Los ataques de ingeniería social manipulan a las personas para que compartan información que no deberían compartir, descarguen software que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o cometan otros errores que comprometan su seguridad personal u organizacional.
Un correo electrónico que parece ser de un compañero de trabajo de confianza que solicita información confidencial, un mensaje de voz amenazante que dice ser del IRS y un ofrecimiento de la riqueza de un pariente extranjero: son solo algunos ejemplos de ingeniería social. Debido a que la ingeniería social utiliza la manipulación psicológica y aprovecha el error humano o la debilidad en lugar de las vulnerabilidades del sistema, a veces se denomina "piratería humana".
Los ciberdelincuentes utilizan con frecuencia tácticas de ingeniería social para obtener datos personales o información financiera, incluidas credenciales de inicio de sesión, números de tarjetas de crédito, números de cuentas bancarias y números de Seguro Social. Utilizan la información que han robado para el robo de identidad, lo que les permite realizar compras utilizando el dinero o crédito de otras personas, solicitar préstamos en nombre de otra persona, solicitar beneficios de desempleo de otras personas y más. Pero un ataque de ingeniería social también puede ser la primera etapa de un ataque cibernético a mayor escala. Por ejemplo, un delincuente cibernético podría engañar a una víctima para que comparta su nombre de usuario y contraseña, y luego usar esas credenciales para plantar ransomware en la red del empleador de la víctima.
La ingeniería social es atractiva para los delincuentes cibernéticos porque les permite acceder a redes digitales, dispositivos y cuentas sin tener que hacer el trabajo técnico difícil de moverse por el cortafuegos, software antivirus y otros controles de ciberseguridad . Esta es una de las razones por las que la ingeniería social es la principal causa del compromiso de la red hoy en día según el informe de State of Cybersecurity 2022 de ISACA (el enlace se encuentra fuera de ibm.com). Según el informe Costo de una filtración de datos de 2022 de IBM, las filtraciones causadas por tácticas de ingeniería social (como el phishing y el compromiso del correo electrónico comercial) se encontraban entre las más costosas.
Obtenga insights para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice de IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe sobre el costo de una filtración de datos
Las tácticas y técnicas de ingeniería social se basan en la ciencia de la motivación humana. Manipulan las emociones y los instintos de las víctimas de formas que, según se ha demostrado, llevan a las personas a tomar medidas que no son beneficiosas.
La mayoría de los ataques de ingeniería social emplean una o más de las siguientes tácticas:
Hacerse pasar por una marca confiable: los estafadores a menudo se hacen pasar o imitan empresas que las víctimas conocen, en las que confían y con las que quizás hacen negocios con frecuencia por lo que siguen las instrucciones de estas marcas sin pensar y sin tomar las precauciones adecuadas. Algunos estafadores de ingeniería social utilizan kits ampliamente disponibles para montar sitios web falsos que se asemejan a los de grandes marcas o empresas.
Hacerse pasar por una agencia de gobierno o una figura de autoridad: las personas confían, respetan o temen a la autoridad (en distintos grados). Los ataques de ingeniería social juegan con estos instintos con mensajes que parecen o afirman ser de agencias de gobierno (ejemplo: el FBI o el IRS), figuras políticas o incluso celebridades.
Inducir miedo o una sensación de urgencia: las personas tienden a actuar precipitadamente cuando están asustadas o apresuradas. Las estafas de ingeniería social pueden utilizar diversas técnicas para inducir miedo o urgencia en las víctimas. Por ejemplo, decirle a la víctima que una transacción de crédito reciente no fue aprobada, que un virus ha infectado su computadora, que una imagen utilizada en su sitio web viola los derechos de autor, etc. La ingeniería social también puede apelar al miedo de las víctimas a perderse algo (FOMO), lo que crea un tipo diferente de urgencia.
Apelando a la codicia: La estafa del príncipe nigeriano, un correo electrónico en el que alguien que dice ser miembro de la realeza nigeriana y que intenta huir de su país ofrece una gigantesca recompensa económica a cambio de información bancaria del destinatario o de un pequeño anticipo, es uno de los ejemplos de ingeniería social que apela a la codicia. Este tipo de ataque de ingeniería social también puede provenir de una supuesta figura de autoridad y crea una sensación de urgencia, que es una combinación poderosa. Aunque esta estafa es tan antigua como el propio correo electrónico, aún en 2018 seguía recaudando 700,000 dólares al año.
Apelar a la buena voluntad o la curiosidad: las tácticas de ingeniería social también pueden apelar a la mejor naturaleza de las víctimas. Por ejemplo, un mensaje que parece ser de un amigo o de un sitio de redes sociales puede ofrecer ayuda técnica, pedir participación en una encuesta, afirmar que la publicación del destinatario es viral y proporcionar un enlace falsificado a un sitio web falso o una descarga de malware.
Phishing
Los ataques dephishing son mensajes digitales o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software maligno, transfieran dinero o activos a las personas equivocadas o tomen otras medidas perjudiciales. Los estafadores elaboran mensajes de phishing para que parezcan o suenen como si surgieran de una organización o persona de confianza y creíble, a veces incluso una persona que el destinatario conoce personalmente.
Hay muchos tipos de estafas de phishing:
Los correos electrónicos masivos de phishing se envían a millones de destinatarios a la vez. Parecen ser enviados por una empresa grande y conocida, como un banco nacional o global, un gran minorista en línea, un proveedor popular de pagos en línea, así como hacer una solicitud genérica, como"estamos teniendo problemas para procesar la compra, por favor actualice la información de su método de pago". Con frecuencia, estos mensajes incluyen un enlace maligno que lleva al destinatario a un sitio web falso que captura el nombre de usuario, la contraseña, los datos de la tarjeta de crédito y más.
El phishing focalizado se dirige a una persona específica, generalmente una con acceso privilegiado a la información del usuario, la red informática o los fondos corporativos. Un estafador investigará con frecuencia la información que se encuentra en LinkedIn, Facebook u otras redes sociales para crear un mensaje que parece provenir de alguien que el usuario conoce y en quien confía o que se refiere a situaciones con las que el usuario está familiarizado. El phishing de ballenas es un ataque de phishing focalizado que se dirige a una persona de alto perfil, como un CEO o una figura política. En el compromiso del correo electrónico empresarial (BEC), el hacker utiliza las credenciales comprometidas para enviar mensajes de correo electrónico desde la cuenta de correo electrónico real de una figura de autoridad, lo que hace que la estafa sea mucho más difícil de detectar.
Voice phishing o vishing es un phishing que se realiza a través de llamadas telefónicas. Las personas suelen experimentar vishing en forma de llamadas grabadas amenazantes que afirman ser del FBI. Recientemente, X-Force de IBM determinó que añadir vishing a una campaña de phishing dirigida puede aumentar el éxito de la campaña hasta 3 veces.
El phishing por SMS, o smishing, es phishing por mensaje de texto.
El phishing de motores de búsqueda implica que los hackers creen sitios web malignos con un alto rango en los resultados de búsqueda para los términos de búsqueda populares.
Elangler phishing es un phishing que utiliza cuentas falsas de redes sociales que se hacen pasar por las cuentas oficiales de los equipos de atención al cliente de empresas confiables.
Según el IBM Security X-Force Threat Intelligence Index 2023, el phishing es el principal vector de infección de malware, ya que se detecta en el 41% de todos los incidentes. Según el informe Costo de una filtración de datos de 2022, el phishing es el vector de ataque inicial que lleva a las filtraciones de datos más costosas.
Cebo
La carnada atrae (sin juego de palabras) a las víctimas para que, consciente o inconscientemente, proporcionen información confidencial o descarguen un código maligno ya que las tienta con una oferta valiosa o incluso un objeto de valor.
La estafa Príncipe de Nigeria es probablemente el ejemplo más conocido de esta técnica de ingeniería social. Ejemplos más actuales son las descargas gratuitas de juegos, música o programas infectados con malware. Pero algunas formas de provocación apenas son ingeniosas. Por ejemplo, algunos actores de amenazas dejan unidades USB infectadas con malware donde la gente las pueda encontrar, las agarran y las usan porque "oye, una USB gratuita".
Tailgating
En el tailgating, también llamado "piggybacking", una persona no autorizada sigue de cerca a una persona autorizada hasta una zona que contiene información sensible o activos valiosos. El tailgating se puede realizar en persona, por ejemplo, un actor de amenazas puede seguir a un empleado a través de una puerta desbloqueada. Pero el tailgating también puede ser una táctica digital, como cuando una persona abandona una computadora sin supervisión mientras inicia sesión en una cuenta privada o red.
Pretexting
Como pretexto, el actor de la amenaza crea una situación falsa para la víctima y se hace pasar por la persona adecuada para resolverla. Muy a menudo (irónicamente) el estafador afirma que la víctima se ha visto afectada por una violación de seguridad y luego se ofrece a arreglar las cosas si la víctima proporciona información importante o controla la computadora o el dispositivo de la víctima. Técnicamente hablando, casi todos los ataques de ingeniería social implican algún pretexto.
Quid pro quo
En una estafa quid pro quo, los hackers ofrecen un bien o servicio deseable a cambio de la información confidencial de la víctima. Las ganancias falsas del concurso o las recompensas de lealtad aparentemente inocentes ("gracias por su pago, tenemos un regalo para usted") son ejemplos de las tácticas quid pro quo.
Scareware
También considerado una forma de malware, el scareware es un software que utiliza el miedo para manipular a las personas para que compartan información confidencial o descarguen malware. Scareware a menudo toma la forma de un aviso falso de aplicación de la ley que acusa al usuario de un delito, o un mensaje falso de soporte técnico que advierte al usuario del malware en su dispositivo.
Ataque de agujero de riego
De la frase "alguien envenenó el pozo", los hackers inyectan código maligno en una página web legítima frecuentada por sus objetivos. Los ataques de pozo son responsables de todo, desde credenciales robadas hasta descargas involuntarias de ransomware.
Los ataques de ingeniería social son notoriamente difíciles de prevenir porque dependen de la psicología humana en lugar de las vías tecnológicas. La superficie de ataque también es significativa: en una organización más grande, solo se necesita un error de un empleado para comprometer la integridad de toda la red empresarial. Algunos de los pasos que los expertos recomiendan para mitigar el riesgo y el éxito de las estafas de ingeniería social incluyen:
Capacitación en conocimientos sobre seguridad: muchos usuarios no saben cómo identificar los ataques de ingeniería social. En un momento en que los usuarios suelen intercambiar información personal por bienes y servicios, no se dan cuenta de que dar información aparentemente irrelevante, como un número de teléfono o fecha de nacimiento, puede permitir que los hackers se filtren en las cuentas. La capacitación en conocimientos sobre seguridad, combinada con políticas de seguridad de datos, puede ayudar a los empleados a comprender cómo proteger sus datos confidenciales y cómo detectar y responder a los ataques de ingeniería social en curso.
Políticas de control de acceso: Las políticas y tecnologías de control de acceso seguro, incluida la autenticación multifactor, la autenticación adaptativa y un enfoque de seguridad de confianza cero , pueden limitar el acceso de los delincuentes cibernéticos a información y activos confidenciales en la red corporativa, incluso si obtienen las credenciales de inicio de sesión de los usuarios.
Tecnologías de ciberseguridad: los filtros de spam y las entradas de correo electrónico seguras pueden evitar que algunos ataques de phishing lleguen a los empleados en primer lugar. Los cortafuegos y el software antivirus pueden mitigar el alcance de cualquier daño causado por los atacantes que obtienen acceso a la red. Mantener los sistemas operativos actualizados con los últimos parches también puede cerrar algunas vulnerabilidades que los atacantes aprovechan mediante ingeniería social. Además, las soluciones avanzadas de detección y respuesta, incluida la detección y respuesta de endpoints(EDR) y la detección y respuesta extendidas (XDR), pueden ayudar a los equipos de seguridad a detectar y neutralizar amenazas de seguridad que infectan la red a través de tácticas de ingeniería social.
Pon a prueba a tu personal mediante phishing, vishing y ejercicios de ingeniería social física. Descubra las vulnerabilidades de los empleados, los procesos y las políticas para reducir el riesgo de que los ataques reales de ingeniería social tengan éxito.
Aplicaciones de texto, redes, hardware y personal para descubrir y corregir vulnerabilidades que exponen sus activos más importantes a los ataques. El X-Force Red Portal permite a todos los implicados en la corrección ver inmediatamente los resultados de las pruebas y programar pruebas de seguridad según les convenga.
El 81% de los profesionales de SOC dicen que se ven ralentizados por las investigaciones manuales.1 Acelerar las investigaciones de alertas con IBM QRadar Suite, una selección modernizada de tecnologías de seguridad que ofrece una experiencia de analista unificada creada con IA y automatizaciones.
La mejor manera de evitar una filtración de datos es comprender por qué sucede. El informe Cost of a Data Breach comparte las últimas perspectivas sobre el panorama de amenazas en expansión y ofrece recomendaciones sobre cómo ahorrar tiempo y limitar las pérdidas.
CISO, equipos de seguridad y líderes empresariales: obtener insights prácticos para comprender cómo atacan los actores de amenazas y cómo proteger proactivamente a su organización.
Las estafas de phishing engañan a las víctimas para que divulguen datos confidenciales, descarguen malware y se expongan a sus organizaciones ante los delitos cibernéticos.
Descubra cómo la autenticación multi factorial refuerza la seguridad, satisface los requisitos de cumplimiento normativo y respalda una estrategia de seguridad de confianza cero.