Amenazas emergentes

¿Qué es la ingeniería social?


De la autoría de un empleado de Symantec

 

Hablamos mucho acerca de las vulnerabilidades de software, y las versiones humanas de ellas son nuestras emociones. Cuando las personas deben enfrentar situaciones aterradoras, la primera reacción es actuar y, luego, pensar. La ingeniería social se basa en esta “vulnerabilidad” para que los ataques sean exitosos.

Ayude a proteger su vida digital en sus dispositivos.

¿Le asusta perder información personal o el valioso contenido que hay en su equipo? Norton Security Plus le brinda una protección completa en todos sus dispositivos: hasta 5 equipos con Windows, Macs, smartphones o tablets.
Cree una cuenta hoy mismo y pruébelo gratis por 30 días en hasta 5 dispositivos.

Tipos de ataques de ingeniería social

La ingeniería social es una de las formas en las que los cibercriminales usan las interacciones entre personas para que el usuario comparta información confidencial. Ya que la ingeniería social se basa en la naturaleza humana y las reacciones humanas, hay muchas formas en que los atacantes pueden engañar, en línea o sin conexión.

Carnada

Los humanos somos curiosos, lo cual es fundamental en estas situaciones. El cibercriminal puede dejar un dispositivo, como una memoria USB, infectado con software malicioso a la vista en un espacio público. Alguien recogerá ese dispositivo y lo conectará a su equipo para ver qué contiene. En ese momento, el software malicioso se introducirá en el equipo.

Phishing

Es el truco más antiguo entre cibercriminales y sigue siendo uno de los más exitosos. Intentan usar una variedad de métodos para engañar a las personas y obtener su información. Las tácticas que se basan en el miedo son las más populares entre los criminales, dado que presentan una situación en la que se debe actuar de inmediato y, normalmente, involucran una cuenta bancaria u otra cuenta en línea. Esta táctica depende de que los usuarios tomen decisiones basadas en el miedo y en cómo se sienten, en lugar de pensar por un momento en la situación. Otras versiones de correos electrónicos simulan provenir de una figura de autoridad, como alguien de mayor jerarquía en la empresa que solicita su nombre de usuario y contraseña para poder acceder a un sistema. Las personas suelen cumplir con lo solicitado si proviene de un compañero de trabajo, en particular si tiene mayor jerarquía administrativa. Otra táctica popular usada para el phishing es transmitir una sensación de urgencia. Seguramente ha visto correos electrónicos que anuncian productos con grandes descuentos pero con una cantidad limitada. Parece una gran oferta y proporciona al usuario la sensación de que debe actuar inmediatamente; por lo tanto, las decisiones se toman de forma impulsiva.

Hacking de correo electrónico y envío de spam a contactos

Prestarle atención a lo que recibimos de personas conocidas es una reacción natural. Si mi hermana me envía un correo electrónico con el asunto "Mira este sitio que encontré, es increíble”, lo abriré sin pensarlo dos veces. Es por eso que los cibercriminales buscan las direcciones de correo electrónico y las contraseñas. Una vez que obtienen esas credenciales, pueden apoderarse de la cuenta y enviar spam a todos los contactos de la libreta de direcciones del usuario. El objetivo principal es difundir software malicioso, engañar a las personas para obtener sus datos personales y más.

Pretexto

Un pretexto es una historia elaborada que inventa el cibercriminal a fin de crear una situación en la cual atrapar a sus víctimas. A veces, es una historia trágica de una persona varada en el exterior o de un príncipe de un país desconocido cuyo padre acaba de fallecer y que necesita 500 USD para asumir el trono. Estos tipos de situaciones apelan a la tendencia de las personas a ayudar a quienes lo necesitan. Los pretextos normalmente se usan en combinación con varios de los otros métodos, debido a que la mayoría de las situaciones requieren alguna historia para atraer la atención del objetivo o a que el atacante se hace pasar por otra persona en una llamada telefónica.

Quid Pro Quo

Una cosa por otra. En este tipo de estafa se tienta a los usuarios con ganar algo, como premios o descuentos en productos costosos, pero solo una vez que hayan completado un formulario en el cual se solicita una gran cantidad de información personal. Todos los datos recopilados se usan para el robo de identidad.

Spear phishing

El spear phishing está relacionado con el phishing, aunque es un poco más complejo. Es una campaña dirigida a empleados de una empresa en particular a la cual los cibercriminales desean robarle datos. El criminal elige un objetivo en la organización y realiza una investigación en línea sobre él, durante la cual recopila información personal y sobre sus intereses a partir de las búsquedas que realiza en Internet y de sus perfiles de redes sociales. Una vez que el criminal conoce al objetivo, comienza a enviarle correos electrónicos que le resulten relevantes y personales para persuadirlo de que haga clic en un vínculo malicioso que alberga software malicioso o de que descargue un archivo malicioso. Todos comprobamos nuestros correos electrónicos personales y nuestros perfiles de redes sociales mientras estamos conectados a la red de la empresa, y los cibercriminales dependen de ello. Una vez que el usuario ha caído en el engaño, el software malicioso se instala en el equipo de la red, lo cual permite que se propague fácilmente a otros equipos dentro de la red de la empresa.

Vishing

De todos estos métodos, el vishing es el que involucra mayor interacción humana. El criminal llama al empleado de una empresa y se hace pasar por una persona de confianza o por un representante de su banco o de otra empresa con la cual tiene negocios. Luego, intenta obtener información del objetivo haciéndose pasar por un compañero que perdió su contraseña (y le pide al empleado la suya) o haciéndole una serie de preguntas para verificar su identidad.

La ingeniería social puede realizarse de dos formas: con un solo ataque, como un correo electrónico de phishing; o de forma más compleja, normalmente dirigida a instituciones. Estos dos métodos se conocen como hunting y farming.

Hunting

El hunting es la versión corta de estos ataques. Normalmente, los cibercriminales usan el phishing, la carnada y el hacking de correo electrónico con el propósito de extraer tantos datos como pueda de la víctima con la menor interacción posible.

Farming

Es una estafa de larga duración, en la cual los cibercriminales buscan establecer una relación con el objetivo. Normalmente, observan los perfiles de redes sociales del objetivo e intentan construir una relación con él basada en la información que recopilan durante la investigación. Este tipo de ataque también depende del pretexto, ya que el atacante intenta engañar a la víctima por tanto tiempo como puede para obtener todos los datos que sean posibles.

La ingeniería social está en todos lados, en línea y sin conexión. El gran éxito que tiene se debe al único componente involucrado en el que no se puede instalar software de seguridad: el ser humano. La mejor defensa contra estos tipos de ataques es informarse y conocer las señales de alerta.

¿Es momento de actualizar su protección?

Actualizar dispositivos y softwares muchas veces puede implicar una disminución de la privacidad y la seguridad. Es hora de tomarse la seguridad en serio. Descargue la versión completa de Norton Security Plus y pruébela gratis por 30 días en hasta 5 dispositivos (equipos, smartphones o tablets).

Cree una cuenta hoy y su protección estará activa y en ejecución en unos minutos.


Symantec Corporation, la empresa líder en seguridad informática a nivel mundial, permite que organizaciones, gobiernos y personas protejan sus datos más importantes independientemente de dónde se encuentren. Más de 50 millones de personas y familias confían en la plataforma de seguridad digital completa de Norton y LifeLock de Symantec para que las ayuden a proteger su información personal, sus dispositivos, las redes domésticas y sus identidades.

Copyright © 2018 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y el logotipo de la marca de comprobación, Norton, Norton by Symantec, LifeLock y el logotipo de Lockman son marcas comerciales o marcas comerciales registradas en EE. UU. y en otros países por Symantec Corporation o sus filiales. Firefox es una marca comercial de Mozilla Foundation. Google Chrome y Android son marcas comerciales de Google, LLC. Mac, iPhone y iPad son marcas comerciales de Apple Inc. Microsoft y el logotipo de Windows son marcas comerciales de Microsoft Corporation en EE. UU. y/o en otros países. El robot de Android es una reproducción o modificación del trabajo creado y compartido por Google y se usa de acuerdo con los términos descritos en la licencia de Atribución 3.0 de Creative Commons. Los demás nombres de compañías y productos son marcas registradas o marcas comerciales de cada empresa.