Qué son los ataques de ingeniería social y cómo evitarlos

Tiempo de lectura: 6 min
Redacción Banco Pichincha
01 de diciembre 2020

En el mundo de la ciberseguridad, la ingeniería social es un grupo de técnicas de manipulación emocional y engaño que los estafadores utilizan para obtener información confidencial de su víctima, acceder de manera ilegal a su computadora o teléfono celular, suplantar su identidad y sustraer dinero de las cuentas bancarias o perjudicar su reputación. En este post, te explicamos los 10 tipos de ataques informáticos más comunes y cómo reconocerlos oportunamente.

¿Cómo reconocer un ataque de ingeniería social? 

Los ataques de ingeniería social son muy comunes y peligrosos porque se aprovechan de la buena fe y vulnerabilidad de las personas. Generalmente, los hackers planifican un ataque cibernético con antelación para investigar a la persona o empresa, decidir el método de ataque y finalmente ejecutarlo.

Por este motivo, es muy importante que sepas cómo identificarlos a tiempo y evitar ser víctima de este tipo de ataques.

  • Los ciberdelincuentes intentarán aprovecharse de tu curiosidad y buenas intenciones, estableciendo contactos no solicitados a nombre de gente que conoces o de una institución en la que confías. 
  • Los ataques de ingeniería social se suelen ejecutar a través de correos electrónicos o mensajes en redes sociales que contienen enlaces o contenidos para abrir o descargar. De esta manera, los estafadores no solo tendrán acceso a tu información sino a la de todos tus contactos.
  • Intentarán generar un vínculo para que te sientas cómodo y confíes en ellos.
  • Una vez que entablen una relación contigo, te pedirán acceso a tus cuentas y claves, para luego presionarte hasta que entregues esos datos. 
  • También podrán influir en tu decisión a través de incentivos, al recibir  mensajes de una aparente fuente confiable en la que te piden que hagas clic para recibir regalos o descuentos no solicitados.

Los 10 ataques cibernéticos más comunes

Una vez que has reconocido las características principales de un ataque de ingeniería social, es hora de hablar de los más comunes, para que los identifiques y puedas proteger tus datos personales e, incluso, los de tu empresa.

1. Phishing

El phishing es uno de los ataques de ingeniería social más comunes. Se trata de la suplantación de la identidad mediante el envío de correos electrónicos masivos que, aunque parecen ser de una entidad en la que la víctima confía, buscan engañarla para obtener información sensible, al pedirle que verifique sus datos privados. Al hacerlo, accede a una plataforma muy parecida, donde al ingresar el usuario y contraseña, entregará su información a los estafadores sin siquiera darse cuenta. 

2. Spear phishing

El spear phishing funciona de una manera muy similar al phishing regular, pero la principal diferencia radica en que este ataque va dirigido a una organización en concreto. Esta estafa sirve para robar información sensible de corporaciones y empieza por la identificación e investigación de los trabajadores para entender su comportamiento. Luego, el hacker usa esa información para el ataque que consiste en el envío de correos o mensajes de parte de supuestos compañeros, para acceder a páginas web maliciosas y robar datos confidenciales.

3. Vishing

El vishing es un tipo de estafa que se realiza vía telefónica. Para hacerlo, el hacker manipula a su víctima hasta hacerle ceder su información personal, como números de tarjetas o claves, utilizando un discurso que apele a emociones fuertes como el miedo o la empatía.

4. Smishing

El smishing es un fraude que se lleva a cabo a través de mensajes de texto o apps de mensajería como Whatsapp. Usualmente, los mensajes contienen enlaces a sitios web fraudulentos, con el objetivo de instalar malware en el teléfono celular o solicitar datos personales.

5. SIM Swapping

Existen varios ataques que utilizan herramientas de ingeniería social para lograr su objetivo y acceder a información y dinero de otras personas. Uno de ellos es el SIM Swapping, una modalidad de estafa en la que los hackers suplantan la identidad de su víctima para obtener un duplicado de su tarjeta SIM y acceder a todo tipo de información, como cuentas bancarias. 

6. Baiting 

Otra técnica común de la ingeniería social es el baiting, que consiste en atraer a las personas apelando a su curiosidad, mediante descargas de contenido atractivo (como música o vídeos) o descuentos especiales. Al dar clic en este tipo de anuncios, el usuario no solo está entregando el acceso a su computadora, datos personales y contactos al ciberdelincuente, sino que también puede perder dinero al hacer compras que nunca llegarán.

7. Scareware

Ocurre cuando las personas son bombardeadas con amenazas y alarmas falsas. Una de las más comunes son los avisos en internet, en los que “informan” que el equipo está infectado con un virus y se debe instalar algún programa para proteger la información personal de posibles espías cibernéticos. Al momento de la instalación, el estafador podrá tener acceso a la computadora de la víctima, que ya ha caído en la trampa.

8. Pretexting

Esta técnica de ingeniería social se ejecuta comúnmente a través de la generación de confianza  entre la persona y  los hackers, quienes se hacen pasar por un jefe, compañero de trabajo o conocido que tiene una historia convincente para obtener información confidencial. A veces, un externo pedirá estos datos sensibles a la víctima y repetirá esta acción con otros colaboradores de la empresa para obtener información completa del negocio. 

9. Quid Pro Quo

En este tipo de estafas, las personas entregan información sensible a cambio de algo adicional, como un servicio técnico. Muchas veces, quienes son víctimas de este tipo de ataque son engañadas por consultas gratis en línea o “expertos” que ofrecen servicios sin costo alguno.

10. Tailgaiting

Esta es un ciberdelito en la que el hacker ingresa al lugar físico de trabajo usando una identidad falsa, para luego acceder y robar información directamente de las computadoras. Esta persona intentará entrar al edificio vistiéndose con colores similares a los de la empresa o entablando conversaciones con colaboradores para pasar desapercibido.

Y por si te quedaste con ganas de más, ¡en el bonus te explicamos lo que es el Whaling!

 

Bonus

El Whaling es otro tipo de ataque dirigido a negocios; pero a diferencia del spear phishing, se enfoca en obtener dinero de una empresa a través del engaño a los altos ejecutivos. Con esta estafa, los ciberdelincuentes suplantan la identidad de entidades bancarias  u otras personas de confianza a través de correos electrónicos que solicitan transferencias de dinero.

 

¿Cómo prevenirlos? 10 consejos para evitar ataques de ingeniería social

A diferencia de otros ataques cibernéticos, la ingeniería social no está orientada a hacerle daño a computadoras y celulares, sino a la manipulación psicológica y emocional de las personas para obtener algo a cambio. A continuación, te presentamos algunas recomendaciones para no ser víctima de estas estafas.

  1. Nunca entregues tus credenciales de acceso a plataformas.
  2. No compartas información sensible en tus redes sociales.
  3. Evita abrir correos y archivos adjuntos de fuentes sospechosas. Si no conoces al remitente, no respondas el correo hasta verificar su autenticidad.
  4. Si recibes correos con ofertas, regalos o beneficios tentadores, piensa dos veces antes de hacer clic y aceptarlos. Si quieres verificar si son de verdad, basta con hacer una búsqueda rápida en Google.
  5. Contáctate directamente con el remitente que te está pidiendo información sensible, para verificar su identidad.
  6. Actualiza el software y antivirus de tu computadora constantemente, para evitar archivos maliciosos.
  7. Elimina el historial y caché de tu computadora para que no recuerde tus credenciales de acceso a plataformas.
  8. Sigue las políticas y consejos de seguridad de tu empresa. 
  9. Monitorea constantemente tus perfiles sociales y cuentas bancarias para confirmar que todo está en orden. 
  10. Evita conectarte a redes wi-fi públicas para navegar en internet.