Ingeniería Social
InternetSeguridad

Ingeniería social: cómo los atacantes manipulan tus datos

VeraSoul
VeraSoul
Internet Seguridad
8 Min.
Contenido
Cómo protegerte en el día a día…Tipos de ataques más habituales…Casos reales que ilustran el problema…

Ingeniería social: qué es y cómo te pueden engañar…

En seguridad informática, la ingeniería social es el arte de convencer a las personas para que bajen la guardia. En lugar de forzar una puerta técnica, el atacante se cuela por la puerta humana: logra que alguien le envíe dinero, le dé datos sensibles o se salte normas de seguridad sin darse cuenta. Para conseguirlo, juega con emociones muy básicas: miedo a perder la cuenta bancaria, curiosidad por un enlace llamativo, empatía ante un supuesto problema urgente?

Normalmente, detrás de un buen ataque de ingeniería social hay mucha preparación. El atacante investiga a su objetivo, recopila datos públicos o filtrados y localiza posibles puntos débiles, tanto personales como de la organización. Con esa información monta una historia creíble: se hace pasar por un banco, un servicio conocido, un jefe, un técnico de soporte o incluso un familiar, y ajusta el mensaje para que parezca completamente legítimo. El objetivo siempre es provocar una acción concreta: abrir un adjunto, hacer clic en un enlace, compartir una contraseña o aprobar una transferencia?

Tres pilares se repiten en muchos casos. Uno es la suplantación, cuando el delincuente copia la imagen y el tono de una marca, una institución o una autoridad para generar confianza. Otro es la explotación de emociones intensas: correos alarmistas sobre cuentas bloqueadas, multas inventadas o oportunidades de inversión imposibles, muy similares a la clásica estafa del “príncipe nigeriano”. Y el tercero es aprovechar la buena voluntad o la curiosidad: mensajes que parecen venir de amigos o redes sociales, peticiones de ayuda o enlaces “interesantes” que en realidad llevan a malware o webs trampa?

Ingeniería Social

Cómo protegerte en el día a día…

Como estos ataques van dirigidos a personas y no a máquinas, no basta con instalar un antivirus y olvidarse. Hace falta combinar hábitos de seguridad y tecnología de apoyo. Medidas como la autenticación multifactor (un código extra además de la contraseña) ayudan a que, incluso si alguien roba tus credenciales, no pueda entrar tan fácilmente?

En empresas, la formación periódica de empleados es clave: enseñar a desconfiar de peticiones inesperadas de datos, verificar por un canal alternativo y no compartir información sensible sin confirmar. También ayuda contar con un buen paquete de seguridad (antivirus, filtros de spam, firewalls, sistemas actualizados) que bloquee correos y webs maliciosas antes de que lleguen al usuario. A nivel personal, conviene aprender a reconocer señales típicas de phishing: remitentes raros, saludos genéricos, faltas de ortografía, URLs extrañas u ofertas demasiado buenas para ser verdad?

Otra barrera práctica es desactivar las macros por defecto en documentos de Office y desconfiar de adjuntos que pidan habilitarlas para ver el contenido. Y, algo muy sencillo pero efectivo: no responder a mensajes, correos o llamadas que huelan a estafa; responder sólo confirma que tu número o correo están activos y te convierte en un objetivo más apetecible?

Tipos de ataques más habituales…

Gran parte de la ingeniería social actual gira alrededor del phishing, con distintas variantes. Está el phishing por correo de toda la vida, donde se imita a un banco u otro servicio para robar credenciales mediante enlaces o archivos adjuntos. El phishing masivo consiste en enviar el mismo mensaje a millones de direcciones y esperar a que caiga un porcentaje. En cambio, el spear phishing está muy personalizado y se basa en información de redes sociales o del entorno laboral para sonar creíble; cuando el objetivo es un directivo o persona de alto perfil, se suele hablar de whaling o “caza de ballenas”?

La misma idea se traslada a otros canales. El vishing usa llamadas telefónicas para presionar a la víctima y que suelte datos; el smishing hace lo propio vía SMS con enlaces a sitios falsos. También existe el phishing a través de buscadores, mediante webs fraudulentas que se posicionan bien en resultados, y el phishing en redes sociales, con cuentas de “soporte” o perfiles falsos que arrastran al usuario a páginas de robo de información?

Más allá del phishing, hay muchas otras técnicas:

El baiting ofrece algo atractivo (descargas, regalos, accesos exclusivos) a cambio de que la víctima entregue datos o instale malware.

El tailgating o piggybacking consiste en aprovecharse físicamente de alguien para entrar en un área restringida o digitalmente de una sesión ya abierta. El pretexting se centra en inventar un escenario convincente para justificar la petición de datos, y el quid pro quo promete un beneficio o servicio a cambio de información.

El scareware se apoya en falsas alertas de virus para convencer al usuario de instalar software malicioso, mientras que los troyanos se camuflan como programas legítimos o adjuntos inofensivos. Las estafas de soporte técnico y las llamadas automáticas fraudulentas mezclan varios de estos ingredientes y siguen siendo muy frecuentes?

Casos reales que ilustran el problema…

Cuando se mira a casos reales, se ve claramente cómo los estafadores ajustan el mensaje al perfil de la víctima. En las campañas de sextorsión, por ejemplo, el delincuente asegura haber grabado a la persona con su webcam mientras veía contenido adulto, muestra una contraseña antigua obtenida de alguna filtración y exige un pago en criptomonedas para no divulgar el supuesto vídeo. En la mayoría de ocasiones no existe tal grabación, pero el miedo y la vergüenza hacen que algunos paguen?

La conocida “estafa del abuelo” explota el vínculo familiar. Un supuesto policía o abogado llama o escribe afirmando que un hijo o nieto está detenido o herido y que hace falta pagar urgentemente fianza o gastos médicos. Hay variantes que usan SMS donde, sólo por responder, la víctima ya puede acabar pagando cargos extra. Otro esquema muy usado en Estados Unidos se basa en llamadas que se hacen pasar por la Seguridad Social, afirmando que el número ha sido “suspendido” por actividad sospechosa y exigiendo un pago para “arreglarlo”?

También se han visto ganchos muy específicos, como ofertas ilegales para ver una película de estreno (“John Wick 3”, en uno de los casos documentados) pensadas para fans que consumen cómics o contenido digital. El usuario acaba saltando de una web de streaming pirata a otra, exponiéndose a descargas maliciosas y robo de información. Durante la pandemia de coronavirus, los estafadores se aprovecharon de la confusión generalizada con correos que se hacían pasar por la Organización Mundial de la Salud y webs que mostraban mapas de contagios, pero que en segundo plano instalaban troyanos ladrones de datos.

 

You Might Also Like

Piston Xi3: la nueva consola de Valve
El comando Ping en las redes de ordenadores
Cómo obtener ingresos extras con el móvil y Paytime
La protección de datos personales. Soluciones en entornos Microsoft
Blokada: un excelente bloqueador de publicidad para Android
Etiquetas:
Compartir Artículo
Anterior Artículo Kimi Kimi: La IA china que desafía a los gigantes
No hay comentarios

Redes Sociales

LucusHost, el mejor hosting

Artículos Populares

Verasoul Com Whatsapp Msgstore Db Crypt
Cómo desencriptar el archivo msgstore.db.crypt
Tutoriales
Windows7 logo
Cómo activar Windows 7 de forma permanente con RemoveWAT v2.0 y Chew-WGA v0.9
Software
Whatsapp Y Seguridad
¿Es posible recuperar los mensajes eliminados de WhatsApp?
Seguridad
Como Activar Windows 7 Con Sp1 De Forma Permanente
Cómo activar Windows 7 con SP1 de forma permanente
Software
WP e-Commerce: un plugin para transformar tu blog en un comercio online
Software
Gcypn
Discriminación por edad para el acceso a la Guardia Civil y Policía Nacional
Curiosidades
Scam
SCAM: estafas en Internet
Seguridad
Lazonodeix5
Lazo NODE (!NO Discriminación por Edad!)
Curiosidades