Algunas de las amenazas cibernéticas más comunes a las que se enfrenta el sector minorista incluyen los ataques de ransomware, la ingeniería social, las intrusiones en
Actualizado el 1 de noviembre de 2023.
La ingeniería social es una técnica de manipulación psicológica utilizada por los actores de amenazas para hacer que otros individuos actúen o revelen información privada. La ingeniería social puede realizarse en línea o en persona. Entre el 70 % y el 90 % de las violaciones de datos tienen que ver con la ingeniería social, lo que la convierte en una de las mayores amenazas de seguridad cibernética a las que se enfrentan tanto las organizaciones como los particulares.
Siga leyendo para saber cómo se producen los ataques de ingeniería social, los diferentes tipos que existen y cómo protegerse de ellos.
¿Cómo se producen los ataques de ingeniería social?
Para prepararse para un ataque de ingeniería social, los actores de amenazas primero examinan su objetivo para conocer detalles de contexto como los puntos probables de explotación, por ejemplo, las prácticas de seguridad cibernética deficientes. El actor de la amenaza se hará pasar por alguien que no es para ganarse la confianza de la víctima, de forma que sea más probable que revele información confidencial o permita al actor de la amenaza acceder a los sistemas internos.
Es importante comprender que la ingeniería social también puede realizarse en persona. Los ataques de ingeniería social en persona a menudo se producen por actores de amenazas que se hacen pasar por personal de mantenimiento o repartidores para poder acceder a un edificio al que, de otro modo, no tendrían acceso. Una vez que un actor de amenazas obtenga acceso al edificio, intentará violar los sistemas para poder robar información confidencial y utilizarla con fines maliciosos.
Tipos de ataques de ingeniería social
A continuación, se presentan siete tipos de ataques de ingeniería social.
Phishing
El phishing es el tipo de ataque de ingeniería social más común. En un ataque de phishing, los cibercriminales atraen a sus víctimas para que revelen voluntariamente información confidencial mientras se hacen pasar por alguien que la víctima conoce o una empresa con la que la víctima tiene una cuenta o un servicio. La mayoría de las veces, los ataques de phishing se envían a través de correos electrónicos.
Estos correos electrónicos pueden contener enlaces y archivos adjuntos maliciosos e incitar a la víctima a hacer clic en ellos. Un enlace o archivo adjunto malicioso puede infectar inmediatamente el dispositivo de la víctima con malware o llevarla a un sitio web falsificado que parece legítimo. Los sitios web falsificados están diseñados para robar información confidencial, como las credenciales de inicio de sesión y los números de tarjetas de crédito.
Smishing y vishing
El smishing, también conocido como phishing por SMS, es un tipo de ataque de phishing que se produce a través de mensajes de texto SMS en lugar de correo electrónico. Estos mensajes a menudo contienen ofertas de productos gratuitos o alertas con plazos críticos que involucran información bancaria u otra información confidencial. El objetivo principal de un ataque de smishing es lograr que las víctimas hagan clic en un enlace malicioso para robar su información confidencial.
El vishing es otro tipo de ataque de phishing, pero se produce a través de una llamada telefónica, no a través de mensajes de texto o correos electrónicos. Este tipo de ataque de phishing suele ser más convincente, ya que suele haber otra persona hablando al otro lado. El objetivo principal del vishing es lograr que la víctima revele información confidencial para que el actor de la amenaza la pueda utilizar con fines maliciosos. El vishing se ha vuelto más difícil de detectar, ya que los actores de amenazas ahora aprovechan la inteligencia artificial (IA) para imitar las voces de las personas que las víctimas conocen.
Piggybacking y tailgating
El piggybacking es cuando los actores de amenazas intentan obtener acceso a una red, un sistema o un edificio físico para poder comprometer información confidencial. Mediante piggybacking, los actores de amenazas pueden obtener acceso a una red o un sistema mediante el uso de una wifi que no esté protegida. Para obtener acceso a un edificio físico mediante piggybacking, los actores de amenazas confían en la amabilidad de los empleados para abrirles la puerta o dejarla entreabierta.
El piggybacking y el tailgating son bastante similares, pero la diferencia está en que en el tailgating los actores de amenazas obtienen acceso a un edificio físico sin que otras personas lo sepan o se den cuenta. Los actores de amenazas pueden pasar por una puerta justo cuando se está cerrando. Como nadie sabe cómo llegaron al interior del edificio, parece que están autorizados para estar allí.
Pretexting
El pretexting es cuando un actor de amenazas intenta persuadir a una víctima para que revele información confidencial o le envíe dinero mediante una historia inventada convincente. El actor de la amenaza suele hacerse pasar por un amigo, un familiar, un compañero de trabajo o un jefe, por lo que la víctima se siente más tentada a proporcionarle información confidencial. Los ataques de pretexting pueden ocurrir a través de llamadas telefónicas, mensajes de texto, correos electrónicos o en persona.
El fraude del CEO
El fraude del CEO es cuando un actor de amenazas se hace pasar por el CEO de una empresa en un intento de que los empleados le proporcionen información confidencial o le envíen dinero, a menudo en forma de tarjetas de regalo. Para llevar a cabo un ataque de fraude del CEO, los actores de amenazas generalmente envían mensajes o correos electrónicos a su víctima varias veces antes de hacer su petición. Esto les ayuda a parecer más creíbles y les da tiempo para ganarse la confianza de la víctima.
Scareware
El scareware es cuando los actores de amenazas utilizan la manipulación psicológica para engañar a las víctimas para que descarguen lo que creen que es un software antivirus, pero en realidad es malware. El malware es un tipo de software malicioso que los actores de amenazas utilizan para robar información confidencial mediante el espionaje de los usuarios o el seguimiento de sus pulsaciones de teclas.
Este tipo de ataque de ingeniería social se lleva a cabo normalmente mostrando ventanas emergentes al azar en el dispositivo de la víctima, indicando que su dispositivo está infectado con un virus. El mensaje también indicará que, para deshacerse del virus, la víctima debe descargar el software antivirus de inmediato. Si la víctima hace clic en la ventana emergente, comenzará a descargar automáticamente un virus o malware real en su dispositivo. Una vez que se completa la descarga, el malware puede enviar información confidencial al actor de la amenaza para que pueda utilizarla para robar la identidad de la víctima y comprometer sus cuentas en línea.
Estafas románticas
Las estafas románticas se producen cuando los actores de amenazas pretenden ser el potencial interés amoroso de una víctima. Los actores de amenazas a menudo utilizan la identificación de otra persona cuando realizan una estafa romántica a su víctima, lo que también se conoce como catfishing. Cuando un actor de amenazas hace que una víctima se deje engañar por una estafa romántica, la manipula para que le envíe dinero o le proporcione información personal que puede utilizar para robar la identidad de la víctima o vulnerar sus cuentas.
Si una víctima le envía dinero al actor de las amenazas, este puede seguir pidiendo más dinero o dejar de ponerse en contacto con la víctima por completo una vez que haya obtenido lo que quiere.
Cómo protegerse de la ingeniería social
Para protegerse de la ingeniería social, debe limpiar su huella digital, tener cuidado con su seguridad, tanto en línea como en persona, proteger sus cuentas con contraseñas seguras y autenticación multifactor (MFA) y evitar el intercambio excesivo de información personal.
Limpie su huella digital
Su huella digital se compone de los rastros de datos que deja en Internet. Hay dos tipos principales de huellas digitales, las pasivas y las activas. Su huella pasiva consiste en los datos que los sitios web recopilan sobre usted en segundo plano, como el historial de navegación, de compras y de cookies. Su huella digital activa son los datos que publica de manera consciente en Internet, como las publicaciones en las redes sociales y las reseñas públicas.
Es importante limpiar su huella digital porque cuantos más datos existan sobre usted en línea, más fácil es para los actores de amenazas dirigirse a usted con ataques de ingeniería social. A continuación, se presentan cuatro formas de limpiar su huella digital.
- Elimine su información de los sitios de búsqueda de personas
- Evite compartir en exceso en las redes sociales
- Haga privados sus perfiles en las redes sociales
- Elimine y desactive las cuentas que ya no utiliza
Tenga cuidado con su seguridad en línea y en persona
Dado que los ataques de ingeniería social pueden producirse en persona o en línea, es importante tener precaución a la hora de facilitar información personal o dejar entrar a alguien en un edificio. Si es alguien que trabaja desde la oficina de su empresa, no deje entrar a cualquiera y tenga cuidado si alguien le sigue, porque podría colarse fácilmente en el edificio.
Proteja sus cuentas en línea
En el caso de que caiga en un ataque de ingeniería social, es importante que ya disponga de medidas de seguridad para protegerse en Internet. Esto incluye tener contraseñas seguras y autenticación multifactor habilitadas en las cuentas donde existe la opción.
En lugar de crear sus propias contraseñas, utilice un generador de contraseñas o regístrese para obtener una cuenta de gestor de contraseñas. Los gestores de contraseñas ayudan a los usuarios a crear, gestionar y almacenar de forma segura las contraseñas para que no tengan que recordarlas todas por su cuenta. Además de las contraseñas seguras, es igual de importante tener habilitada la MFA.
La MFA es una medida de seguridad que requiere una o más capas de autenticación además de su nombre de usuario y contraseña para iniciar sesión con éxito en una cuenta. Incluso si un actor de amenazas pudiera obtener su nombre de usuario y su contraseña a través de un ataque de ingeniería social, no podría comprometer su cuenta sin el factor de autenticación adicional.
Evite compartir en exceso información personal
Tal y como se ha mencionado anteriormente, para mantener limpia su huella digital, debe evitar compartir en exceso información personal en línea. Pero también es importante que tenga cuidado con la información que comparte en persona. Nunca se sabe cuáles son las intenciones de una persona, por lo que es mejor tener precaución y guardar su información personal para usted y solo compartirla con personas en las que sabe que puede confiar.
Cómo proteger su organización de la ingeniería social
Para proteger su organización de ataques de ingeniería social, envíe a los empleados correos electrónicos simulados de phishing, capacite regularmente a los empleados en las mejores prácticas de seguridad cibernética, invierta en un gestor de contraseñas para empresas e implemente el Principio del privilegio mínimo (PoLP).
Enviar correos electrónicos simulados de phishing
Los correos electrónicos simulados de phishing son aquellos que las organizaciones envían a sus empleados para probar sus habilidades en la detección de ataques de phishing. El envío de estas pruebas de phishing simulado es una excelente manera de determinar lo buenos o malos que son los empleados a la hora de detectarlos. Si un empleado cae en una de estas pruebas de phishing haciendo clic en el contenido del correo electrónico, habrá fallado y tendrá que recibir formación adicional para aprender a detectarlo.
Hay muchas herramientas de phishing disponibles para enviar estas pruebas, incluidas las gratuitas de código abierto como Gophish. También hay muchos productos comerciales como KnowBe4 e Infosec IQ.
Forme a sus empleados en seguridad cibernética
Las pruebas de phishing no deben ser lo único que debe hacer para proteger su organización, también debe formar regularmente a sus empleados en las mejores prácticas de seguridad cibernética, como las que se mencionan a continuación.
- Utilice contraseñas seguras y únicas para cada cuenta
- Habilite la MFA en las cuentas siempre que sea una opción
- Evite utilizar redes wifi públicas cuando viaje o trabaje en remoto
- Mantenga el software y el hardware actualizados
- Realice copias de seguridad periódicas de los datos
Cuanto más sepan los empleados sobre seguridad cibernética, mejor la pondrán en práctica para mitigar los riesgos de los ciberataques, como la ingeniería social.
Invierta en un gestor de contraseñas para empresas
Un gestor de contraseñas empresarial o corporativo es una herramienta que ayuda a las organizaciones a garantizar que los empleados utilicen siempre contraseñas seguras para cada una de sus cuentas de empleados. Con un gestor de contraseñas para empresas, los administradores de TI tienen visibilidad completa de los hábitos de contraseñas de los empleados y pueden imponer el uso de MFA para que las cuentas sean más seguras.
Cuando se trata de phishing, que es el tipo de ataque de ingeniería social más frecuente, el mayor riesgo es que las contraseñas se vean comprometidas. Los gestores de contraseñas guardan las direcciones de los sitios web junto con las credenciales de inicio de sesión, lo que significa que protegen a los usuarios de introducir sus credenciales en un sitio web falsificado, ya que los gestores de contraseñas no se autocompletan en un sitio web que no reconocen.
Implemente el principio de privilegios mínimos
El principio de privilegios mínimos es un concepto de seguridad cibernética según el cual los usuarios solo deben tener acceso a la información y los sistemas que necesitan para realizar su trabajo. La implementación del principio de privilegios mínimos reduce la superficie de ataque de una organización y, en el caso de que un actor de amenazas obtenga acceso a la cuenta de un empleado, le impide moverse lateralmente a través de la red de la organización.
Mantenga la precaución con los ataques de ingeniería social
Los ataques de ingeniería social pueden dirigirse a cualquier persona, no importa quién sea. Es importante que tanto los individuos como las organizaciones tomen medidas para protegerse de los ataques de ingeniería social para mitigar los riesgos.
Comience una prueba gratuita de 30 días para una cuenta personal o 14 días para una cuenta empresarial de Keeper Password Manager hoy mismo para proteger sus cuentas en línea de los ataques de ingeniería social.