Suscríbete
Cursos y Másteres
LISA Comunidad
LISA Work
LISA Challenge
Escribe aquí
spot_img
PortadaCiberseguridad

Ingeniería social: un caballo de Troya para la ciberdelincuencia

Paul Bodea
Paul Bodea

Análisis

Paul Bodea
Paul Bodea
Estudiante del último curso del Grado en Criminología en la Universidad Internacional de La Rioja y del Máster en Ciberdelincuencia. Entusiasta de las ciencias de la seguridad, enfocado hacia el estudio, el análisis y la prevención de los delitos, tanto en el mundo virtual como en el mundo físico. Alumno certificado del Curso de Director de Ciberseguridad, en el Curso de Experto en Análisis de Inteligencia y en el Curso de Experto de Analista Económico de LISA Institute. Actualmente, alumno del Curso de Experto en Análisis e Investigación del Narcoterrorismo de LISA Institute.

Una gran parte de los incidentes de seguridad que suelen afectar a las organizaciones y a las personas, en general, tienen relación con las comunicaciones realizadas a través de la tecnología y con técnicas de ingeniería social. En este artículo, explicamos qué es la ingeniería social, cuáles son las herramientas y técnicas más utilizadas por los ciberdelincuentes y cómo podemos evitar los ataques de filtración de datos e información personal.

Las técnicas de ingeniería social son las más empleadas por los ciberdelincuentes debido a que, este tipo de ataques, no necesitan mucho esfuerzo y los beneficios son mayores. Saber identificar comunicaciones fraudulentas basadas en técnicas de ingeniería social es clave para minimizar incidentes de seguridad.  

¿Qué es la ingeniera social?

La ingeniería social se basa en el uso de técnicas de manipulación psicológica cuyo objetivo es la extracción de información confidencial o instalación de software malicioso, beneficiando siempre al ciberdelincuente. Es una técnica de engaño a través del uso de la tecnología como, por ejemplo, el móvil, Internet o el correo electrónico, etc.

El objetivo es persuadir al usuario para inducirlo a efectuar determinadas actividades aprovechando el error humano. Algunas de ellas pueden consistir en facilitar claves de tarjetas o datos personales, realizar compras a empresas fantasma o acceder a enlaces aparentemente oficiales de empresas o bancos. Todo ello puede implicar un fraude y perjuicio para el patrimonio de una organización o una persona.

Las empresas tecnológicas y compañías que se dedican a la seguridad informática suelen referirse a los ataques basados en ingeniería social como «hacking humano» o «hackeo de humanos». Utilizan esos conceptos porque, la ingeniería social usa la manipulación psicológica aprovechando los errores y las debilidades humanas en lugar de valerse de las vulnerabilidades técnicas o digitales de los sistemas.  

➡️ Te puede interesar: Inteligencia artificial y ciberdelincuencia: cuando la tecnología se convierte en arma

La ingeniería social es muy atractiva para los ciberdelincuentes. Les permite acceder a dispositivos, redes y a cuentas digitales sin la dificultad de eludir firewalls, software antivirus o cualquier otro control de ciberseguridad.

Los atacantes que emplean la ingeniería social tienen los siguientes objetivos:

  • Sabotaje. Se pretende alterar y corromper los datos para, posteriormente, producir daños.
  • Robo. Obtención de información privada para acceder a sistemas u objetos de valor.

Los ataques de ingeniería social pueden tener distintos intentos de comunicación por el ciberdelincuente para lograr su objetivo:

  • Hunting. Uso de una única comunicación por parte del ciberdelincuente para afectar al número máximo de usuarios y lograr su meta. Se recopila información de las posibles víctimas. Suele utilizarse en ataques de phishing o en la distribución de malware.
  • Farming. Los ciberdelincuentes realizan varias comunicaciones con las víctimas hasta conseguir el objetivo propuesto o la obtención de mayor cantidad de información posible.  El farming suele emplearse en campañas de sextorsión, fraude del CEO o de recursos humanos.

¿Cuáles son las fases de un ataque basado en la ingeniería social?

Los ataques que emplean ingeniería social tienen características comunes. Se utiliza una comunicación real entre los atacantes y las víctimas. El atacante intenta que la víctima se comprometa a sí misma. Conocer esas características es crucial para identificar este tipo de ataques.

El ciclo o las fases que los ciberdelincuentes siguen para realizar el engaño es el siguiente:

  1. Recopilación de información. Fase de reconocimiento para obtener la máxima información posible sobre las posibles víctimas.
  2. Infiltración. Establecer una relación de confianza.
  3. Manipulación. El uso de la psicología es crucial. Se manipula a la posible víctima hasta lograr el objetivo. Se suele apelar a una supuesta urgencia o retirada de un servicio para avanzar en el ataque.
  4. Salida o extracción. Última fase. Se completa el objetivo y el ciberdelincuente tratará de disfrazar el fraude para que el alcance sea de mayor impacto.

El proceso se puede desarrollar, por ejemplo, mediante un único correo electrónico o a lo largo del tiempo por medio de varios chats en redes sociales. Al final, se consigue que el usuario comparta información o se exponga a un malware.  

➡️ Te puede interesar: Las consecuencias jurídicas de la ciberdelincuencia en el sector sanitario en España

Tipos de ataques en la ingeniería social

Los métodos más empleados para lograr ese tipo de objetivos suelen ser mediante el phishing y el spear phishing. También se pueden emplear troyanos. Es un tipo de malware o software malicioso caracterizado por la ausencia de capacidad de autorreplicación. Normalmente, este tipo de malware requiere el uso de la ingeniería social para conseguir una propagación.

Los troyanos tienen la característica de no mostrar señales de mal funcionamiento cuando se ejecutan y el usuario realiza tareas habituales en el ordenador. El programa puede establecer distintos canales de comunicación con un equipo malicioso remoto dando al atacante el control absoluto del sistema afectado.

Existen muchas técnicas de ataque con ingeniería social que los ciberdelincuentes utilizan. Algunas de ellas son:

  • Baiting. Se crea una trampa como, por ejemplo, dejar una memoria USB con algún malware donde la gente pueda encontrarla fácilmente. El ejemplo más conocido de esta técnica de ingeniería social es la estafa del príncipe nigeriano.
  • Pretexting. Uso de un pretexto para obtener la atención de la víctima e incitarla a que proporcione información.
  • Vishing. Suplantación de identidad por voz con llamadas telefónicas para solicitar datos.
  • Smishing. Empleo de mensajes SMS para tratar de obtener información.
  • Scareware. Es una forma de malware. Se trata de un software que aprovecha el miedo para manipular a las personas para compartir información o descargar malware.
  • Suplantación de DNS. Se manipula el navegador y servidores web para redireccionarlos a sitios web maliciosos ingresando una URL legítima.
  • Envenenamiento de la caché de DNS. Infectan el dispositivo incluyendo instrucciones de enrutamiento para conectar la URL legítima con sitios web maliciosos.
  • Cybersquatting. El objetivo es modificar ligeramente el nombre del dominio web de una entidad reconocida. 
  • Quid pro quo. Usar a un empleado descontento engañándolo para revelar información a cambio de favores o dinero. 

➡️ Te puede interesar: Inteligencia sanitaria o MEDINT: una prioridad ante el aumento de la ciberdelincuencia

¿Cómo identificar y defenderse ante un ataque de ingeniería social?

Detectar un ataque de ingeniería social significa proteger nuestros datos y evitar sufrir un problema de seguridad costoso. Este tipo de ataques se pueden identificar mediante las siguientes características:

  • Remitentes desconocidos. Analizar si la dirección de correo electrónico del remitente es legítima o falsa.
  • Remitentes falsificados. Comprobar la cabecera del correo para ver si la dirección se ha falseado. Los atacantes suelen usar la técnica del typosquatting, así un simple error de escritura puede originar incidentes de seguridad.
  • Comunicaciones impersonales. Las comunicaciones en este tipo de ataques son impersonales. Suelen emplear formas tipo «Estimado usuario, señor, etc».
  • Redacción incorrecta. Presencia de faltas de ortografía y errores gramaticales.
  • Solicitudes inusuales de información. Requerir información sensible o confidencial como por ejemplo, contraseñas o números de tarjeta de crédito. 

Normalmente, los ataques de ingeniería social se apoyan en la urgencia. Una buena defensa contra este tipo de ataques siempre es la pausa. Parar y pensar antes de actuar o responder. Los atacantes esperan una reacción rápida, por lo tanto, mediante la pausa se pueden considerar y valorar los distintos riesgos.

Otra manera de reducir el impacto de este tipo de ataques es mediante la protección de los dispositivos. Por ejemplo:

  • Tener un software de antivirus actualizado.
  • Alternar las contraseñas entre los distintos servicios y cuentas.
  • Usar la autenticación de dos factores.
  • Estar informado de los nuevos riesgos relacionados con la ciberseguridad.
  • Usar una solución de correo electrónico seguro que garantice mensajes sin malware.
  • Uso de VPN para tener una conexión privada, cifrada y anónima. 

➡️ Si quieres adentrarte en el mundo de la ciberseguridad y adquirir habilidades profesionales, te recomendamos los siguientes programas formativos:

Artículos relacionados

Masterclass y eventos relacionados

Formación relacionada

Artículo anterior
Masterclass | Amenaza nuclear: ¿arma de disuasión o de guerra?
Artículo siguiente
Yibuti: un imán para las bases militares en el corazón de África
spot_imgspot_img

Actualidad

Dejar respuesta:

Por favor, introduce tu comentario!
Introduce tu nombre aquí

spot_img

Aprende Inteligencia

Aprende RRII y DDHH

Prevén la radicalización

Aprende Seguridad

Ciberseguridad (Usuarios)

Ciberseguridad (Expertos)

LISA News© es un medio de análisis promovido por LISA Institute© con el objetivo de hacer del mundo un lugar más seguro, justo y protegido a través de análisis en materia de Geopolítica, Inteligencia, Ciberseguridad, Criminología y Derechos Humanos, entre otros.

Súmate a la Comunidad:

Accesos directos

Secciones

📩Suscríbete gratis

Ventajas exclusivas para suscriptores:

  • Boletines semanales y prospectivos.
  • Becas en Cursos y Másteres universitarios.
  • Acceso exclusivo a Masterclass y Eventos.
  • Acceso a +120 ofertas de trabajo semanales.
  • Acceso a LISA Comunidad y LISA Challenge.
Suscribirme

LISA News©. Creative Commons BY-NC-ND.