INICIO > BLOG

Ataques de ingeniería social. ¿Qué son y cómo evitarlos?

Ataques de ingeniería social. ¿Qué son y cómo evitarlos?

Rocío Sánchez Suárez 9 de septiembre de 2022 0 Comments

La ingeniería social es un conjunto de técnicas psicológicas y habilidades sociales que usan los cibercriminales para engañar a los usuarios y conseguir que les envíen datos confidenciales, infectar sus ordenadores con malware o que abran enlaces a sitios infectados. 

Durante los últimos años, estas técnicas se han ido perfeccionando, aumentando el número de empresas afectadas sobre todo mediante los métodos más utilizado para obtener información sensible, el phishing y la estafa del CEO.

Veamos algunos datos de ingeniería social más recientes en España.

  • Los ataques de ingeniería social constituyen la amenaza más grave para la Administración Pública, representando el 69% de todas las filtraciones analizadas por Verizon en 2021. (Informe de Verizon sobre investigaciones de fugas de datos en 2021).

  • El 28% de los ciberataques se producen por spoofing; suplantación de identidad, o robo de datos a empleados mediante Phishing. (Informe de Ciberpreparación de Hiscox 2021).

  • Según el reporte Fraud Beat 2022, esta modalidad representa el 80% de los incidentes que se reportan antes las autoridades y es una de las más sofisticadas y realistas.

Tipos de ataques de ingeniería social

  • Phishing

Técnica de ingeniería social que consiste en el envío de un email en el que los ciberdelincuentes suplantan la identidad de una compañía conocida o de una entidad pública para solicitar información personal y bancaria al usuario.

  • Spear Phishing

Es una modalidad de ataque phishing, pero en este caso los correos electrónicos son más personalizados y están dirigidos a un colectivo concreto. El atacante recopila información del destinatario para que aumente la confianza del destinatario y este descargar o hacer clic en un archivo infectado.

Otras modalidades de Phishing son el smishing  que utiliza mensajes de texto (SMS) o el vishing mediante llamada telefónica.

Los ciberdelincuentes se hacen pasar por el CEO de la empresa para engañar a los empleados y solicitar transferencias por un alto valor económico bajo alguna excusa de gran importancia para la empresa.

  • Baiting

Consiste en dejar a la vista un dispositivo de almacenamiento extraíble (ya sea un USB, CD, DVD o móvil) infectado con un software malicioso para tentar a la víctima a cogerlo y ver lo que contiene. Una vez que lo ejecuta en su ordenador, el malware hará su trabajo. Si el ordenador es parte de una red, el hacker también obtendrá acceso a todos los demás dispositivos conectados.

  • Pretexting

Se basa en crear un buen pretexto o situación, que los estafadores aprovechan para convencer a su víctima de que revele su propia información personal, haciéndose pasar por organismos de autoridad necesaria para solicitar dicha información.

  • Spamming de Contactos

Los hackers usan este método para enviar mensajes de spam masivo usando direcciones de contactos de la víctima, lo que da más confianza al receptor.

  • Quid Pro Quo

Implica el intercambio de favores y servicios entre el hacker y su víctima. Se hacen pasar por ejemplo por técnicos del servicio informático y piden sus datos de registro para tener acceso al equipo.

  • Contenido incorporado

Normalmente se realiza mediante anuncios, suponiendo el incumplimiento de políticas de la página de alojamiento. En algunos casos, los usuarios de la página de alojamiento podrán ver el contenido de ingeniería social incorporado, en otros, el sitio de alojamiento no contiene ningún anuncio visible, pero dirige a los usuarios a páginas de ingeniería social mediante ventanas emergentes, subyacentes o cualquier otro tipo de redireccionamiento.

  • Spoofing

Consiste en suplantar una identidad electrónica para acceder a datos e informaciones importantes o confidenciales o cometer otros delitos en la Red.

Cómo protegerse de los ataques de ingeniería social

Además de usar un software antivirus que encuentre y elimine fácilmente software malicioso y mantenga tu ordenador protegido de todas las potenciales amenazas, es muy importante la formación y concienciación de los empleados. Aunque apostemos por las mejores medidas e infraestructuras técnicas para prevenir ciberataques, un usuario poco precavido puede comprometer todo un sistema.

También es imprescindible contar con una política de contraseñas potente. Buscar contraseñas fuertes y considerar también utilizar otra capa de seguridad mediante la implementación de una autentificación multifactor.

También te serán de utilidad estos consejos y recomendaciones.

Cómo identificar y prevenir un ataque phishing en tu empresa

Si necesitas más información ponte en contacto con nosotros a través de [email protected] o llamando al 900 52 52 45.