencial, un buzón de voz amenazante que dice ser la Agencia Tributaria, una oferta de riquezas de un potentado extranjero. Estos son solo algunos ejemplos de ingeniería social.
Los ciberdelincuentes utilizan con frecuencia tácticas de ingeniería social para obtener datos personales o información financiera—credenciales de acceso, números de tarjetas de crédito, números de cuentas bancarias, números de la Seguridad Social— que pueden utilizar para el robo de identidad, lo que les permite realizar compras con el dinero o el crédito de otras personas, solicitar préstamos en nombre de otra persona, solicitar prestaciones por desempleo de otras personas, etc. Pero un ataque de ingeniería social también puede ser la primera fase de un ciberataque a gran escala. Por ejemplo, un cibercriminal podría engañar a una víctima para que comparta un nombre de usuario y una contraseña. Luego, utilice esas credenciales para plantar ransomware en la red del empleador de la víctima.
La ingeniería social es atractiva para los ciberdelincuentes porque les permite acceder a redes, dispositivos y cuentas digitales sin tener que hacer el difícil trabajo técnico de sortear firewalls, software antivirus y otros controles de ciberseguridad . Esta es una razón por la que la ingeniería social es la causa principal del compromiso de la red hoy en día, según el informe sobre el estado de ciberseguridad 2022 de ISACA (el enlace reside fuera de IBM.com). Según el informe Coste de una violación de datos 2022 de IBM, las infracciones causadas por tácticas de ingeniería social (como el phishing y el compromiso del correo electrónico empresarial) fueron las más costosas.
Vea cómo IBM® Security QRadar SIEM identifica e investiga el comportamiento anómalo.
Las tácticas y técnicas de ingeniería social se basan en la ciencia de la motivación humana. Manipulan las emociones e instintos de las víctimas de formas que se ha demostrado que llevan a las personas a tomar medidas que no son las más convenientes para sus intereses.
La mayoría de los ataques de ingeniería social emplean una o más de las siguientes tácticas:
Hacerse pasar por una marca de confianza: los estafadores suelen suplantar a empresas que las víctimas conocen, en las que confían y con las que quizás hacen negocios a menudo o con regularidad, con tanta frecuencia que siguen las instrucciones de estas marcas de forma reflexiva, sin tomar las precauciones adecuadas. Algunos estafadores de ingeniería social utilizan kits ampliamente disponibles para montar sitios web falsos que se asemejan a los de grandes marcas o empresas.
Hacerse pasar por una agencia gubernamental o una figura de autoridad: las personas confían, respetan o temen a la autoridad (en diversos grados). Los ataques de ingeniería social juegan con estos instintos con mensajes que aparecen o afirman provenir de agencias gubernamentales (por ejemplo, el FBI o Hacienda), figuras políticas o incluso celebridades.
Inducir miedo o sensación de urgencia: las personas tienden a actuar precipitadamente cuando están asustadas o apresuradas. Las estafas de ingeniería social pueden utilizar cualquier número de técnicas para inducir miedo o urgencia en las víctimas: decirles que una transacción de crédito reciente no ha sido aprobada, que un virus ha infectado su ordenador, que una imagen utilizada en su sitio web viola los derechos de autor, etc. La ingeniería social también puede apelar al miedo de las víctimas a perderse algo (FOMO, por sus siglas en inglés), lo que crea otro tipo de urgencia.
Apelando a la codicia: la estafa del Príncipe de Nigeria—un correo electrónico en el que alguien que dice ser un miembro de la realeza nigeriana que intenta huir de su país ofrece una recompensa financiera gigante a cambio de la información de la cuenta bancaria del destinatario o una pequeña tarifa por adelantado—es una de las mejores. Ejemplos conocidos de ingeniería social que apela a la codicia. (También procede de una supuesta figura de autoridad y crea una sensación de urgencia: una combinación poderosa). Esta estafa es tan antigua como el propio correo electrónico, pero en 2018 todavía recaudaba 700.000 dólares al año.
Apelar a la amabilidad o la curiosidad: las tácticas de ingeniería social también pueden apelar a la naturaleza mejor de las víctimas. Por ejemplo, un mensaje que parece provenir de un amigo o de un sitio de redes sociales puede ofrecer ayuda técnica, solicitar participación en una encuesta, afirmar que la publicación del destinatario se ha vuelto viral y proporcionar un enlace falso a un sitio web falso o a una descarga de malware. .
Phishing
Los ataques de phishing son mensajes digitales o de voz que intentan manipular a los destinatarios para compartir información confidencial, descargar software malicioso, transferir dinero o activos a personas equivocadas o tomar otras medidas perjudiciales. Los estafadores elaboran mensajes de phishing para que parezcan o suenen como si procedieran de una organización o persona de confianza o creíble, a veces incluso una persona que el destinatario conoce personalmente.
Hay muchos tipos de fraude por phishing:
Los correos electrónicos masivos de phishing se envían a millones de destinatarios a la vez. Parece que los envía una empresa u organización grande y conocida (un banco nacional o mundial, un gran minorista en línea, un proveedor de pagos en línea popular, etc.) y contienen una petición genérica como «tenemos problemas para procesar su compra, actualice su información de crédito». Con frecuencia, estos mensajes incluyen un enlace malicioso que lleva al destinatario a un sitio web falso que captura el nombre de usuario, la contraseña, los datos de la tarjeta de crédito y mucho más.
El spear phishing tiene como objetivo una persona concreta, normalmente alguien con acceso privilegiado a la información del usuario, a la red informática o a los fondos de la empresa. Un estafador investigará al objetivo -a menudo utilizando información encontrada en LinkedIn, Facebook u otras redes sociales- para crear un mensaje que parezca proceder de alguien que el objetivo conoce y en quien confía, o que haga referencia a situaciones con las que el objetivo está familiarizado. Whale phishing es un ataque de suplantación de identidad rápida que se dirige a una persona de alto perfil, como un CEO o una figura política. En el compromiso del correo electrónico empresarial (BEC), el hacker utiliza credenciales comprometidas para enviar mensajes de correo electrónico desde la cuenta de correo electrónico real de una autoridad, lo que dificulta mucho más la detección.
La suplantación de identidad por voz, o vishing, es una suplantación de identidad que se realiza mediante llamadas telefónicas. Las personas suelen experimentar vishing en forma de llamadas grabadas amenazantes que dicen ser del FBI. Aunque X-Force de IBM determinó recientemente que añadir vishing a una campaña de phishing dirigida puede hasta triplicar el éxito de la campaña.
El phishing por SMS, o smishing, es phishing a través de mensajes de texto.
La suplantación de identidad en los motores de búsqueda implica que los piratas informáticos creen sitios web maliciosos que ocupan un lugar destacado en los resultados de búsqueda para los términos de búsqueda más populares.
Angler phishing es phishing a través de cuentas falsas de redes sociales que se hacen pasar por la cuenta oficial del servicio de atención al cliente o de los equipos de atención al cliente de las empresas de confianza.
Según el IBM Security X-Force Threat Intelligence Index 2023, el phishing es el vector de infección de malware líder, identificado en el 41 % de todos los incidentes. Según el informe Cost of a Data Breach 2022, el phishing es el vector de ataque inicial que conduce a las vulneraciones de datos más costosas.
Baiting
El baiting atrae (sin doble sentido) a las víctimas para que, consciente o inconscientemente, faciliten información confidencial o descarguen código malicioso, tentándolas con una oferta valiosa o incluso un objeto de valor.
La estafa del príncipe nigeriano es probablemente el ejemplo más conocido de esta técnica de ingeniería social. Ejemplos más actuales son las descargas gratuitas de juegos, música o software infectados con malware. Pero algunas formas de hostigamiento apenas son ingeniosas. Por ejemplo, algunos actores de amenazas se limitan a dejar unidades USB infectadas con malware donde la gente las encuentra, y las cogen y las utilizan porque "vaya, una memoria USB gratis".
Tailgating
En el tailgating -también llamado "piggybacking"- una persona no autorizada sigue de cerca a una persona autorizada hasta un área que contiene información sensible o activos valiosos. El seguimiento cercano se puede realizar en persona, por ejemplo, un actor de amenazas puede seguir a un empleado a través de una entrada desbloqueada. Pero el tailgating también puede ser una táctica digital, como cuando una persona deja un ordenador desatendido mientras sigue conectada a una cuenta o red privada.
Pretextar
Al pretextar, el actor de la amenaza crea una situación falsa para la víctima y se hace pasar por la persona adecuada para resolverla. Muy a menudo (e irónicamente) el estafador afirma que la víctima ha sido afectada por una violación de seguridad, y luego ofrece arreglar cosas si la víctima proporcionará información importante de la cuenta o control sobre el ordenador o dispositivo de la víctima. (Técnicamente hablando, casi todos los ataques de ingeniería social implican algún grado de pretexto).
Quid pro quo
En una estafa quid pro quo, los piratas informáticos cuelgan un bien o servicio deseable a cambio de la información confidencial de la víctima. Ganar concursos falsos o recompensas de fidelidad aparentemente inocentes («gracias por su pago, tenemos un regalo para usted») son ejemplos de tácticas qui pro quo.
Scareware
También considerado una forma de malware, el scareware es un software que utiliza el miedo para manipular a las personas para que compartan información confidencial o descarguen malware. El scareware suele adoptar la forma de un falso aviso de las fuerzas de seguridad acusando al usuario de un delito, o de un falso mensaje de soporte técnico advirtiéndole de la presencia de malware en su dispositivo.
Ataque de abrevadero
Derivado de la frase "alguien envenenó el abrevadero": los piratas informáticos inyectan código malicioso en una página web legítima frecuentada por sus objetivos. Los ataques de abrevadero son responsables de todo, desde el robo de credenciales hasta las descargas involuntarias de ransomware de tipo "drive-by".
Los ataques de ingeniería social son notoriamente difíciles de prevenir porque se basan en la psicología humana en lugar de las vías tecnológicas. La superficie de ataque también es significativa: en una organización más grande, solo se necesita el error de un empleado para poner en peligro la integridad de toda la red empresarial. Algunos de los pasos que los expertos recomiendan para mitigar el riesgo y el éxito de las estafas de ingeniería social incluyen:
Formación sobre concienciación sobre la seguridad: Muchos usuarios no saben cómo identificar ataques de ingeniería social. Y en una época en la que los usuarios intercambian con frecuencia información personal por bienes y servicios, no se dan cuenta de que entregar datos aparentemente mundanos, como el número de teléfono o la fecha de nacimiento, puede permitir a los piratas informáticos vulnerar una cuenta. La formación sobre concienciación sobre la seguridad, combinada con políticas de seguridad de datos, puede ayudar a los empleados a comprender cómo proteger sus datos confidenciales y cómo detectar y responder a los ataques de ingeniería social en curso.
Políticas de control de acceso: Las políticas y tecnologías de control de acceso seguro, incluida la autenticación multifactor, la autenticación adaptativa y un enfoque de seguridad de confianza cero, pueden limitar el acceso de los ciberdelincuentes a información y activos confidenciales en la red corporativa, incluso si obtienen las credenciales de inicio de sesión de los usuarios.
Tecnologías de ciberseguridad: los filtros de correo no deseado y puertas de enlace seguras de correo electrónico pueden evitar en primer lugar que algunos ataques de phishing lleguen a los empleados. Los firewalls y el software antivirus pueden mitigar el alcance de cualquier daño causado por los atacantes que obtienen acceso a la red. Mantener los sistemas operativos actualizados con los parches más recientes también puede cerrar algunas vulnerabilidades que los atacantes aprovechan a través de la ingeniería social. Además, las soluciones avanzadas de detección y respuesta, como la detección y respuesta de endpoints (EDR) y la detección y respuesta ampliadas (XDR), pueden ayudar a los equipos de seguridad a detectar y neutralizar rápidamente las amenazas de seguridad que infectan la red a través de tácticas de ingeniería social.
Ponga a prueba a su personal a través de ejercicios de phishing, vishing e ingeniería social física. Descubra las vulnerabilidades de los empleados, los procesos y las políticas para reducir el riesgo de que los ataques reales de ingeniería social tengan éxito.
Aplicaciones de texto, redes, hardware y personal para descubrir y corregir vulnerabilidades que exponen sus activos más importantes a ataques. El portal X-Force® Red permite a todos los involucrados en la reparación ver inmediatamente los resultados de las pruebas y programar las pruebas de seguridad cuando lo deseen.
El 81% de los profesionales de SOC dicen que se ven ralentizados por la investigación manual.1 Acelere las investigaciones de alertas con IBM Security QRadar Suite, una selección modernizada de tecnologías de seguridad que ofrece una experiencia de analista unificada creada con IA y automatizaciones.
La mejor manera de evitar una vulneración de datos es entender por qué ocurre. El informe Coste de una filtración de datos comparte las últimas perspectivas sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.
CISO, equipos de seguridad y líderes empresariales: obtenga información práctica para comprender cómo atacan los actores de las amenazas y cómo proteger su organización de forma proactiva.
El fraude por phishing engaña a las víctimas para que divulguen datos confidenciales, descarguen programas maliciosos y se expongan a sí mismas o a sus organizaciones a la ciberdelincuencia.
Descubra cómo la autenticación multifactor refuerza la seguridad, cumple con los requisitos de conformidad con la normativa y soporta una estrategia de seguridad de zero trust.