¿Qué es la ingeniería social? Los 10 ejemplos más terribles

¿Qué es la ingeniería social?

Imagine que va caminando por una calle concurrida y un turista aparentemente perdido le pide indicaciones. Usted le ayuda y él se lo agradece robándole la cartera. Suena absurdo, ¿verdad? Pero eso es exactamente lo que ocurre en el mundo de la Ingeniería Social.

Nos sumergiremos en algunos de los ejemplos más espeluznantes de estos engaños digitales.

¿Qué es la ingeniería social? La ingeniería social es el arte de engañar a la gente para que facilite información confidencial. Es como el carterismo digital, en el que el ladrón utiliza la manipulación y la persuasión, no la fuerza física, para robar sus valiosos datos.

No se convierta en víctima de la ciberdelincuencia. Proteja su PC con el mejor software antivirus y su privacidad con la mejor VPN.

Los ejemplos de ingeniería social más terribles

He aquí los ejemplos de ingeniería social más terribles:

1. Kevin Mitnick y el “pozo de contraseñas” (1995): Uno de los piratas informáticos más infames, Kevin Mitnick, utilizó tácticas de ingeniería social para engañar a un empleado y conseguir que revelara una contraseña del sistema, lo que dio lugar a uno de los sucesos de piratería informática más importantes de la historia.
2. Virus ILOVEYOU (2000): Un ataque de ingeniería social que engañaba a los usuarios para que abrieran un archivo adjunto de correo electrónico aparentemente inocente, que luego se reenviaba a sí mismo a todas las personas de la lista de contactos del usuario, causando miles de millones en daños.
3. Violación de datos de Target (2013): Los piratas informáticos robaron las credenciales de un proveedor externo de climatización y las utilizaron para acceder al sistema de pago de Target, lo que provocó el robo de 40 millones de números de tarjetas de crédito y débito.
4. Hackeo a Sony Pictures (2014): Un correo electrónico de phishing engañó a los empleados para que revelaran sus credenciales de acceso, lo que permitió a los hackers robar películas inéditas y otra información sensible.
5. Anthem Inc. Breach (2015): Una estafa de phishing permitió a los piratas informáticos robar los datos personales de casi 80 millones de personas de una de las mayores aseguradoras de salud de Estados Unidos.
6. Fuga de correos electrónicos del Comité Nacional Demócrata (2016): Los piratas informáticos engañaron a los funcionarios para que revelaran sus contraseñas de correo electrónico a través de una falsa alerta de seguridad de Google, lo que provocó una importante filtración de correos electrónicos confidenciales.
7. El ransomware Bad Rabbit (2017): Los usuarios fueron engañados para instalar una falsa actualización de Flash, que luego cifró sus datos y exigió un rescate de Bitcoin.
8. Estafa de phishing de Google y Facebook (2013-2015, revelada en 2017): Un hacker se hizo pasar por un fabricante de hardware informático y engañó a ambas empresas para que transfirieran más de 100 millones de dólares.
9. Estafa Bitcoin en Twitter (2020): Cuentas de Twitter de alto perfil fueron secuestradas después de que piratas informáticos engañaran a empleados de Twitter para que revelaran sus credenciales, lo que dio lugar a una estafa Bitcoin que prometía a los seguidores “duplicar su dinero”.
10. Ataque a la cadena de suministro de SolarWinds (2020): Probablemente uno de los ataques más sofisticados de la historia reciente, consistió en comprometer el mecanismo de actualización de software de un programa de supervisión y gestión de TI muy utilizado. Los atacantes permanecieron sin ser detectados durante meses, lo que les permitió acceder a numerosas redes gubernamentales y corporativas.

Siga leyendo para obtener más detalles sobre cada ejemplo de ingeniería social.

1. Kevin Mitnick (1995)

Un cuento de contraseñas y persuasión

A mediados de los 90, en los albores de la era de Internet, un hombre llamado Kevin Mitnick sacudió el mundo digital. Conocido hoy como uno de los hackers más notorios, Mitnick no se basó en conocimientos técnicos avanzados para llevar a cabo su atraco más famoso en 1995. En su lugar, utilizó el poder de la persuasión, una táctica que ahora se conoce como ingeniería social.

Mitnick apuntó a un empleado de tecnología, presentándose como un compañero de trabajo necesitado de ayuda. Con una mezcla de encanto y astucia, convenció a este desprevenido individuo para que revelara una contraseña del sistema. Esta exitosa manipulación condujo a lo que ahora se reconoce como uno de los sucesos de piratería informática más significativos de la historia, demostrando cómo la confianza podía explotarse con fines nefastos.

El ataque no se localizó en una zona geográfica concreta, sino que tuvo implicaciones internacionales. Como resultado, los exploits de Mitnick dejaron una profunda huella en las medidas de seguridad que las empresas tomaron en todo el mundo. Aunque el daño financiero preciso es difícil de cuantificar, el impacto del suceso en la forma en que las empresas percibían y trataban la ciberseguridad fue inmenso.

El ataque duró hasta la captura de Mitnick en 1995, lo que significa que su juerga abarcó varios meses. Los datos comprometidos variaban, pero algunos eran bastante sensibles, incluida información comercial de propiedad exclusiva. Las contramedidas dieron lugar a un endurecimiento significativo de los protocolos de seguridad en todas las industrias.

La historia de Mitnick terminó con su detención y posterior condena a cinco años de prisión. Su historia sirve como crudo recordatorio del poder destructivo de la ingeniería social y se ha convertido en una piedra angular para enseñar a particulares y empresas la importancia de salvaguardar la información sensible.2

2. El virus ILOVEYOU (2000)

Una pandemia digital

Con la llegada del nuevo milenio, también lo hizo uno de los ataques de ingeniería social más devastadores. El virus ILOVEYOU, que golpeó en mayo de 2000, no se propagó por el aire sino a través del correo electrónico, demostrando que las cartas de amor sí podían romper corazones… y sistemas informáticos.

Un par de jóvenes programadores filipinos elaboraron un correo electrónico de aspecto inocente con un archivo adjunto titulado “LOVE-LETTER-FOR-YOU.TXT.vbs”. Una vez abierto, el virus se replicaba y reenviaba a todas las personas de la lista de contactos del usuario. Esta obra maestra de la ingeniería social se aprovechaba de la curiosidad y la confianza naturales de la gente, provocando resultados catastróficos.

El virus ILOVEYOU causó estragos a escala mundial, paralizando los sistemas de correo electrónico tanto individuales como corporativos. Afectó a millones de usuarios y empresas, incluidas grandes corporaciones como Ford y el Pentágono. Se calcula que el virus causó daños por valor de 10.000 millones de dólares, lo que demuestra el impacto financiero potencial de este tipo de ataques.

El ataque duró varios días, y las empresas antivirus desarrollaron y distribuyeron rápidamente contramedidas. Las consecuencias provocaron una importante evolución en los sistemas de seguridad del correo electrónico y en la concienciación de los usuarios sobre los riesgos de abrir archivos adjuntos no solicitados.

En cuanto a los autores, a pesar de su identificación, escaparon a las consecuencias legales debido a la ausencia de leyes contra la ciberdelincuencia en Filipinas en aquel momento. Esto provocó un cambio en la legislación, y Filipinas promulgó pronto sus primeras leyes contra la ciberdelincuencia. El virus ILOVEYOU sirve como lección intemporal sobre el potencial de la manipulación humana en el ámbito digital.

3. La filtración de datos de Target (2013)

Un retorcido cuento navideño

Imagínese esto: la temporada navideña de 2013, una época de alegría y júbilo. Pero para el gigante minorista Target fue una temporada de caos y control de daños, ya que fue víctima de uno de los ataques de ingeniería social más devastadores de la historia del comercio minorista.

Los autores no eran delincuentes armados que asaltaban las tiendas, sino hackers sigilosos que explotaban la confianza y los vínculos débiles. Comenzaron con un proveedor de HVAC que prestaba servicios a Target. Haciéndose pasar por representantes legítimos de la empresa, engañaron a un empleado para que les facilitara las credenciales del sistema.

Armados con este acceso, los hackers se infiltraron en el sistema de pago de Target. El ataque no se limitó a un solo lugar, sino que se extendió por todas las tiendas de la empresa en todo el país, justo en el momento álgido de la temporada de compras navideñas. En el transcurso de unas tres semanas, los piratas informáticos robaron los datos de las tarjetas de crédito y débito de la asombrosa cifra de 40 millones de clientes.

El daño financiero fue colosal: Target informó de unos costes de más de 200 millones de dólares. La brecha también empañó gravemente la reputación de la empresa, provocando una caída de las ventas durante algún tiempo después del incidente. En respuesta, Target y otros minoristas reforzaron significativamente sus medidas de ciberseguridad.

Como consecuencia, Target tuvo que pagar 18,5 millones de dólares a varios estados. Y aunque nunca se identificó oficialmente al grupo de hackers que estaba detrás del ataque, el suceso sirvió como un duro recordatorio de la importancia de contar con medidas de seguridad sólidas, incluso para los vendedores de terceros.

4. El pirateo de Sony Pictures (2014)

El guión de la película que nadie quería

En 2014, en Sony Pictures Entertainment se desarrolló una trama digna de un thriller de Hollywood. Sin embargo, no se trataba de una película: era una pesadilla de ciberseguridad de la vida real. ¿El villano? Un correo electrónico malicioso de phishing.

El ataque comenzó cuando un correo electrónico aparentemente inocente llegó a las bandejas de entrada de los empleados de Sony. Disfrazado de mensaje de Apple relativo a la verificación de contraseñas, engañó a varios empleados para que revelaran sus credenciales de acceso.

Una vez dentro del sistema, los piratas informáticos, sospechosos de ser un grupo respaldado por Corea del Norte, desataron el caos. El ataque no se limitó a una zona geográfica concreta, sino que afectó a las oficinas de Sony Pictures en todo el mundo. A lo largo de varias semanas, robaron y posteriormente filtraron películas inéditas, guiones e incluso correos electrónicos internos embarazosos.

El impacto financiero de la brecha fue tremendo, y Sony estimó inicialmente unas pérdidas de 15 millones de dólares, aunque se cree que los costes a largo plazo -teniendo en cuenta factores como el daño a la reputación y la pérdida de ingresos- serán mucho mayores.

El ataque marcó un punto de inflexión en la forma en que Hollywood y otras industrias veían la ciberseguridad. En respuesta, Sony Pictures tomó medidas significativas para reforzar su postura de ciberseguridad, y el suceso condujo a una reevaluación generalizada de las prácticas de seguridad de datos en toda la industria del entretenimiento.

Aunque no se presentaron cargos formales contra los piratas informáticos, el gobierno estadounidense impuso sanciones a Corea del Norte, marcando una de las primeras veces en que un Estado-nación fue acusado y castigado públicamente por un ciberataque. El pirateo de Sony Pictures sirve como escalofriante recordatorio de cómo un simple correo electrónico engañoso puede conducir a una catástrofe a nivel de superproducción.

5. Anthem Inc. Breach (2015)

Una historia de terror sanitaria

En 2015, una de las mayores aseguradoras sanitarias de Estados Unidos, Anthem Inc, sufrió una brecha catastrófica, convirtiéndolo en un año negro en la historia de la seguridad de la información sanitaria. Los culpables fueron expertos ingenieros sociales que se aprovecharon de los errores humanos y de la confianza, en lugar de explotar las vulnerabilidades del sistema.

Los delincuentes lanzaron una sofisticada campaña de spear-phishing, dirigida a un puñado de empleados con correos electrónicos aparentemente legítimos que, en realidad, eran cualquier cosa menos eso. Una vez que un empleado era engañado para que abriera un correo electrónico, los piratas informáticos obtenían acceso a la base de datos de la empresa.

No se trataba de un ataque local o nacional, sino de escala internacional. La brecha duró varias semanas, durante las cuales los atacantes robaron datos muy sensibles, como nombres, cumpleaños, identificaciones médicas, números de la seguridad social, direcciones postales, direcciones de correo electrónico e información laboral de casi 80 millones de personas.

El daño financiero fue asombroso. Anthem Inc. aceptó un acuerdo de 115 millones de dólares, la mayor cantidad jamás alcanzada por una violación de datos. El número de personas afectadas y la naturaleza de los datos comprometidos suscitaron serias preocupaciones sobre la seguridad de la información personal en el sector sanitario.

A raíz de ello, Anthem Inc. mejoró considerablemente su infraestructura de seguridad, y el suceso catalizó un impulso más amplio en todo el sector para mejorar la ciberseguridad sanitaria. Aunque nunca se identificó oficialmente a los autores, la brecha de Anthem Inc. sigue siendo un duro recordatorio del devastador potencial de los ataques de ingeniería social en el sector sanitario.

6. Filtración de correos electrónicos del Comité Nacional Demócrata (2016)

Política y phishing

2016, año de elecciones presidenciales en Estados Unidos, estuvo marcado por un ataque de ingeniería social sin precedentes que dio un nuevo giro al drama político. La víctima fue el Comité Nacional Demócrata (DNC) y el culpable, un engañoso correo electrónico de phishing.

El ataque se desencadenó cuando los funcionarios recibieron un correo electrónico disfrazado de alerta de Google, advirtiéndoles de una posible amenaza para la seguridad. Instados a cambiar sus contraseñas inmediatamente, varios funcionarios obedecieron, revelando sin saberlo sus credenciales a los piratas informáticos.

No fue un crimen localizado. Los efectos se extendieron por toda la nación, dando forma a la narrativa de las elecciones presidenciales. A lo largo de varias semanas, se filtraron miles de correos electrónicos sensibles, causando daños a la reputación y provocando varias dimisiones de alto nivel en el seno del Comité Nacional Demócrata.

Aunque es difícil cuantificar la pérdida financiera exacta, la brecha tuvo importantes implicaciones políticas y sociales. Las secuelas incluyeron medidas de ciberseguridad más estrictas en el DNC y un reconocimiento más amplio del impacto potencial de los ciberataques en la seguridad nacional y los procesos democráticos.

En un movimiento sin precedentes, la comunidad de inteligencia estadounidense acusó públicamente a Rusia de orquestar el ataque. Esto marcó un momento significativo en la historia cibernética, ya que subrayó el potencial de los ciberataques patrocinados por el Estado para influir en los procesos democráticos. La filtración de correos electrónicos del DNC sirve como potente recordatorio de la intersección entre la ciberseguridad y la política en la era digital.

7. El ransomware Bad Rabbit (2017)

Una crisis digital con rehenes

En 2017, una insidiosa ciberamenaza saltó a escena: el ransomware Bad Rabbit. No se trataba del típico ataque de virus: era un plan de ingeniería social astutamente orquestado que mantenía como rehenes los datos de las víctimas.

Los autores diseñaron una falsa actualización de Adobe Flash que los usuarios desprevenidos fueron engañados para que descargaran. Una vez instalada, Bad Rabbit bloqueaba los archivos del usuario y exigía un rescate en Bitcoin para liberarlos.

Este ataque traspasó fronteras, afectando a miles de usuarios y a varias organizaciones, principalmente en Rusia y Ucrania, pero también en Alemania, Turquía, Polonia y Corea del Sur. El daño financiero, aunque difícil de cuantificar, fue significativo, ya que muchas víctimas optaron por pagar el rescate antes que perder sus valiosos datos.

El ataque se desarrolló durante varios días hasta que las empresas antivirus desarrollaron y difundieron contramedidas. Tras el ataque, organizaciones de todo el mundo reforzaron sus defensas contra el ransomware y los usuarios tomaron conciencia de los riesgos de descargar actualizaciones de software no solicitadas.

A pesar de la escala global y el impacto del ataque, la identidad de los autores sigue siendo desconocida. El ataque del ransomware Bad Rabbit sirve como escalofriante recordatorio de cómo un simple engaño puede conducir a una crisis digital generalizada con rehenes.

8. Estafa de phishing de Google y Facebook (2013-2015)

Un atraco de alta tecnología

Entre 2013 y 2015, dos de los gigantes tecnológicos mundiales, Google y Facebook, fueron víctimas de una de las estafas de phishing más caras de la historia. El cerebro de este atraco de alta tecnología era un lituano llamado Evaldas Rimasauskas.

Rimasauskas se hizo pasar hábilmente por un popular fabricante de hardware informático, Quanta Computer. Elaboró correos electrónicos convincentes con facturas y contratos falsos, engañando a ambas empresas para que giraran más de 100 millones de dólares a cuentas bancarias que él controlaba.

No se trataba de un ataque confinado geográficamente, sino de una estafa global que se aprovechaba de la confianza entre empresas multinacionales. Y aunque el ataque se prolongó durante unos dos años, no fue hasta 2017 cuando se descubrió y se detuvo a Rimasauskas.

Las secuelas de este incidente obligaron a los gigantes tecnológicos y a otras empresas a revisar sus procesos de pago y sus medidas de seguridad para protegerse de este tipo de estafas. En 2019, Rimasauskas se declaró culpable de sus delitos y fue condenado a cinco años de prisión y al decomiso de 49,7 millones de dólares.

La estafa de phishing de Google y Facebook pone de relieve que ni siquiera los mayores actores del mundo de la tecnología son inmunes a la ingeniería social. Sirve como llamada de atención sobre la importancia crítica de la vigilancia y la verificación en todas las transacciones financieras.

9. Estafa Bitcoin en Twitter (2020)

Un espectáculo de imitaciones de famosos

En julio de 2020, Twitter se enfrentó a una brecha de seguridad sin precedentes que vio comprometidas cuentas de alto perfil en una audaz estafa de Bitcoin. No fue obra de un grupo avanzado de piratas informáticos, sino el resultado de una exitosa ingeniería social.

El ataque comenzó cuando los hackers, entre ellos un joven de 17 años de Florida, engañaron a los empleados de Twitter mediante un ataque de spear-phishing telefónico, consiguiendo acceder a los sistemas internos. Se apoderaron de varias cuentas de alto perfil, incluidas las de Elon Musk, Barack Obama y Jeff Bezos, prometiendo a los seguidores que cualquier Bitcoin enviado a una dirección especificada sería duplicado y devuelto.

La estafa fue global, teniendo en cuenta el alcance de Twitter y la naturaleza internacional de las cuentas comprometidas. Los piratas informáticos consiguieron recaudar más de 118.000 dólares antes de que se cerrara la estafa, una suma pequeña teniendo en cuenta el número de personas afectadas, pero una cantidad significativa dada la sencillez y la audacia del ataque.

El suceso provocó cambios significativos en los protocolos de seguridad de Twitter y planteó serias dudas sobre el posible uso indebido de cuentas influyentes en las redes sociales. A raíz de ello, el principal responsable, un adolescente de Florida, fue detenido y condenado a tres años de prisión. La estafa de Bitcoin en Twitter sirve como recordatorio de que incluso las técnicas de ingeniería social más sencillas pueden tener un amplio impacto cuando se aplican a gran escala.

10. Ataque a la cadena de suministro de SolarWinds (2020)

Navegar por una crisis digital

En 2020, Garmin, una empresa líder en navegación GPS y tecnología para llevar puesta, fue víctima de un grave ataque de ransomware. No se trató de un hackeo convencional, sino del resultado de un esquema de ingeniería social bien ejecutado que paralizó los servicios de la empresa.

Conocido como WastedLocker, el ransomware se distribuyó a través de correos electrónicos de phishing, que engañaban a los empleados para que descargaran software malicioso. Una vez instalado, el ransomware encriptó los archivos de Garmin, interrumpiendo servicios en todo el mundo, desde el seguimiento de la actividad física hasta la aviación.

El ataque duró varios días, durante los cuales las operaciones de Garmin se vieron significativamente afectadas. Aunque la empresa no reveló oficialmente el impacto financiero, los informes sugieren que Garmin pagó un rescate multimillonario para recuperar el acceso a sus archivos.

En respuesta, Garmin tomó medidas significativas para reforzar su infraestructura de seguridad y restablecer sus servicios. El ataque puso de relieve la necesidad de una formación continua de los empleados para reconocer y evitar los correos electrónicos de phishing.

Las secuelas vieron a la empresa atravesar una crisis digital que sirvió de poderoso recordatorio a otras corporaciones del impacto potencial de los ataques de ransomware. El ataque a Garmin subraya la importancia de unas medidas de ciberseguridad sólidas y el coste potencial de los fallos en la vigilancia digital.

Conclusión

Mantenerse seguro en un mundo digital

Como hemos visto en estos casos de gran repercusión, los ataques de ingeniería social pueden tener consecuencias devastadoras. Pero hay esperanza. La concienciación y la preparación son nuestras mejores defensas contra estos peligros digitales.

1. Manténgase alerta: Sospeche siempre de las comunicaciones no solicitadas, especialmente de las que solicitan sus datos de acceso o información personal. Si no está seguro, póngase en contacto directamente con la organización utilizando datos de contacto verificados.
2. Mantenga sus dispositivos actualizados: Las actualizaciones periódicas no sólo le ofrecen las últimas funciones, sino que también parchean las vulnerabilidades de seguridad que pueden aprovechar los piratas informáticos.
3. Invierta en software antivirus: Los mejores antivirus para Windows 11, como Norton, Bitdefender, McAfee, Panda, o Kaspersky pueden actuar como un sistema de alerta temprana, ayudando a detectar y neutralizar las amenazas antes de que puedan causar daños.
4. La educación es la clave: Edúquese regularmente a sí mismo y a su equipo sobre las últimas amenazas y cómo reconocerlas. Recuerde que la ciberseguridad es responsabilidad de todos.

Para obtener más información sobre ciberseguridad, considere la posibilidad de visitar los siguientes recursos de confianza:

1. Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA)
2. Recursos de ciberseguridad del Instituto Nacional de Normas y Tecnología (NIST)
3. Comisión Federal de Comercio – Información al consumidor sobre privacidad, identidad y seguridad en línea
4. Agencia de Ciberseguridad de la Unión Europea (ENISA)

Y recuerde, en nuestro mundo digital interconectado, mantenerse seguro en línea no es un hecho aislado, es un proceso continuo. Siga aprendiendo, manténgase alerta y creemos un cibermundo más seguro para todos.