La ingeniería social es una forma de manipulación utilizada por los ciberdelincuentes para llegar a los datos que quieren robar o el sistema que buscan tumbar a través de las personas. Se valen de la inocencia de la víctima para alcanzar su objetivo. Así, una conversación o una llamada pueden ser claves para que los […]
Dirigentes Digital
| 26 oct 2022
La ingeniería social es una forma de manipulación utilizada por los ciberdelincuentes para llegar a los datos que quieren robar o el sistema que buscan tumbar a través de las personas. Se valen de la inocencia de la víctima para alcanzar su objetivo. Así, una conversación o una llamada pueden ser claves para que los hackers accedan a la información de una empresa.
El Instituto Nacional de Ciberseguridad, INCIBE, define las cuatro fases por las que pasa un ataque basado en la ingeniería social: en primer lugar el ciberdelincuente intentará recoger información sobre su víctima para llevar a cabo su plan. Después comienza a relacionarse con ella para ganarse su confianza; lo suelen hacer a través de mensajes o contenidos enviados de forma reiterada. Cuando han conseguido que su víctima se fíe, acaban pidiendo el envío de algún tipo de documentación, o bien la instalación de softwares que les servirá como llave para ejecutar el ciberataque.
El fraude del CEO es uno de los ataques basados en ingeniería social más conocidos. El fin de los ciberdelincuentes es engañar a empleados que tienen acceso a las cuentas bancarias de una compañía para que paguen facturas falsas o hagan transferencias de dinero desde la empresa. El estafador hace llamadas o envía correos electrónicos haciéndose pasar por un alto cargo. Puesto que conoce bien la organización porque se ha documentado para ello, suena convincente en sus peticiones. Así, reclama un pago urgente haciendo referencia a una situación excepcional, pago que además suele ser internacional. Es tan frecuente este ataque que el pasado mes de marzo, la Europol lanzó una alerta por estafas relacionadas con los fondos Next Generation.
El vishing es otro tipo de estafa a la orden del día. En este caso una llamada desde una empresa u organización falsa, consigue la información de la víctima. A menudo los estafadores se hacen pasar por un trabajador de una compañía eléctrica, telefónica o de un banco. Asegurando que se ha producido un problema, consiguen que su interlocutor les ceda datos como su correo electrónico o las claves de acceso a la banca digital.
Otra de las bases de los ataques de ingeniería social es el pretexting. El INCIBE explica que “consiste en elaborar un escenario o historia ficticia donde el atacante tratará de que la víctima comparta información que en circunstancias normales no revelaría”. Pero aquí no acaba el engaño. Son números las formas empleadas por los estafadores para robar información: el phising, el smishing o el baiting se unen a la larga y cada vez más elaborada lista de trampas.
El phising es una de las más conocidas y extendidas técnicas de ciberfraude. Consiste en el envío de un correo electrónico con documentos adjuntos infectados por un virus, que se harán con el control del ordenador una vez sean descargados. El smishing es una de sus variantes: en vez de un correo electrónico, el ataque se da en forma de mensaje de texto enviado al móvil.
El baiting o cebo también se sirve de la ingeniería social para delinquir. En este caso, la curiosidad ante un dispositivo abandonado de forma aparentemente casual, hace que la víctima lo conecte a su ordenador para ver su contenido. Una vez ejecutado, el sistema queda infectado.
