Volver

Ataques de ingeniería social: qué son y cómo evitarlos

Blog-Ing-social-Portada.jpg

‍Los ataques de ingeniería social son un tipo de amenaza a la seguridad que se dirige a las personas, no a la tecnología. En un ataque de ingeniería social, un atacante intenta engañarte para que le des información sensible o realices acciones que normalmente no harías, aprovechándose de la tendencia natural a confiar en otras personas y a querer ayudarlas.

Los ataques de ingeniería social son cada vez más comunes y sofisticados, con técnicas cada vez más sofisticadas que combinan las nuevas tecnologías con conocimientos de psicología o sociología. Pueden ser difíciles de detectar, y pueden tener graves consecuencias para las empresas y los individuos.

En este artículo, analizaremos qué son los ataques de ingeniería social y cómo evitarlos. También le daremos algunos consejos sobre qué hacer si cree que ha sido víctima de un ataque de ingeniería social.

¿Qué es la ingeniería social?

Se define como una técnica en la que un atacante se gana la confianza del usuario para que así lleve a cabo una acción bajo su manipulación y engaño. Los ataques de ingeniería social también se conocen como “hacking de personas” porque se aprovechan del instinto natural de las personas de confiar y ayudar a los demás.

Este tipo de ataques se basan en la premisa que un sistema es seguro y no es posible atacarlo sin altos conocimientos técnicos, por lo que es necesario atacar a las personas detrás de estos sistemas de seguridad.

Ya no es necesario tener conocimientos técnicos, sino de psicología, sociología y comunicación, para saber cómo piensa la víctima y cómo comunicarse para hacer caer a la víctima en la trampa. En muchos casos, los ingenieros sociales utilizan identidades falsas y argumentos cuidadosamente elaborados para que la gente confíe y les dé lo que quieren.

Este tipo de ataques se centran en personas mayores o aquellas que no han sabido adaptarse a las nuevas tecnologías, ya que les resulta más difícil discernir la validez de un mensaje. Buscan aprovecharse de los problemas de alfabetización digital, puesto que son aquellos que no sabrán identificar rápidamente si un mensaje puede ser un fraude.

Qué objetivos tienen estos ataques

Existen 3 objetivos principales para este tipo de ataques:

Ejecutar un programa malicioso: a menudo la intención del atacante es que la víctima ejecute un programa malicioso. Esto permite a los delincuentes obtener todo tipo de información o incluso el acceso total a un dispositivo.

Facilitar claves privadas: aunque esto se puede conseguir a través de los programas maliciosos, en otro tipo de ataques se manipula a la víctima para que proporcione sus claves privadas. El correo electrónico es no solo la vía más habitual para cometer estos ataques, sino también uno de los principales objetivos por la cantidad de información personal y profesional que almacenamos en él.

Realizar transacciones fraudulentas: además de conseguir que una víctima dé datos privados, también se usan estos ataques para que las víctimas realicen transacciones fraudulentas o cometan fraude económico.

Cómo protegerse ante los ataques de ingeniería social

El primer paso para protegerse ante este tipo de ataques es la prudencia. Es importante sospechar si alguien se pone de repente en contacto contigo y te pide información confidencial o quiere acceso a tu ordenador, así como desconfiar de las llamadas o correos electrónicos que pueden hacerse pasar por otra persona.

Del mismo modo, es fundamental concienciar a las personas de los riesgos que este tipo de ataques conllevan, además de formaciones para aprender a afrontar estos ataques.

Disponer de buenas políticas y procedimientos de seguridad también puede ayudarle a evitar los ataques de ingeniería social. Por ejemplo, contar con una política que establezca claramente el tipo de información que nunca debe darse por teléfono o correo electrónico puede ayudar a evitar dar información sensible. 

Qué hacer si te atacan

Si eres víctima de un ataque de ingeniería social y proporcionas información confidencial, ponte en contacto con la empresa por la que se hizo pasar el atacante y denuncia el incidente, además de informar a las autoridades locales. En el caso de que entre los datos proporcionados hay una contraseña, lo más recomendable es empezar por cambiar esta contraseña por una nueva.

Si has llegado a proporcionar acceso a tu dispositivo o red, deberás tomar medidas inmediatas para limpiar y asegurarlo de nuevo. Esto te ayudará a evitar más daños y a interrumpir la capacidad del atacante de usar tu dispositivo o red.