12 tipos de ataques de ingeniería social
12 tipos de ataques de ingeniería social
Un ataque de ingeniería social es una táctica que, en esencia, recae en un usuario creando una falsa narrativa que explota la credibilidad, la codicia, la curiosidad o cualquier otra característica muy humana de la víctima. El resultado final es que la víctima proporciona voluntariamente información privada al atacante, ya sea personal (p. ej., nombre, correo electrónico), financiera (p. ej., número de tarjeta de crédito, cartera criptográfica) o mediante la instalación accidental de malware/puertas traseras en su propio sistema.
A medida que los ciberdelincuentes desarrollan tácticas cada vez más sofisticadas para engañar a individuos y empleados, las organizaciones deben mantenerse proactivas. En este artículo, exploraremos doce de los ataques de ingeniería social más comunes:
Phishing
El phishing es un tipo de ciberataque que consiste en el envío de correos electrónicos genéricos por parte de ciberdelincuentes que se hacen pasar por legítimos. Estos correos contienen enlaces fraudulentos para robar información privada del usuario. Los ataques de phishing son más eficaces cuando los usuarios no son conscientes de que esto está ocurriendo.
Un ataque de phishing es la acción o el conjunto de acciones que realiza el hacker para aprovecharse de usted. Los esquemas de phishing por email con frecuencia son fáciles de identificar debido a los errores gramaticales o de ortografía que puede encontrar en el texto. Sin embargo, los atacantes se están volviendo cada vez más sofisticados técnicamente y los nuevos ataques se centran en aprovechar las emociones como el miedo, la indignación y la curiosidad para embaucarle.
Spear Phishing
Spear Phishing destaca como una de las formas más peligrosas y dirigidas de ciberataques. A diferencia de los ataques regulares de phishing, que lanzan una amplia red con la esperanza de atrapar víctimas desprevenidas, el spear phhsing es una forma altamente personalizada y dirigida de un ataque de phishing dirigido a un usuario en lugar de a una red. Los atacantes utilizan información detallada sobre sus víctimas para crear mensajes convincentes que les engañan para que divulguen información confidencial o hagan clic en enlaces maliciosos.
Baiting
Este ataque utiliza una falsa promesa para atraer a una víctima mediante la codicia o el interés. Las víctimas se ven atraídas en una trampa que pone en peligro su información confidencial o infecta sus dispositivos. Un ejemplo sería dejar una unidad flash infectada con malware en un lugar público. La víctima puede estar interesada en su contenido e insertarlo en su dispositivo, instalando involuntariamente el malware.
Whaling
Whaling es un tipo especializado de ataque de phishing dirigido a personas de alto perfil o nivel C dentro de organizaciones, como ejecutivos, gerentes y otros líderes sénior. El término whaling refleja el enfoque del ataque en los peces "grandes", que tienen una autoridad significativa y acceso a información confidencial. A diferencia de los ataques de phishing tradicionales que pueden dirigirse a una persona promedio y confiar en el volumen, el whaling es un ataque altamente dirigido, que utiliza información detallada sobre la víctima para crear correos electrónicos personalizados y convincentes.
Tailgating
Un ataque de tailgating en ciberseguridad es una filtración de seguridad física en la que una persona no autorizada entra en un área restringida siguiendo de cerca a una persona autorizada. Este ataque se basa en el error humano en lugar de en el hackeo o las vulnerabilidades técnicas. A diferencia de las ciberamenazas técnicas como malware y phishing, el tailgating explota el comportamiento humano y los lapsos en los protocolos de seguridad física para infiltrarse en organizaciones no detectadas. Las organizaciones que no implementan controles de seguridad físicos sólidos tienen un alto riesgo de filtraciones que podrían provocar otros tipos de ataques, como malware o ataques de phishing.
Smishing
Los ataques de smishing utilizan un servicio de mensajes cortos o SMS, comúnmente conocidos como mensajes de texto. Esta forma de ataque se ha convertido cada vez más popular debido a que las personas tienden a confiar más en un mensaje que llega a través de una aplicación de mensajería en su teléfono que en un mensaje que llega por email.
Estafas basadas en IA
Las estafas basadas en IA aprovechan la tecnología de inteligencia artificial para engañar a las víctimas. Estos son los tipos comunes:
- Estafa de texto de IA: Mensajes de texto engañosos generados por la IA para suplantar información o propagar malware.
- Estafa de imagen de IA: Imágenes falsas creadas con IA para manipular y engañar a las personas.
- Estafa de voz con IA: Mensajes de voz fraudulentos generados por la IA para hacerse pasar por entidades de confianza y engañar a las víctimas.
- Estafa de IA y vídeo: Vídeos manipulados creados con IA, conocidos como falsificaciones profundas, utilizados para difundir información errónea o dirigirse a personas.
Vishing
El vishing, que es la abreviatura de "phishing de voz", es un tipo de ataque de ingeniería social que utiliza llamadas telefónicas o comunicación basada en voz para engañar a alguien para que entregue información confidencial, como detalles de cuentas bancarias, datos de inicio de sesión o información de identificación personal (PII). Si bien los emails de phishing se reconocen con mayor frecuencia, los ataques de vishing están en aumento, a no siendo detectados. A diferencia de otros ciberataques dirigidos a canales digitales, el vishing manipula mediante la interacción directa de voz, lo que lo convierte en una herramienta poderosa para los estafadores.
Scareware
Scareware implica que las víctimas tengan miedo de falsas alarmas y amenazas. Los usuarios pueden engañarse pensando que su sistema está infectado con malware. A continuación, instalan la solución de software sugerida, pero este software puede ser el malware en sí, por ejemplo, un virus o spyware. Algunos ejemplos comunes son los banners emergentes que aparecen en su navegador y que muestran texto como “Su ordenador puede estar infectado”. Ofrecerá instalar la solución o le dirigirá a un sitio web malicioso.
Pretexto
Pretexting es una táctica de ingeniería social en la que los atacantes crean un escenario falso para engañar a las víctimas para que revelen información confidencial. A diferencia del phishing, se basa en generar confianza en lugar de miedo.
Los ciberdelincuentes pueden hacerse pasar por figuras de autoridad, compañeros o proveedores para obtener credenciales de inicio de sesión, datos financieros o acceso al sistema. Las organizaciones pueden evitar ataques de pretexto formando a los empleados para verificar identidades, cuestionar solicitudes inusuales y seguir estrictos protocolos de seguridad.
Quishing
Quishing, un término derivado del “phishing de código QR”, es un tipo de ciberataque en el que los cibercriminales utilizan códigos QR maliciosos para engañar a las personas para que visiten sitios web falsos o descarguen malware en sus dispositivos. Estos códigos QR maliciosos se pueden incrustar en correos electrónicos, anuncios, folletos e incluso simplemente poner encima de códigos QR preexistentes para dirigirse a un usuario desprevenido. El objetivo de este ataque es robar información confidencial como contraseñas, datos financieros o infecten el dispositivo de un usuario con malware que pueda conducir a una mayor explotación en el futuro.
Business Email Compromise (BEC)
Business Email Compromise (BEC) es un tipo de estafa dirigida a empresas que realizan transferencias electrónicas y tienen proveedores en el extranjero. Las cuentas de correo electrónico corporativas o públicamente disponibles de ejecutivos o empleados de alto nivel relacionados con finanzas o involucrados en pagos de transferencias electrónicas se falsifican o se ven comprometidas a través de registros de claves o ataques de phishing para realizar transferencias fraudulentas, lo que resulta en pérdidas de cientos de miles de dólares.
¿Cómo evitar estafas de ingeniería social?
La mayor armadura que se puede utilizar contra las tácticas de ingeniería social empleadas por los delincuentes en línea hoy en día es estar bien informado de las muchas formas en que un cibercriminal podría aprovechar su vulnerabilidad en las redes sociales. Más que las consecuencias habituales de caer en presa de spam, ataques de phishing e infecciones de malware, el desafío que plantean los cibercriminales es tener un conocimiento y comprensión firmes sobre cómo mantener la privacidad de sus datos.
Aparte de estar atento a las señales de advertencia anteriores, las siguientes son buenas prácticas a seguir:
- Mantenga actualizado su sistema operativo y software de ciberseguridad.
- Utilice autenticación multifactor y/o un gestor de contraseñas.
- No abra correos electrónicos ni archivos adjuntos de fuentes desconocidas.
- Establezca sus filtros de spam demasiado altos.
- Elimine e ignore cualquier solicitud de información financiera o contraseñas.
- Si sospecha de algo durante una interacción, esté tranquilo y tome las cosas lentamente.
- Realice su investigación cuando se trata de sitios web, empresas e individuos.
- Tenga cuidado con lo que comparte en las redes sociales: utilice su configuración de privacidad.
- Si es empleado de una empresa, asegúrese de conocer las políticas de seguridad.