La ingeniería social no es un fenómeno nuevo para las empresas y organizaciones; es un fenómeno ampliamente documentado por profesionales de seguridad cibernética; pero, ¿qué es un ataque de ingeniería social? La ingeniería social es un acto de manipulación para hacer que una persona comprometa su seguridad en línea, revelando información confidencial.
Los piratas informáticos usan diversas tácticas de ingeniería social para llevar a cabo sus estafas, generalmente el primer paso que debemos tomar para contrarrestar este tipo de ataques es a través de la identificación de las formas de estafa aplicadas.
¿Cuáles son los diferentes tipos de ataques de ingeniería social?
A continuación, te presentamos los 14 tipos de ataques de ingeniería social más comunes a los que te puedes enfrentar en línea.
Pharming
El pharming es una estafa mediante la cual un atacante redirige a los usuarios de un sitio web legítimo a un sitio falso para robar sus nombres de usuario, contraseñas y otra información de índole confidencial, tales como preguntas de seguridad. Esta forma de ataque secuestra la configuración del navegador del usuario o ejecuta programa malware en segundo plano, con el objetivo de robar tu identidad.
Tabnabbing/ Tabnabbing reverso
El tabnabbing o tabnabbing reverso son ataques que explotan sitios web estáticos, el ataque afecta directamente al navegador ya que el atacante toma el control de una pestaña recién abierta y secuestra la pestaña original desde donde se abrió. Estas nuevas pestañas reemplazan o modifican la pestaña original y redirigen al usuario a sitios fraudulentos para que los estafadores puedan robar datos de inicio de sesión u otra información crucial.
Scareware
Como su nombre indica, el scareware es un ataque cibernético que se lleva a cabo con el fin de asustar y engañar a las personas haciéndoles creer que su computadora o dispositivo ha sido infectada con malware. El estafador solicita al usuario afectado que compre malware disfrazado de software de seguridad real; este ataque se aprovecha de ventanas emergentes, así como diversas tácticas de ingeniería social.
Hackeo de correo electrónico
Los hackeos de correos electrónicos son los que otorgan acceso no autorizado a un atacante a tus cuentas de correo. Los delincuentes informáticos hackean tu cuenta usando diferentes técnicas, por lo que es bueno repasar algunas de estas para refrescar la memoria.
BEC (Acceso a correos electrónicos comerciales)
También conocido como “Business Email Compromise” (BEC) esta táctica de ingeniería social es un peligroso método de acceso a cuentas de correos electrónicos comerciales con el fin de suplantar la identidad de empleados de alto nivel para estafar a socios, empleados y clientes. Los ataques BEC son el principal objetivo de empresas que realizan transferencias electrónicas y tienen clientes en el extranjero.
Correos spam
Los ataques de spam ocurren cuando los delincuentes informáticos envían múltiples correos electrónicos a sus víctimas; dichos mensajes pueden ser enviados por gente real o botnets (que no es más que una red de computadoras infectadas con malware controladas por un atacante). El pirata informático tiene como objetivo engañar a los usuarios para que descarguen un malware o compartan datos confidenciales.
Phishing
El phishing o suplantación de identidad es uno de los principales métodos de ingeniería social que se ejecuta exclusivamente a través del correo electrónico. El atacante envía un mensaje de correo falso que contiene enlaces maliciosos con el objetivo de robar tu identidad, dinero o información haciendo que reveles datos confidenciales.
Otros tipos de phishing
Con el paso del tiempo, los actores maliciosos continúan perfeccionando sus tácticas, lo cual queda demostrado por la gran cantidad de formatos de phishing que existen en la actualidad.
Spear-phishing
El spear-phishing (o phishing de lanza) es una modalidad de ataque bajo la cual los delincuentes se hacen pasar por una fuente legítima para convencer a víctimas específicas y hacer que estos revelen datos personales, financieros y otros datos confidenciales; a diferencia del phishing tradicional, el spear phishing requiere previo conocimiento de la víctima.
Angler phishing
El Angler phishing, recibe su nombre de un pez llamado rape, y es lo último en estafas en línea a nivel de redes sociales. Bajo esta modalidad los atacantes crean cuentas de redes sociales falsas para hacerse pasar por un agente de servicio al cliente de una empresa, con la intención de atraer a la víctima ofreciéndole solución a sus problemas.
Fraude whaling/CEO
El fraude whaling o de CEO es un ataque de phishing dirigido a personas de alto nivel dentro de una compañía, tales como directores ejecutivos, directores financieros o miembros de la junta. El objetivo del atacante es robar información confidencial o engañar a los empleados para que estos autoricen grandes transferencias o revelen información relacionada a los activos de la empresa.
Tailgating
El tailgaiting es una violación de seguridad común en la cual un delincuente sigue a una persona autorizada a un área restringida con el fin de ganar acceso a esta. Este tipo de ataque de ingeniería social se aprovecha la cortesía humana para ayudar a los demás, por lo que el ejemplo más común es sujetar la puerta a un individuo desconocido que transita detrás de la víctima.
Baiting
El baiting es uno de los ataques de ingeniería social más comunes y simples de llevar a cabo. Es similar al phishing, pero el baiting se vale de falsas promesas o de una recompensa para despertar la curiosidad y mantener el interés de su víctima, basándose en su codicia. Este tipo de ataque aparece frecuentemente en las descargas gratuitas de películas o software, y engaña a los usuarios para que ingresen sus datos de inicio de sesión.
Suplantación de DNS
La suplantación de DNS, también conocida como envenenamiento del caché DNS, es un tipo de ataque en el que los piratas informáticos usan nombres de dominio ligeramente alterados para redirigir a uno o varios usuarios a un sitio web malicioso que se hace pasar por el sitio deseado, para luego solicitar a los usuarios el ingreso de sus credenciales de inicio de sesión, lo que le permite a los atacantes robar estos datos a gusto.
Pretextos
Los pretextos o el pretexting es uno de los ataques de ingeniería social más sencillo de llevar a cabo ya que los criminales informáticos crean escenarios para convencer a sus víctimas para que divulguen información privada o acceder a sus recursos de la red. En la mayoría de los casos, el perpetrador inventa una historia o pretexto convincente, haciéndose pasar por una figura de autoridad legítima para engañar a su víctima.
Accesos físico
Los accesos físicos son un problema de seguridad que involucran el robo de documentos confidenciales y otros objetos físicos de valor, tales como computadoras y unidades de almacenamiento. Estos ataques pueden ser causados a través del tailgating y el acceso no autorizado a las instalaciones de la empresa.
Ataques de abrevadero
Un ataque de abrevadero es una vulnerabilidad de seguridad que es detectada por un atacante y que le sirve para comprometer a un grupo específico de usuarios infectando un sitio web que dicho grupo visite con frecuencia. El objetivo de los atacantes es infectar las computadoras de sus víctimas y obtener acceso a sus recursos en línea.
Quid pro quo
El Quid pro quo es un modo de ataques bastante común dentro de la ingeniería social, con esta táctica los piratas informáticos ofrecen un beneficio para atraer a sus víctimas y hacer que estos revelen información personal. Por ejemplo, puedes recibir una llamada de un número aleatorio por parte de una persona que se identifica como especialista en soporte técnico de un servicio usado por la víctima para solicitar datos a cambio de un servicio.
Estafas con desvío
Las estafas con desvío, también conocidas como «juegos de esquina», comenzaron como una forma de ataque en el mundo real mediante el cual los perpetradores interceptan las entregas de paquetes y las desvían a destinos diferentes. Gracias a los avances tecnológicos, los piratas informáticos ahora pueden interceptar y desviar entregas de encargos hechos en línea; también les es posible engañar a sus víctimas para que estas les envíen información a fuentes equivocadas.
Honeytrap
Una honeytrap es un ataque de ingeniería social que se vale del deseo sexual del usuario para comprometer sus redes y hacer que divulguen información crítica. En la mayoría de los casos, un atacante que se vale de las honeytrap crea un perfil femenino, identifica a sus víctimas y luego entabla amistad con estas para ganarse su confianza.
Estafas de pagos por adelantado
Las estafas de pagos por adelantado es una modalidad mediante la cual los atacantes le solicitan a sus objetivos un pago previo a la recepción de un servicio, bien o producto que nunca recibirán. La estafa más notoria de este tipo es la del “príncipe nigeriano” son un buen ejemplo.
Conclusión
Los ataques de ingeniería social tienen éxito debido al error humano y la imposibilidad de identificar los patrones usados por los piratas informáticos; dicho esto, las organizaciones están en la obligación de educar a sus empleados sobre el impacto de estos ataques.
En nuestro blog te presentamos diversos artículos sobre cada tipo de ataque mencionado en esta guía; asegúrate de echarles un vistazo para comprender cada tipo de ataque de ingeniería social y saber cómo prevenirlos.