¿Qué es ingeniería social? Los 5 ejemplos principales

SoftwareLab Blog

¿Qué es ingeniería social?

La ingeniería social es el uso de métodos no tecnológicos para engañar a potenciales víctimas para que compartan su información personal con un hacker. Los hackers usan prácticas engañosas para apelar a la voluntad de ayudar de sus objetivos para conseguir contraseñas, detalles de cuentas bancarias y otra información personal. Siga leyendo para aprender más sobre los cinco tipos más comunes de ingeniería social.

¿Qué aprenderá en este artículo?

Los hackers a menudo usan software malicioso para controlar su actividad, acceder a sus archivos y robar sus datos. No deje su seguridad online en manos del azar. Eche un vistazo a nuestra comparación del mejor software antivirus y manténgase seguro en internet.

Tibor Moes

Fundador, SoftwareLab

Ingeniería social

Sabía que los hackers pueden entrar en un ordenador o algún otro dispositivo conectado a internet sin ni siquiera hacer ningún acto de hacking? Pueden usar la manipulación para construir confianza y engañarle para que comparta su información privada, y puede que usted no se dé cuenta hasta que sea demasiado tarde. Si usted abre enlaces en emails que recibe sin comprobar el nombre del remitente o envía sus datos personales en emails, se arriesga a convertirse en víctima de la ingeniería social.

¿Qué es ingeniería social?

Ingeniería social es un término general para una variedad de métodos y técnicas empleadas por los hackers y otros cibercriminales con el fin de engañar a víctimas inocentes para que compartan sus datos personales, al abrir enlaces hacia páginas web infectadas o permitir a los hackers que instalen software malicioso en sus ordenadores inconscientemente. Estos hackers manipulan a sus víctimas para evitar las barreras habituales de ciber seguridad con el fin de conseguir el acceso al ordenador de la víctima o a sus datos personales, normalmente con fines económicos.

El término ingeniería social tiene su origen en las ciencias sociales, donde se refiere a cualquier esfuerzo de los factores de cambio (por ejemplo, medio de comunicación, gobiernos o grupos privados) con el propósito de influir o moldear el comportamiento de la población objetivo. En términos más simples, la ingeniería social implica el uso de la manipulación con el fin de conseguir un fin, ya sea bueno (por ejemplo, promover la tolerancia) o malo (por ejemplo, el belicismo). Aunque se remonta al siglo XIX, el término ingeniería social hoy se asocia mayoritariamente con la ciber seguridad.

Para llevar a cabo exitosos ataques de ingeniería social, muchos hackers cuentan únicamente con la voluntad de ayudar de sus potenciales víctimas. De manera similar, pueden intentar aprovecharse de la falta de conocimientos sobre tecnología de sus víctimas. En la mayoría de los casos, los hackers realizarán una investigación sobre el objetivo potencial. Para objetivos individuales, esto implica una exhaustiva revisión de sus cuentas en redes sociales, en busca de cualquier información personal que hayan podido compartir, incluidos sus cumpleaños, direcciones de email, números de teléfono o lugares que visitan con frecuencia.

El proceso es algo distinto con objetivos empresariales. Los hackers necesitan a alguien infiltrado para recoger datos sobre la empresa, sus operaciones, la jerarquía de los empleados y la lista de los socios empresariales. La mayoría escoge como objetivo a empleados de nivel bajo que tienen acceso a esta información. O bien engañará a su objetivo para que comparta esta información voluntariamente, o bien infectarán su ordenador con software malicioso y así monitorizarán la actividad de su red y enviarán informes detallados directamente al hacker.

¿Qué tecnicas de ingeniería social existen?

La ingeniería social se manifiesta de muchas maneras y formas. Algunos ataques pueden llevare a cabo fuera de la red, como por ejemplo, un extraño educado que cuenta con su amabilidad para entrar en su edificio de oficinas y adquirir la información que necesitan en persona. También hay ataques de ingeniería social que se realizan por teléfono. Son conocidos como vishing (voice phishing), consiste en alguien que se presenta como compañero de trabajo o una autoridad fiable que pregunta directamente por la información que está buscando.

Cuando se habla de ingeniería social online, los cinco tipos más comunes incluyen los siguientes:

  1. Spear Phishing

Mientras que la mayoría de las campañas de phishing implican el envío masivo a tantas direcciones de email aleatorias como sea posible, spear phishing tiene como objetivo específico a grupos o individuos. Los hackers, también conocidos como phishers, utilizarán las redes sociales para compilar información sobre sus objetivos, en ocasiones llamados lanzas, con el fin de ser capaces de personalizar sus emails de phishing, y hacerlos parecer más realistas y más posibles de funcionar.

Con el esfuerzo de hacer parecer sus ataques incluso más realistas, los phishers se presentarán como amigos, compañeros empresariales o como alguna institución externa que está relacionada con la víctima de algún modo. Por ejemplo, un phisher puede presentarse como representante del banco de la víctima y pedirle que entregue la información que están buscando. Además, también pueden usar el logotipo oficial y el aspecto del banco en cuestión para hacer más difícil que la víctima pueda descubrir que el mensaje no es genuino.

  1. Baiting

El baiting es diferente a la mayoría de los tipos de ingeniería social online en el sentido de que también implica un componente físico. Tal y como sugiere el nombre, el baiting implica un señuelo físico que la víctima tiene que morder para que el ataque sea exitoso. Por ejemplo, el hacker puede dejar un USB infectado con malware en el escritorio de la víctima, con la esperanza de que muerda el anzuelo y lo conecte a su ordenador. Para aumentar sus posibilidades de éxito, el hacker también puede etiquetar el USB con “importante” o “confidencial”.

Si la víctima muerde el anzuelo y conecta el USB en su ordenador, este instalará inmediatamente el software malicioso en su PC. Esto, en cambio, dará al hacker una visión de su actividad online y fuera de la red, así como el acceso a sus archivos y carpetas. Si el ordenador es parte de una red, el hacker también obtendrá acceso instantáneo a todos los demás dispositivos que componen esa red.

  1. Pretexting

El pretexting implica el uso de un pretexto cautivador diseñado para atraer la atención del objetivo e involucrarlo para que caiga. Una vez están inmersos en la historia, el hacker que se esconde detrás del ataque intentará embaucar a la potencial víctima para que le entregue información valiosa. Este tipo de ingeniería social se observa a menudo en las llamadas estafas por email nigerianas que le prometen mucho dinero si les entrega los detalles de su cuenta bancaria. Si usted cae víctima del engaño, no solo no verá un centavo, sino que es posible que pierda el dinero de su cuenta.

  1. Spamming de Contactos

El spamming de contactos es tal vez la forma más extendida de ingeniería social online. Tal y como sugiere su nombre, los hackers usan este método para enviar mensajes de spam a todos los contactos de sus víctimas. Esos emails se enviarán desde la lista de contactos de la víctima, lo que significa que parecerán más realistas a los receptores. Más aún, tienen muchas menos probabilidades de acabar en la carpeta de spam de su correo.

Este método funciona de forma muy sencilla. Si usted ve un email que le envía un amigo con un asunto informal (por ejemplo, ¡mira esto!) es posible que lo abra y encuentre un enlace de texto. El enlace normalmente está acortado, no hay forma de ver qué es si no se hace click en él. Sin embargo, si hace click sobre el enlace, una copia exacta del email se enviará a todos sus contactos, y por lo tanto continuará la cadena de spam. Además, el enlace puede llevarle a una página web maliciosa y descargar spyware o algún otro software maligno en su ordenador.

  1. Quid Pro Quo

Del latín “un favor por otro favor”, quid pro quo es un tipo de ingeniería social que implica el intercambio de favores y servicios entre el hacker y su víctima inocente. Frecuentemente, los hackers se presentarán como los técnicos del servicio informático y le pedirán sus datos de registro, para que puedan realizar un supuesto examen de seguridad muy importante. Además, también pueden pedirle que desactive su software antivirus o que instale un programa que le envíen, y por lo tanto permitirles el acceso a su ordenador y darles la oportunidad de instalar malware.

Ejemplos de ataques de ingeniería social

Algunos de los ataques de ingeniería social más grandes de los últimos años incluyen los siguientes:

  • En 2017, más de un millón de usuarios de Google Docs recibieron el mismo email de phishing que informaba de que uno de sus contactos estaba intentando compartir un documento con ellos. Hacer click en el enlace les llevaría a una página falsa de registro de Google Docs, donde muchos de los usuarios introdujeron sus datos de registro de Google. Esto, en cambio, dio a los hackers el acceso a más de un millón de cuentas de Google, entre emails, contactos, documentos online y copias de seguridad de smartphones.
  • En 2007, el tesorero de Michigan cayó en la trampa de una estafa nigeriana de pretexting que implicaba a un príncipe ficticio que quería escapar de Nigeria, pero necesitaba ayuda para transferir su fortuna fuera del país. En unos meses, el tesorero hizo varios pagos de un total de 185.000 dólares (72.000 dólares de su propio dinero) a los hackers que estaban detrás de esta estafa. Más tarde fue revelado que el resto de los fondos vino de los 1.2 millones de dólares que había desfalcado durante 13 años de servicio público.
  • En 2013, los hackers consiguieron robar los detalles de las tarjetas de crédito de más de 40 millones de clientes de Target. De acuerdo con los datos oficiales, los hackers primero investigaron al servicio subcontratado de aire acondicionado de la importante cadena de grandes almacenes y atacaron a sus empleados con emails de phishing. Esto permitió a los hackers acceso a las redes de Target y robar la información de los pagos de los clientes. Aunque el perpetrador nunca fue capturado, Target tuvo que pagar 18.5 millones de dólares en 2017 para resolver las denuncias estatales.

Cómo protegerse de los ataques de ingeniería social

Como los hackers que están detrás de las estafas de ingeniería social casi siempre confían en la amabilidad y voluntad de ayudar de sus víctimas, la mejor manera de protegerse es ser más desconfiado en el entorno online. Aunque usar el mejor software antivirus sea realmente importante, también necesita ser muy cuidadoso en internet.

Si alguien le envía un email y dice que es uno de sus proveedores o socios comerciales, debería llamar a su oficina antes de responder a su email o abrir cualquier enlace o archivo adjunto que puedan contener. También si un email supuestamente enviado por su amigo parece sospechoso, llame a su amigo para asegurarse de que fue él quien se lo envió. Con quien sea que intercambie mensajes, nunca revele los datos de su tarjeta de crédito, los detalles de su cuenta bancaria, el número de la Seguridad Social o cualquier otra información personal, en un email.

Aparte de su manipular sus emociones, los hackers a menudo intentarán hacerle instalar software maligno en su ordenador. Dependiendo del tipo de software, puede permitirles monitorizar su actividad, copiar y eliminar sus archivos y otros datos, así como robar sus contraseñas, detalles de la tarjeta de crédito y cualquier otra información sensible. Para prevenir esto, debería usar el mejor software antivirus que puede encontrar y eliminar fácilmente software malicioso y mantener su ordenador protegido de todas las potenciales amenazas.

¿Estás protegido?

Cada minuto, hay más de 400 ataques cibernéticos

SoftwareLab.org is operated by Momento Ventures Inc. © 2019. All rights reserved.

Disclaimer: SoftwareLab.org is not an antivirus, VPN or hosting service provider and does not endorse the use of the products featured on this website for unlawful means. It is the responsibility of the user to adhere to all applicable laws. We have no control over the third-party websites we link to and they are governed by their own terms and conditions. SoftwareLab.org is supported by advertisement in order to be a free-to-use resource. We strive to keep the information accurate and up-to-date, but cannot guarantee that it is always the case.