Los ataques de ingeniería social son una estrategia psicológica contra una empresa u organización que tiene como objetivo explotar la tendencia natural de las personas a confiar en los demás. Funciona engañando a usuarios o empleados desprevenidos para que entreguen datos confidenciales o sensibles.
Por lo general, estos ataques implican el correo electrónico u otra comunicación que invoca urgencia, miedo o emociones similares en las personas, lo que lleva a la víctima a revelar información confidencial de inmediato, hacer clic en un enlace malicioso o abrir un archivo peligroso.
Los ingenieros sociales utilizan una variedad de medios, tanto en línea como fuera de línea, para engañar a los usuarios desprevenidos para que pongan en peligro su seguridad, transfieran dinero o entreguen información confidencial.
Ataques de ingeniería social más frecuentes
Para evitar los ataques de ingeniería social, debes comprender cómo se ven y cómo podría ser su objetivo. Estos son los 5 tipos más comunes que debes tener en cuenta: phishing, scareware, robo por desvío, trampa de miel y caza de ballenas.
1 Phishing
Los ataques de phishing se hacen a través del correo electrónico o sitios web falsos para solicitar información personal haciéndose pasar por una organización confiable. Por ejemplo, un atacante puede enviar un correo electrónico aparentemente de una empresa de tarjetas de crédito o una institución financiera de buena reputación que solicita información de la cuenta.
Los ataques de phishing también pueden parecer provenir de otros tipos de empresas, como organizaciones benéficas. Cuando los usuarios responden con la información solicitada, los atacantes pueden usarla para obtener acceso a las cuentas.
2. Scareware
Los ataques de scareware utilizan tácticas de miedo para manipular al objetivo haciéndole creer que su dispositivo o software está en riesgo. Esta es una forma de ingeniería social basada en las emociones, ya que el atacante se aprovecha de la falta de confianza de la víctima en su infraestructura de tecnología de la información.
Estos ataques de ingeniería social pueden presentarse en forma de una ventana emergente que insta a la víctima a descargar una “actualización” de software crítica o una alerta de que su dispositivo puede estar comprometido. Cualquier acción que realice el usuario en respuesta, generalmente resulta en el lanzamiento de un malware o algo similar.
3. Robo por desvío
En un esquema de robo por desvío, el atacante roba datos confidenciales engañando a la víctima para que se los envíe o comparta con la persona equivocada. El ladrón a menudo logra esto falsificando la dirección de correo electrónico de alguien en la empresa de la víctima, una firma de auditoría o una institución financiera, por ejemplo.
Este es un tipo de estafa que generalmente está dirigida a empresas de mensajería y transporte. El delincuente intenta engañar a la empresa objetivo obligándola a entregar su paquete de entrega en una dirección diferente a la prevista originalmente. Esta técnica se utiliza para robar bienes preciosos que se entregan por correo.
4. Trampa de miel
En este tipo de ingeniería social, los atacantes fingen tener un interés romántico o sexual en la víctima para persuadirlos de que proporcionen información confidencial o dinero. El ingeniero social asume la identidad de una persona atractiva, entabla una relación con ella para ganar su confianza para conseguir lo que quiere.
El delincuente se aprovecha de esta relación para extraer los datos personales de sus víctimas, pedirles dinero prestado o hacer que instalen malware en sus computadoras. El nombre ‘trampa de miel’ proviene de las viejas tácticas de espionaje en las que se utilizaba a las mujeres para atacar a los hombres.
5. Caza de ballenas
Es uno de los ataques de ingeniería social más frecuentes, donde se busca atrapar a un pez gordo. Los atacantes se dirigen específicamente a víctimas y organizaciones de alto valor, los altos ejecutivos suelen ser las presas más frecuentes.
Este ataque es difícil de detectar y está diseñado para alentar a las víctimas a realizar una acción secundaria, como iniciar una transferencia bancaria de fondos. los atacantes pueden enviar a la víctima un correo electrónico que parece provenir de una fuente confiable; esto incluye un sitio web malicioso personalizado que se ha creado especialmente para el ataque.