Ciberataques por Ingeniería Social: Aprende a detectarlos y prevenirlos
Los ataques por ingeniería social son la antesala para ciberataques más graves y sofisticados, por lo que la formación y la concienciación del usuario es fundamental para mitigar el porcentaje de éxito de estos ataques.
En los entornos de seguridad informática, el factor humano es uno de los componentes más débiles y críticos. Como usuarios, el uso que hacemos de nuestros dispositivos informáticos en entornos personales y empresariales va a depender de multitud de factores personales
Aunque apostemos por las mejores medidas e infraestructuras técnicas para prevenir ciberataques, un usuario poco precavido puede comprometer todo un sistema. Por eso, en este artículo de Letslaw te damos todas las claves sobre qué es la ingeniería social y qué medidas puedes tomar en tu empresa para prevenir ciberataques utilizando esta tecnología.
¿Qué es la Ingeniería Social y cómo funciona?
Los ataques por Ingeniería Social son definidos el INCIBE como la técnica empleada por los ciberdelincuentes para ganarse la confianza del usuario con el objetivo de conseguir mediante la persuasión, manipulación y engaño, información de seguridad privilegiada como datos personales, contactos o contraseñas.
En definitiva, la Ingeniería Social es la manipulación que realiza el ciberdelincuente aprovechándose del sesgo cognitivo de su víctima para que ésta realice o le facilite la información que busca, pasando desapercibido en multitud de ocasiones para la víctima.
Cuando tratamos temas de Ciberseguridad, los ataques mediante Ingeniería Social consisten en persuadir y manipular a la víctima mediante habilidades sociales y psicológicas para conseguir la información de interés del ciberdelincuente, gracias a la cual, poder ejecutar en una segunda fase, su ciberataque.
Para los ciberdelincuentes son un tipo de ciberataque muy sencillo de ejecutar, bastante efectivos y, además, baratos al no requerir apenas de medios técnicos.
Tipos de ataques de Ingeniería Social habituales
Los ataques por Ingeniería Social son bastante diversos, tomando forma según la interacción humana y el sesgo cognitivo que se desea explotar por el ciberdelincuente. Este componente tan abstracto hace que sean difícil de encasillar como una categoría específica de ciberataque, presentándose de diversas formas como las siguientes.
PHISING
El Phishing es el ciberataque más extendido en los últimos años. Este ciberataque mediante Ingeniería Social es ejecutado mediante el envío de mensajes de correo electrónico que parecen provenir de una fuente fiable, diseñados con una apariencia de legitimidad y verosimilitud que busca inducir a engaño a la víctima para que faciliten sus datos personales o financieros.
Es el ataque por excelencia empleado para la realización de estafas online.
BAITING
Pasamos del medio electrónico al medio físico. El Baiting o ataque por cebo se sirve de un medio físico como un dispositivo USB o un DVD con el que se busca despertar la curiosidad de la víctima para que lo conecte a su ordenador.
Según el usuario conecta a su equipo este dispositivo, se libera el malware que contiene; los ciberdelincuentes aprovechan para tomar control del equipo, robar datos y acceder a la red.
Otra vertiente del Baiting se da de manera online en sitios web fraudulentos con promociones o concursos que nos incitan a introducir nuestros datos o bien, a descargar sin que seamos consciente de ello, el malware.
VISHING / SMISHING
Los hermanos menores del Phishing. Estos se dan a través de llamadas telefónicas fraudulentas (Vishing) y envío de mensajes SMS (Smishing) buscándose idénticos objetivos y resultados: que la víctima facilite datos personales, contraseñas o caiga en el error de acceder a un enlace fraudulento a través del cual se infecta el dispositivo del usuario.
PRETEXTING
El Pretexting es un es un tipo de ataque de ingeniería social en el que los atacantes se hacen pasar por otra persona (generalmente una autoridad o un responsable de una empresa/servicio) para conseguir información de la víctima.
Estos ataques son difíciles de detectar de primeras por el usuario, por lo que suelen ser tener un alto índice de eficiencia para los ciberdelincuentes.
SPAM
Por último, el ataque por ingeniería social clásico por antonomasia: el SPAM. Este ciberataque por Ingeniería Social cosiste en el envío masivo de correos electrónicos sin haber sido solicitados por el usuario.
Aunque generalmente se tratan de comunicaciones comerciales no deseadas, en no pocas ocasiones contienen enlaces maliciosos o algún tipo de malware descargable.
El objetivo de este tipo de ataques es muy variado, desde el impacto comercial masivo, hasta penetrar en el usuario mediante un ataque de phishing.
Señales para detectar un ataque por Ingeniería Social
En cualquier momento podemos ser víctimas de un ciberataque por Ingeniería Social. A diferencia de los ciberataques tradicionales, en los que los ciberdelincuentes quieren pasar desapercibidos, los ciberdelincuentes suelen comunicarse con nosotros de manera evidente.
Como usuario, hemos de desconfiar si en el momento que contactan con nosotros se dan algunas de las siguientes variables:
- Estás recibiendo una comunicación, correo o ayuda que no has pedido.
- El mensaje está dirigido al espectro de las emociones.
- El mensaje contiene peticiones urgentes.
- El remitente es desconocido.
- Contenido extraño del mensaje cuando viene de un amigo, compañero de trabajo o familiar.
¿Cómo prevenir este tipo de ataques?
Como en muchos otros ámbitos de la ciberseguridad, como usuarios la mejor manera de evitar estos ataques es conocerlos y saber como detectarlos, siendo cautos y empleando altas dosis de sentido común.
Desde Letslaw os ofrecemos los siguientes consejos:
- Formar y concienciar sobre fundamentos básicos de ciberseguridad preventiva.
- Configurar nuestro correo electrónico para que filtre todo el SPAM y correo electrónico sospechoso posible.
- Investigar la fuente de toda comunicación electrónica que recibamos, por correo, sms o llamada Telefónica.
- Ser suspicaces y sospechar de todo ofrecimiento que sea muy gratificante
- Usar siempre antivirus y antimalware de confianza
En Letslaw somos expertos en el desarrollo de Protocolos de Ciberseguridad para empresas, pudiendo ayudarte en la adaptación e integración de procesos preventivos y reactivos de ciberseguridad para tu negocio.
“Una cadena es tan fuerte como su eslabón más débil”
“El eslabón más débil de la ciberseguridad es el usuario”