Ciberataques por ingeniería social: qué son y cómo identificarlos

Los ciberataques por ingeniería social son, desafortunadamente, un tipo de amenaza muy habitual. Funcionan manipulando psicológicamente a los usuarios para que realicen las acciones deseadas por el atacante o para que divulguen información privada o confidencial.

A continuación, repasamos los tipos de ataque más comunes:

• Phising: es la estafa más común; los ciberdelincuentes envían correos electrónicos que parecen provenir de fuentes legítimas y de confianza. Dichos correos instan al usuario a realizar una acción importante, o a hacer clic en un enlace que redirige a un sitio web malicioso, lo cual lleva a entregar información confidencial al atacante o exponerse a descargas de software malicioso. Los correos electrónicos de phishing pueden incluir también un archivo adjunto infectado con malware.

• Spear phising: es una variante de phising en la cual los atacantes se dirigen específicamente a personas con influencia o con privilegios de seguridad, como altos ejecutivos o administradores de sistemas.
• Vishing: ataques de phising de voz. Los atacantes, fingiendo ser trabajadores de una empresa legítima, utilizan técnicas de ingeniería social para lograr que su objetivo divulgue información personal o financiera por teléfono. Pueden alegar cualquier tipo de problema, ofrecer ofertas, etc., para obtener datos personales (y dinero!).
• Smishing: similar al phising, el ciberdelincuente envía un mensaje de texto a su víctima (SMS o Whatsapp principalmente), simulando que proviene de una fuente legítima y reputable (por ejemplo, un banco, una institución pública, etc.), con el fin de inducir a la víctima a revelar información personal y confidencial, como contraseñas o números de tarjeta.

• Malvertising: publicidad en línea controlada por piratas informáticos, que contiene código malicioso que infecta el ordenador del usuario al hacer clic sobre él. Se ha encontrado publicidad maliciosa en diversas publicaciones en línea de gran alcance.
• Descargas no autorizadas: los hackers pueden piratear sitios web e insertar trozos de código maliciosos (scripts en PHP o HTTP) en una página. Cuando los usuarios visitan la página, el malware se instala directamente en su ordenador, o bien los redirige a un sitio malicioso, que realiza la descarga. Las descargas no autorizadas se basan sobre todo en vulnerabilidades en los navegadores web o de los sistemas operativos.
• Scareware: también llamado fraudware, suele aparecer como ventanas emergentes. Pretende asustar al usuario, haciéndole creer que su ordenador está infectado; simula que escanea y detecta virus y amenazas en su ordenador, y muestra periódicamente advertencias falsas, que invitan al usuario a hacer clic en enlaces que redirigen a sitios web infestados de malware.

• Baiting: del término inglés bait (cebo), ocurre cuando el atacante engaña a su objetivo para que utilice un dispositivo físico infectado de malware, como un USB. Una vez éste inserta el dispositivo en su ordenador, instala el malware involuntaria y automáticamente.
• Whaling: este tipo de ataque de phishing se dirige a altos ejecutivos (ballenas, en inglés whales), como directores ejecutivos (CEO) o directores financiero (CFO). El atacante intenta engañar al objetivo para que revele información confidencial.
• Pretexting: ocurre cuando el atacante miente a su objetivo para obtener acceso a datos confidenciales. Una estafa de pretexto puede involucrar a un atacante el cual pretende confirmar la identidad del objetivo solicitando datos financieros o personales.
• Robo por desvío (diversión theft): los delincuentes utilizan técnicas de ingeniería social para engañar a una empresa de transporte para que entreguen en un lugar diferente, interceptando el paquete.
• Trampa de miel (Honey trap): un ingeniero social asume una identidad falsa como una persona atractiva para interactuar con un objetivo en línea. El ingeniero social finge una relación en línea y recopila información confidencial de su objetivo.

• Tailgating o piggybacking: términos en inglés para referirse a seguir de cerca o ir por detrás, a cuestas; ocurre cuando el atacante ingresa en un edificio con seguridad siguiendo a personal autorizado. En general, el personal con acceso legítimo asume que la persona que viene detrás tiene acceso y mantiene la puerta abierta para ellos.
• Pharming: tipo de fraude en línea por el cual un ciberdelincuente instala un software malicioso en un ordenador o servidor. El software dirige automáticamente a los usuarios a un sitio web falso, donde se engaña a los usuarios para que proporcionen datos personales.

Esperamos que este recopilatorio de ciberataques por ingeniaría social les ayude a prevenir y evitar que caigan en las trampas de los ciberdelincuentes.

Es esencial prestar mucha atención a todos los detalles, ser prudente, y, ante la duda, no abrir enlaces ni dar información personal ni de medios de pago.

Y, sobre todo, contar con un servicio de mantenimiento informático de calidad para incrementar su seguridad.

En Accon Software podemos ayudarle a reforzar la seguridad de su empresa. Somos una empresa de servicios informáticos en Barcelona con una larga experiencia en el sector, registrada en el Instituto Nacional de Ciberseguridad (INCIBE). No dude en contactar con nosotros para más información.