¿Qué es la ingeniería social?

La ingeniería social se basa en la naturaleza humana, en lugar de un ataque informático técnico, para manipular a las personas para que comprometan la seguridad personal o empresarial.

Dibujo isométrico que muestra a diferentes empleados de oficina, todos usando IBM Security
¿Qué es la ingeniería social?

La ingeniería social manipula a las personas para que compartan información que no deberían compartir, descarguen software que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o bien cometan otros errores que comprometan sus activos o seguridad personal o empresarial.

Un correo electrónico que parece proceder de un proveedor fiable en el cual se solicita información actualizada de la tarjeta de crédito, un buzón de voz amenazante que afirma ser del IRS o una oferta jugosa de un potentado extranjero son solo algunos ejemplos de ingeniería social.

Como la ingeniería social explota las debilidades humanas en lugar de las vulnerabilidades técnicas o del sistema digital, a veces se le llama "ataque informático humano".

En muchos casos, los ciberdelincuentes utilizan tácticas de ingeniería social para obtener el tipo de datos personales (credenciales de inicio de sesión, números de tarjeta de crédito, números de cuenta bancaria, números de seguridad social) que pueden utilizar para la usurpación de identidad, lo que les permite realizar compras con el dinero o crédito de sus víctimas, presentar solicitudes de préstamo a nombre de otra persona o solicitar prestaciones por desempleo de otras personas, entre otras. Pero un ataque de ingeniería social también puede ser la primera fase de un ciberataque a mayor escala. Por ejemplo, un ciberdelincuente podría engañar a una víctima para que compartiera un nombre de usuario y una contraseña, y luego utilizar esas credenciales para plantar ransomware en la red de empleado de la víctima.

La ingeniería social es atractiva para los ciberdelincuentes porque les permite acceder a redes, dispositivos y cuentas digitales sin el difícil trabajo técnico que implica hackear cortafuegos, software antivirus y otros controles de ciberseguridad. Esta es una de las razones por las cuales la ingeniería social es la principal causa de ataque a redes comprometidas a día de hoy, según el informe State of Security 2021 de ISACA. También es una de las más costosas: de acuerdo con el informe sobre el coste de una brecha de seguridad en los datos de 2021 de IBM, las filtraciones de datos provocadas por ataques de ingeniería social suponen un coste medio de 4,47 millones de dólares para las empresas.


Cómo y por qué funciona la ingeniería social

Las tácticas y técnicas de ingeniería social se basan en la ciencia de la motivación humana. Manipulan las emociones y los instintos de las víctimas de maneras que se sabe que impulsan a las personas a realizar acciones que no les favorecen.

La mayoría de los ataques de ingeniería social aplican una o más de las siguientes tácticas:

  • Fingen ser una marca fiable: los estafadores a menudo suplantan la identidad (spoofing) de empresas que las víctimas conocen y en las que confían y con las que quizá hacen negocios con frecuencia o regularidad, tan regularmente que siguen las instrucciones de estas marcas por reflejo, sin tomar las precauciones apropiadas. Algunos estafadores de ingeniería social utilizan kits ampliamente disponibles para representar sitios web falsos que se asemejan a los de las principales marcas o empresas.
  • Fingen ser una agencia gubernamental o figura de autoridad: las personas confían, respetan o temen a la autoridad (en diversos grados). Los ataques de ingeniería social juegan con estos instintos con mensajes que parecen o afirman ser de agencias gubernamentales (por ejemplo, el FBI o el IRS), figuras políticas o incluso celebridades.
  • Inducen miedo o una sensación de urgencia: las personas tienden a actuar precipitadamente cuando están asustadas o apuradas. Las estafas de ingeniería social pueden utilizar cualquier número de técnicas para inducir miedo o urgencia en las víctimas: decirle a la víctima que una transacción de crédito reciente no se ha aprobado, que un virus ha infectado su sistema, que una imagen utilizada en su sitio web viola un derecho de copyright, etc. La ingeniería social también puede apelar al miedo de las víctimas a perderse algo (FOMO), lo que crea un tipo de urgencia diferente.
  • Apelan a la codicia:  la estafa nigeriana —un correo electrónico en el que alguien dice ser miembro de la realeza nigeriana que está tratando de huir de su país, ofrece una gran recompensa financiera a cambio de la información de la cuenta bancaria del destinatario o un pequeño importe por adelantado— es uno de los ejemplos más conocidos de ingeniería social que apela a la codicia (también proviene de una supuesta figura de autoridad y crea un sentido de urgencia, una potente combinación). Esta estafa es tan antigua como el propio correo electrónico, pero aún en 2018 seguía recaudando 700 000 dólares al año.
  • Apelan a la buena voluntad o la curiosidad: las maniobras de ingeniería social también pueden apelar a la buena voluntad de las víctimas. Por ejemplo, un mensaje que parece ser de un amigo o un sitio de redes sociales puede ofrecer ayuda técnica, pedir que se participe en una encuesta, afirmar que la publicación de los destinatarios se ha vuelto viral y proporcionar un enlace falsificado a un sitio web falso o descargar malware.

Tipos de ataques de ingeniería social

Phishing

Los ataques de phishing son mensajes digitales o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software malicioso, transfieran dinero o activos a las personas equivocadas o realicen alguna otro acción dañina. Los estafadores diseñan los mensajes de phishing de tal manera que parezca que provienen de una organización o persona fiable o creíble, a veces incluso una persona que el destinatario conoce personalmente.

Hay muchos tipos de estafas de phishing:

  • Los correos electrónicos de phishing en masa se envían a millones de destinatarios al mismo tiempo. Parecen enviados por una gran empresa u organización reconocida, como un banco nacional o global o un gran minorista online, y realizan una solicitud genérica como "estamos teniendo problemas para procesar su compra; por favor, actualice su información de crédito".
  • El spear phishing se dirige a una persona específica, normalmente alguien con acceso con privilegios a la información del usuario, la red de sistemas o fondos corporativos. Un estafador investigará a su blanco, normalmente mediante redes sociales, para crear un mensaje que parezca procedente de alguien que la víctima potencial conoce y en quien confía, o que haga referencia a situaciones con las que está familiarizado. El whaling es un tipo de spear phishing dirigido a una persona de alta visibilidad, como un director ejecutivo o una figura política. En el Business Email Compromise (BEC), el hacker utiliza credenciales comprometidas para enviar mensajes de correo electrónico desde la cuenta de correo electrónico real de una figura de autoridad, lo que hace que la estafa sea mucho más difícil de detectar.
  • El phishing de voz o vishing, es un phishing realizado a través de llamadas telefónicas. La forma más frecuente de vishing son llamadas grabadas amenazantes que afirman ser del FBI. Pero X-Force de IBM recientemente determinó que agregar vishing a una campaña de phishing dirigida puede aumentar el éxito de la campaña hasta 3 veces.
  • El phishing por SMS, o smishing, es phishing a través de mensajes de texto.
  • En el phishing de motor búsqueda los hackers crean sitios web maliciosos que tienen un buen posicionamiento en los resultados de búsqueda en Google por términos de búsqueda populares.
  • El angler phishing es phishing a través de cuentas falsas en redes sociales que se hacen pasar por la cuenta oficial del servicio al cliente o de equipos de soporte al cliente de empresas fiables.

De acuerdo con el informe sobre el coste de una brecha de seguridad en los datos de 2021 de IBM, el phishing es el método de envío de malware más común y la segunda causa más común de filtraciones de datos.

Baiting

El baiting atrae a las víctimas para que, consciente o inconscientemente, entreguen información confidencial, o descarguen código malicioso, tentándolas con una oferta interesante o incluso un objeto valioso.

La estafa nigeriana es probablemente el ejemplo más conocido de esta técnica de ingeniería social. Más ejemplos actuales incluyen las descargas de software, música o juegos gratuitos pero infectados con malware. Pero algunas formas de baiting no son muy ingeniosas. Por ejemplo, algunos estafadores simplemente dejan unidades USB infectadas con malware donde alguien pueda encontrarlas y usarlas porque "oye, una unidad USB gratuita".

Tailgating

En el tailgating, también llamado "piggybacking", una persona no autorizada sigue de cerca a una persona autorizada hacia un área que contiene información confidencial o activos valiosos. El tailgating puede ser físico, por ejemplo, siguiendo a un empleado por una puerta desbloqueada, pero también puede ser digital, como cuando una persona deja un ordenador desatendido mientras sigue conectada a una red o cuenta privada.

Pretexting

En el pretexting, el estafador crea una situación falsa para la víctima y se hace pasar por la persona adecuada para resolverla. Muy a menudo (e irónicamente), el estafador afirma que la víctima se ha visto afectada por una brecha de seguridad y le ofrece solucionarla si esta le proporciona información de cuenta importante o control sobre su sistema o dispositivo (técnicamente hablando, casi todos los ataques de ingeniería social implican algún nivel de pretexting).

Quid pro quo

En una estafa quid pro quo, los hackers ofrecen un bien o servicio deseable a cambio de información confidencial de la víctima. El ganar un concurso falso o recompensas de fidelidad aparentemente inocentes ("gracias por su pago, tenemos un regalo para usted") son ejemplos de tácticas quid pro quo.

Scareware

También considerado una forma de malware, el scareware es software que utiliza el miedo para manipular a las personas para que compartan información confidencial o descarguen malware. El scareware a menudo toma la forma de un aviso de la policía que acusa al usuario de un delito, o un mensaje de soporte tecnológico falso advirtiendo al usuario de malware en su dispositivo.

Ataque de abrevadero (watering hole)

Siguiendo la frase "alguien ha envenenado el abrevadero": los hackers inyectan código malicioso en una página web legítima frecuentada por sus blancos. Los ataques de abrevadero son responsables de todo, desde el robo de credenciales hasta descargas involuntarias de ransomware.


Defensas de ingeniería social

Los ataques de ingeniería social son notoriamente difíciles de impedir porque se basan en la psicología humana en lugar de vías tecnológicas. La superficie de ataque también es significativa: en una gran organización, basta con el error de un empleado para comprometer la integridad de toda la red empresarial. Algunas de las medidas que los expertos recomiendan para mitigar el riesgo y el éxito de las estafas de ingeniería social incluyen:

 

  • Formación en concienciación de la seguridad: muchos usuarios no saben cómo identificar ingeniería social. Y cuando los usuarios intercambian con frecuencia información personal por bienes y servicios, no se dan cuenta de que entregar información aparentemente mundana, como un número de teléfono o una fecha de nacimiento, puede permitir a los hackers violar una cuenta. La formación en concienciación de la seguridad, combinada con políticas de seguridad de datos, puede ayudar a los empleados a comprender cómo proteger sus datos confidenciales y cómo detectar y responder a los ataques de ingeniería social en curso.
  • Políticas de control de acceso: proteger las políticas y tecnologías de control de acceso, incluyendo la autenticación de multifactores, la autenticación adaptativa y un enfoque de seguridad de confianza cero pueden limitar el acceso de los hackers a información confidencial y activos en la red corporativa, incluso aunque obtengan las credenciales de inicio de sesión de los usuarios.
  • Tecnologías de ciberseguridad: los filtros de spam y las pasarelas de correo electrónico seguro pueden impedir que algunos ataques de phishing lleguen a los empleados en primera instancia. Los cortafuegos y el software antivirus pueden mitigar el alcance de cualquier daño causado por los atacantes que obtienen acceso a la red. Mantener los sistemas operativos actualizados con los último parches también puede cerrar algunas vulnerabilidades que los atacantes explotan a través de ingeniería social. Y las soluciones avanzadas de detección y respuesta, que incluyen detección y respuesta de puntos finales (EDR) así como detección y respuesta extendida (XDR), pueden ayudar a los equipos de seguridad a detectar y neutralizar rápidamente las amenazas de seguridad que infectan la red a través de tácticas de ingeniería social.