15 tipos de ataques de ingeniería social

Los ataques de ingeniería social son quizás una de las mayores amenazas a las que se enfrentan las personas y las empresas en este entorno digital en rápida evolución. Mientras que los ciberataques típicos se centran en aprovechar las vulnerabilidades del software o de las redes, los principales tipos de ataques de ingeniería social explotan el eslabón más frágil de todos: el ser humano. Los atacantes se aprovechan de tendencias naturales como la confianza, la curiosidad, el miedo o la presión entre los seres humanos para hacerles ceder y proporcionar información confidencial o tomar medidas que comprometerían no solo su seguridad, sino también la seguridad de la organización en general. De hecho, el 98 % de los ciberataques se basan en tácticas de ingeniería social y demuestran hasta qué punto los atacantes dependen de la manipulación del comportamiento humano para alcanzar sus objetivos.

Una amplia categoría de ataques maliciosos se basa en el engaño y la interacción humana, en la que los atacantes se presentan como entidades de confianza para convencer a las víctimas de que revelen información confidencial o eludan sus controles de seguridad. Estas formas incluyen, entre otras, correos electrónicos de phishing, llamadas telefónicas fraudulentas y suplantaciones de identidad en persona, que prosperan en cualquier entorno que carezca de concienciación sobre la seguridad. El avance de la tecnología también trae consigo tácticas avanzadas de ingeniería social, lo que dificulta cada vez más su detección y defensa. Son precisamente estos métodos los que las personas y las empresas deben comprender para proteger aún más sus datos y sistemas en un mundo intrínsecamente conectado.

En este artículo, analizamos qué son los ataques de ingeniería social y profundizamos en los detalles de las diversas formas de ataques de ingeniería social.

15 tipos de ataques de ingeniería social

Los ataques de ingeniería social aprovechan la psicología humana para obtener información confidencial o influir en el comportamiento de las personas, comprometiendo su seguridad. La ingeniería social es totalmente diferente del hacking tradicional, ya que se basa más en el engaño o la persuasión utilizando múltiples medios. Al igual que la tecnología cambia, también lo hacen las tácticas de los ciberdelincuentes. Por lo tanto, la herramienta más importante para la protección es la concienciación y la educación. A continuación se enumeran los tipos más comunes de ataques de ingeniería social, cada uno con métodos y objetivos únicos:

1. Phishing: El phishing es una de las formas más comunes de ataques de ingeniería social. Este ataque consiste en correos electrónicos, mensajes o sitios web maliciosos diseñados para obtener información confidencial de las víctimas. En la mayoría de los casos, las estafas se presentan bajo la identidad de una fuente legítima, como una cuenta bancaria o una empresa honesta, engañando así a las personas para que hagan clic en enlaces maliciosos o incluso proporcionen sus credenciales personales. El resultado puede ser el robo de identidad, pérdidas económicas o el acceso no autorizado a datos confidenciales. Los ataques de phishing masivo se envían a millones de destinatarios para aumentar la probabilidad de éxito. Las víctimas de los ataques de phishing pueden sufrir el robo de su información confidencial por parte de los ladrones, lo que dará lugar al robo de identidad, al acceso no autorizado o al fraude financiero.
2. Spear phishing: El spear phishing es una forma de phishing más específica. En este caso, los ciberatacantes han llevado a cabo una investigación más profunda sobre personas u organizaciones para crear mensajes altamente personalizados que aumenten sus posibilidades de éxito. Los ataques de phishing generales, que suelen enviarse en bloque, tienden a centrarse en objetivos de alto valor, como ejecutivos o empleados clave. Estos ataques pueden ser muy devastadores, ya que pueden servir de base para el espionaje corporativo o el robo de datos críticos. El problema es que el spear phishing puede estar tan personalizado que incluso las personas cautelosas pueden convertirse en víctimas de ataques de phishing y divulgar información confidencial. La mayoría de los ataques de spear phishing se convierten en espionaje corporativo exitoso o robos de datos sensibles para el negocio si violan los sistemas internos. El compromiso de la seguridad de toda una organización suele producirse después de irrumpir en los sistemas internos.
3. Vishing (phishing de voz): El vishing es un tipo de phishing que utiliza la comunicación por voz, normalmente a través del teléfono, para extraer datos confidenciales de la víctima. Los ciberatacantes se hacen pasar por figuras de autoridad o personas en las que la víctima confía, como representantes bancarios o funcionarios públicos, para convencer a las víctimas de que les faciliten sus datos personales. Dado que el proceso utiliza la interacción por voz, que puede parecer más personal y auténtica que los ataques de phishing basados en ordenadores, puede resultar especialmente eficaz en los casos de vishing, sobre todo cuando se falsifica el identificador de llamada de los atacantes. Dado que el vishing también se basa en gran medida en la interacción humana, en ocasiones el ataque puede parecer más legítimo o verdadero que el phishing cibernético. Los identificadores de llamada falsificados también forman parte del engaño en este tipo de ataques. Las llamadas se consideran procedentes de fuentes legítimas basándose en la información que se muestra en el identificador de llamadas.
4. Smishing (phishing por SMS): Este es otro método de phishing. Se trata de una técnica utilizada por los ciberdelincuentes en la que reenvían mensajes de texto cortos, comúnmente conocidos como SMS, en nombre de alguna fuente de confianza o que afirman contener un enlace para abrir un sitio web. El SMS pide directamente a los usuarios que introduzcan información personal o descarguen malware instalado en el sistema. Los dispositivos móviles son muy útiles para el smishing porque la gente responde a los mensajes de texto muy rápidamente, a diferencia de lo que ocurre con los correos electrónicos. El smishing es mucho más accesible para los atacantes que explotan los teléfonos móviles porque la gente responde al instante a los mensajes de texto en lugar de a los correos electrónicos. La inmediatez de un SMS hace que los usuarios reaccionen sin pensar. Mientras tanto, los enlaces de smishing pueden llevarlos a sitios web que fingen ser de organizaciones auténticas y engañar a las víctimas para que entreguen su información personal.
5. Pretexting: Pretexting es cuando el atacante crea un escenario o pretexto para que la víctima le dé acceso o información. Por ejemplo, puede hacerse pasar por un compañero de trabajo, un técnico informático o incluso un abogado que solicita información confidencial, ya que forma parte de actividades comerciales legítimas. El éxito del pretexting depende de la capacidad del atacante para ganarse la confianza y la credibilidad de la víctima. El éxito del pretexting depende de la capacidad de los atacantes para ganarse la confianza y la credibilidad de sus víctimas. Aprovechando el deseo de ayudar o de cumplir con la práctica de la autoridad, los atacantes pueden extraer datos valiosos, como credenciales de inicio de sesión o identificación personal. Por lo tanto, el pretexting es una forma de cometer graves violaciones de datos, especialmente en entornos corporativos en los que empleados inconscientes conceden acceso no autorizado sin saberlo.
6. Baiting: El baiting atrae a las víctimas con promesas de algo que desean, como software gratuito, música gratuita o incluso dinero. Los atacantes pueden utilizar cebos físicos, como dejar una memoria USB en un lugar público. Cuando personas desprevenidas insertan la memoria en sus ordenadores, se instala un malware que permite a los atacantes acceder al sistema. Los artículos gratuitos o deseables pueden atraer a las víctimas a tomar decisiones arriesgadas. El cebo aprovecha la curiosidad o la codicia humanas para atraer a las víctimas hacia decisiones peligrosas. Una vez instalado el malware a través de dicho cebo, será posible violar la seguridad de redes enteras. Debido a esto, eventualmente puede violar muchas formas de seguridad asociadas con la computadora. Los ataques de cebo también se pueden encontrar en el ciberespacio, donde se engaña a los usuarios para que descarguen archivos que parecen perfectamente legítimos pero que contienen malware oculto.
7. Quid pro quo: En los ataques quid pro quo, un atacante proporciona un servicio o beneficio a cambio de información. Un ejemplo clásico de esto es cuando un ciberdelincuente se hace pasar por un técnico de soporte informático y afirma que va a solucionar algún problema del sistema, pero insiste en obtener previamente las credenciales de la cuenta de la víctima. Esta técnica se basa en el deseo de las víctimas de recibir ayuda o asistencia, lo que facilita a los atacantes la obtención de su información confidencial. Los ataques quid pro quo aprovechan el hecho de que la víctima necesita algún tipo de asistencia o ayuda, lo que la hace más propensa a proporcionar datos confidenciales. Una vez que los atacantes obtienen estas credenciales, pueden acceder a los sistemas, extraer información o instalar código malicioso en los ordenadores. Esto es extremadamente peligroso en cualquier entorno corporativo en el que los empleados estén ansiosos por resolver los problemas técnicos lo antes posible.
8. Tailgating (Piggybacking): El tailgating es un ataque de ingeniería social física en el que una persona no autorizada sigue a un usuario autorizado a una zona restringida. Por ejemplo, puede darse el caso de que una persona acompañe a un empleado a través de una puerta después de que este afirme haber olvidado su tarjeta de acceso. De este modo, los atacantes pueden acceder a zonas a las que no deberían tener acceso e incluso pueden cometer violaciones de datos o robos. Una vez dentro, el hacker puede acceder a zonas a las que no tiene permiso, con el riesgo de robar información confidencial, violar datos e incluso sabotear. El tailgating se aprovecha de la amabilidad o la disposición a ayudar de la víctima, lo que lo convierte en una forma bastante sencilla pero eficaz de superar los controles de seguridad física. Este tipo de ataque demuestra que el control de acceso debe aplicarse de forma estricta en entornos seguros.
9. Dumpster Diving: El dumpster diving es un hackeo en el que los atacantes rebuscan en los contenedores de basura en busca de números de cuenta, contraseñas u otra información confidencial. Normalmente se utiliza para obtener información que se puede aplicar en un segundo ataque, a menudo en phishing o pretexting. Las organizaciones deben garantizar una eliminación adecuada y evitar la posibilidad de ataques mediante este método. El dumpster diving puede pasar desapercibido en ocasiones, pero sin duda contiene mucha información que podría revelarse a los atacantes. Por lo tanto, el papel utilizado en cualquier organización debe eliminarse de forma adecuada, por ejemplo, triturándolo y borrando de forma segura los datos confidenciales, para no caer en este tipo de ataques. Incluso los detalles más pequeños y aparentemente irrelevantes pueden ayudar a un atacante a diseñar ataques de ingeniería social más complejos.
10. Ataque de abrevadero: En un ataque de tipo "watering hole", los ciberdelincuentes piratean los sitios web que visitan principalmente un grupo u organización específicos. El sitio web infectado con malware inyecta malware en los ordenadores portátiles de sus visitantes, que lo descargan ciegamente en sus sistemas. El ataque se dirige a un grupo de usuarios y es especialmente peligroso para las organizaciones cuyos usuarios comparten un entorno digital. Los ataques de tipo "watering hole" son muy selectivos y resultan especialmente peligrosos para las organizaciones que comparten plataformas digitales comunes. El malware pasa desapercibido para robar grandes cantidades de datos o comprometer completamente un sistema. Estos ataques aprovechan la confianza asociada a sitios web conocidos, por lo que se requieren medidas de ciberseguridad muy avanzadas para identificarlos.
11. Compromiso del correo electrónico empresarial (BEC): El compromiso del correo electrónico empresarial es un ataque dirigido en el que los ciberdelincuentes comprometen cuentas de correo electrónico empresariales legítimas para engañar a los empleados y que transfieran dinero o información confidencial. Muchas veces, se presenta como si fuera un alto ejecutivo y crea una urgencia para obligar a la aceptación. Los ataques BEC son destructivos, ya que no solo causan pérdidas económicas, sino también el robo de información. Por lo tanto, resulta especialmente convincente utilizar direcciones de correo electrónico legítimas utilizadas por los atacantes. Las empresas deben instaurar normas estrictas de seguridad del correo electrónico, como la autenticación multifactorial, para protegerse de este tipo de ataques BEC.
12. Honey Trap: Los atacantes entablan una conversación emocional con las víctimas a través de Internet, lo que también se conoce como honey trap. Una vez iniciado el contacto, las víctimas caen en la trampa del atacante al compartir contraseñas, secretos corporativos o incluso dinero. La trampa amorosa se aprovecha de las emociones de las víctimas, haciéndolas más susceptibles a la manipulación. Se trata de un ataque muy personalizado, ya que el atacante tarda semanas o meses en ganarse la confianza y luego ataca. Estos ataques pueden provocar pérdidas personales y económicas a gran escala si la víctima ocupa un puesto delicado dentro de una organización.
13. Software de seguridad falso: Los ciberatacantes utilizan software de seguridad falso que parece auténtico y que informa de infecciones de malware falsas en los ordenadores de los usuarios. Una vez descargado, el software instala el malware y acaba robando datos o exigiendo dinero a cambio de un rescate. El miedo es su única baza, ya que utilizan ventanas emergentes que no dejan de aparecer y advertencias de seguridad que obligan a actuar con rapidez. De este modo, se filtra información confidencial o se realizan pagos por un delito cibernético que no existe en absoluto. Este ataque puede dejar obsoletos los programas antivirus reales y, por lo tanto, hacer que el sistema sea vulnerable. La víctima puede sufrir robo de identidad o violaciones de datos, como por ejemplo, robos de datos relacionados con información financiera.
14. Explotación de las redes sociales: Este mundo altamente conectado hace que las redes sociales sean medios esenciales para la información, la comunicación y las relaciones. Por otro lado, son un terreno fértil para personas malintencionadas o maliciosas que se aprovechan de los usuarios o los utilizan para sus propios fines. Se sabe que los ciberdelincuentes recopilan información e inteligencia sobre sus objetivos a través de las redes sociales, manipulando o engañando a las personas con muchas tácticas diferentes para que les revelen datos confidenciales. Uno de los engaños más comunes es el uso de perfiles fantasma o presentarse como personas conocidas: amigos, familiares, colegas e incluso organizaciones institucionales o autoritarias.
15. Suplantación de identidad: Los ataques de suplantación de identidad se producen cuando los atacantes se hacen pasar por una persona conocida o de confianza, como un miembro del personal de TI o un directivo, con el fin de acceder a sistemas o datos. Aprovechan la confianza que existe entre las víctimas y las figuras de autoridad percibidas. Los atacantes suelen utilizar nombres reales, información privilegiada o jerga corporativa para hacerse pasar por auténticos, lo que dificulta la detección de la falsificación. Una vez que se obtiene acceso a áreas de confianza, se pueden adquirir sistemas o datos confidenciales e incluso producir graves violaciones de seguridad o robos de información confidencial. En la mayoría de los casos, la suplantación de identidad tiene graves consecuencias si el atacante llega a las áreas restringidas o a las cuentas confidenciales.

¿Cómo prevenir los ataques de ingeniería social?

La prevención de los ataques de ingeniería social requiere educación, tecnología y procesos definidos de forma proactiva. Los ciberdelincuentes operan basándose en la manipulación de la psicología humana, por lo que la concienciación sobre la seguridad cobra gran importancia dentro de una organización. A continuación se presentan algunas estrategias eficaces para mitigar el riesgo de ataques de ingeniería social:

• Formación de los empleados: Educar a los empleados sobre las tácticas de los ataques de ingeniería social ayuda a crear una cultura consciente de la seguridad. Incluso las sesiones de formación periódicas pueden permitir a las personas identificar comportamientos sospechosos, comprender las diferentes formas de ingeniería social y evitar caer en estafas comunes. Los métodos de aprendizaje interactivos, como los ejercicios de simulación de phishing, ayudan a reforzar el aprendizaje y preparan a los empleados para responder de manera eficaz cuando se enfrentan a posibles amenazas. La formación continua mantendrá a los empleados al día de las últimas tácticas que utilizan los ciberdelincuentes.

• Utilizar la autenticación multifactorial (MFA): Esto dificulta mucho más el acceso a los atacantes cuando se utiliza la autenticación multifactorial. En caso de robo de las credenciales de inicio de sesión, la MFA requerirá otro método de verificación, como un código de un solo uso enviado a un dispositivo móvil o el reconocimiento biométrico, para completar el proceso de inicio de sesión. El uso de la MFA reduce el riesgo general de una organización de acceso no autorizado a los sistemas y datos.

• Verificar las solicitudes de información confidencial: Todas las solicitudes de información confidencial deben verificarse. Esto es especialmente importante cuando se desconoce la fuente o el canal. En este caso, se debe alertar especialmente a los empleados con respecto a los métodos utilizados para recibir dichas solicitudes a través de correos electrónicos, llamadas telefónicas o incluso mensajes de texto. Deben ser cautelosos y verificarlo adecuadamente antes de revelar la información confidencial, poniéndose en contacto directamente con el solicitante a través de un número conocido o bien contactando con un supervisor.

• Implementar soluciones de filtrado de correo electrónico: Aplicar técnicas avanzadas de filtrado de correo electrónico que puedan detectar los correos electrónicos de phishing y otros mensajes sospechosos antes de que lleguen a la bandeja de entrada del empleado. Los filtros de correo electrónico, basados en factores predefinidos, pueden detectar posibles contenidos maliciosos, incluidos enlaces o archivos adjuntos de phishing, y marcarlos para su posterior investigación. Las actualizaciones periódicas y el ajuste de los filtros garantizan un filtrado sofisticado que evita los intentos de phishing exitosos y rectifica la amenaza.

• Limitar el acceso a la información confidencial: El principio del mínimo privilegio debe aplicarse en toda la organización, concediendo el acceso a los datos y sistemas confidenciales solo a aquellas personas que tengan motivos legítimos para acceder a ellos. Esto mitiga el impacto si un atacante logra un acceso no autorizado. Las revisiones y actualizaciones periódicas de los permisos de acceso en función de las funciones y responsabilidades garantizan la eliminación inmediata de los derechos de acceso obsoletos.

• Supervisar las actividades inusuales: Esté atento a la actividad de la red y al comportamiento de los usuarios, prestando especial atención a actividades maliciosas como inicios de sesión no autorizados, patrones de acceso a datos inusuales o transferencias de archivos sospechosas. Las herramientas SIEM pueden ayudar a las organizaciones a detectar anomalías en tiempo real. Las alertas basadas en comportamientos sospechosos también permiten a las organizaciones responder rápidamente a la amenaza antes de que se agrave.

Para obtener más información, lea: Cómo prevenir los ataques de ingeniería social

Conclusión

Dado que los ataques de ingeniería social están aumentando y se están volviendo cada vez más persistentes en el entorno actual de ciberseguridad, es imperativo profundizar en las amenazas actuales. Los ataques de ingeniería social son uno de esos ataques, desde las formas más sencillas, como el phishing y el pretexting, hasta ataques avanzados como el spear phishing y los ataques de watering hole, que explotan la psicología humana y las interacciones sociales para obtener acceso no autorizado a información o sistemas confidenciales.

Una vez más, la prevención comienza con la concienciación y la formación de los empleados. Estos riesgos se reducirán significativamente si existe una cultura consciente de la seguridad, combinada con medidas de seguridad sólidas, como la autenticación multifactorial, el filtrado de correo electrónico y la supervisión de la red.

"

Preguntas frecuentes sobre ataques de ingeniería social