Puede protegerse de los robos de identidad manteniendo seguros su número de la seguridad social y otros documentos confidenciales, revisando sus informes crediticios con regularidad, utilizando
Entre los muchos ejemplos de ataques de ingeniería social se encuentran el phishing, el pretexting, el scareware, el baiting, el vishing, el smishing y el fraude del CEO. Si no tiene claro en qué consiste la ingeniería social, plantéese la cantidad de formas en que alguien puede manipularle para revelar información privada. Los actores de amenazas utilizan estas técnicas psicológicas, tanto en persona como en línea, para acceder a su información personal u organizativa. Estos atacantes pueden instalarle malware en el dispositivo, robarle información e, incluso, apropiarse de su identidad.
Siga leyendo para conocer algunos ejemplos de ataques de ingeniería social y cómo puede evitar convertirse en víctima de este tipo de ataques.
Phishing
En los ataques de phishing, los cibercriminales se hacen pasar por alguien o algo conocido por la víctima, como un familiar o un compañero de trabajo, para acceder a información privada. Seguramente esté pensando que el phishing se parece mucho a la ingeniería social. En realidad, se trata de uno de los muchos tipos de ataques de ingeniería social. Normalmente, el phishing se perpetra por correos electrónicos, mensajes de texto y llamadas con los que se pretende persuadir a las víctimas para que instalen malware o faciliten datos sensibles. Sin embargo, la ingeniería social como técnica no se limita a los mismos medios que el phishing. Si bien el phishing es un ejemplo de ingeniería social, no todos los ataques de ingeniería social se categorizan como phishing.
El objetivo de los cibercriminales cuando ejecutan ataques de phishing es conseguir que la víctima haga clic en un enlace que descargue malware en su dispositivo, robe su información confidencial o le redirija a un sitio web falso.
Estos son algunos de los tipos más comunes de intentos de phishing a los que debe prestar atención:
- Mensajes con lenguaje apremiante, especialmente en el contexto de una amenaza de desactivación de una cuenta si no se actúa con rapidez
- Amenazas de consecuencias económicas
- Ofertas que parecen demasiado buenas para ser verdad
- Solicitudes de información personal de cibercriminales que dicen ser una empresa o persona que conoce
- Direcciones de correo electrónico o nombres de dominio que no coinciden con la persona que dicen ser
Vishing y smishing
Ahora que sabemos lo que es el phishing, es importante conocer otros tipos similares de ataques de ingeniería social: vishing y smishing. Tanto el vishing como el smishing son tipos de ataques de phishing, pero lo que los diferencia es el método de contacto que el actor de amenazas utiliza para atacar a la víctima.
El vishing se perpetra con llamadas telefónicas. Es más fácil que la víctima crea a la voz que se encuentra al otro lado del teléfono. Últimamente, los cibercriminales están utilizando la inteligencia artificial para ejecutar ataques de vishing en los que simulan las voces de alguien que la víctima conoce, como un compañero de trabajo o familiar, tras analizar grabaciones de audio y vídeos para ser más realistas. Un paso crucial para protegerse de los ataques de vishing es evitar responder llamadas de números desconocidos. Algunos teléfonos incluso pueden configurarse para silenciar a los números desconocidos, por lo que el usuario no tendrá la tentación de responder a estas llamadas.
El smishing se lleva a cabo a través de mensajes de texto y también se conoce como phishing por SMS. Las víctimas de smishing recibirán un mensaje de texto con un lenguaje apremiante para que hagan clic en un enlace e inicien sesión en una cuenta que usan habitualmente. Sin embargo, este enlace no será legítimo y el actor de amenazas puede utilizar las credenciales que la víctima introduzca para acceder a la cuenta real. Parecida a la solución para evitar los ataques de vishing, una forma fácil de evitar caer en los ataques de smishing es bloquear los números de teléfono que le envíen enlaces sospechosos.
Pretexting
Otro tipo de ataque de ingeniería social es el pretexting, en el que se persuade a la víctima para que revele información privada mediante la invención de una historia. Utilizando un pretexto, el actor de amenazas manipula psicológicamente a la víctima para que sienta simpatía o miedo con el fin de ganarse su confianza. Cuando un cibercriminal desarrolla una narrativa falsa que la víctima va a creer, le da más credibilidad y es más probable que la víctima crea que es necesario enviarle dinero o compartir información confidencial. El pretexting implica una investigación abundante por parte del cibercriminal para saber dónde trabaja la víctima, qué le interesa según sus cuentas de redes sociales, a quién conoce según su actividad en línea, etc. Este tipo de ataque de ingeniería social es especialmente dañino porque la víctima puede caer, sin saberlo, en estafas que podrían poner en peligro su información privada.
Scareware
El scareware es otro tipo de ataque de ingeniería social que se basa en que las víctimas caigan tras descargar malware camuflado como software antivirus. Al asustar a las personas con mensajes apremiantes que afirman que sus dispositivos se han infectado, los cibercriminales aterrorizan a sus víctimas y las manipulan psicológicamente para que realicen una acción con la que pueden acceder a sus datos sensibles.
Uno de los ataques de scareware más comunes es el que se ejecuta a través de anuncios emergentes. Por ejemplo, cuando hace clic en un sitio web nuevo y aparece un mensaje en el que se afirma falsamente que su ordenador se ha infectado con un virus. A fin de detener el virus y solucionar el problema, puede tener la tentación de hacer clic en el mensaje para descargar un software antivirus que realmente sea malware destructivo. En lugar de hacer clic en los anuncios emergentes o incluso tratar de hacer clic en una X para cerrarlo, cierre directamente el navegador para evitar ser víctima de ataques de scareware.
Baiting
En el baiting, los cibercriminales atraen a las víctimas con una especie de cebo para que realicen una acción con la que robarles su información o con la que infectar sus dispositivos con malware. El malvertising es un tipo de baiting en el que los cibercriminales utilizan anuncios que la víctima puede ver en línea para difundir malware en sus dispositivos. La ingeniería social ataca a las víctimas con anuncios maliciosos y consigue la vulneración de los datos. Por ejemplo, cuando compre en línea y haga clic en un anuncio, un anuncio malicioso podría advertirle de que su dispositivo se ha infectado y, a continuación, infectará su dispositivo haga clic en el anuncio o no. Aunque muchas personas piensan que el baiting es el mismo concepto que el phishing, el phishing implica que los cibercriminales se hacen pasar por alguien que la víctima conoce, mientras que el baiting no requiere pretensión alguna.
El fraude del CEO
Cuando un cibercriminal se hace pasar por el CEO de una organización, su fechoría se denomina fraude del CEO. Este tipo de ataque de ingeniería social manipula a un empleado objetivo para que envíe dinero al cibercriminal o comparta con él información privada intentando que la víctima se fíe de estar hablando con alguna autoridad de su propia empresa. El fraude del CEO se considera un ejemplo de ingeniería social porque el cibercriminal se dirige a víctimas específicas para manipularlas psicológicamente y convencerlas de que son el CEO de su empresa.
Cómo evitar los ataques de ingeniería social
Tras conocer estos ejemplos de ataques de ingeniería social, seguro que quiere saber cómo evitar ser víctima de ellos. Estos son algunos consejos complementarios y prácticas recomendadas para evitar que los ataques de ingeniería social le afecten:
- Borre el historial de navegación y las cookies con frecuencia
- Defina sus perfiles de redes sociales como privados
- Elimine las cuentas que ya no utilice
- Desconfíe de los correos electrónicos, llamadas telefónicas o mensajes de texto sospechosos
- Cree contraseñas seguras y habilite la autenticación multifactor (MFA)
Debido a la popularidad de las redes sociales, compartir en exceso conlleva innumerables riesgos que podrían derivar en un ataque de ingeniería social. Si bien compartir su día a día puede hacerle sentir más conectado con sus seguidores, el hecho de compartir en exceso en redes sociales puede poner en peligro su privacidad. Evite publicar detalles íntimos, sobre usted, sobre personas con las que suele pasar tiempo o sobre su trabajo, así como la ubicación en la que se encuentra. Los cibercriminales pueden utilizar cualquiera de estos datos en su contra en forma de ataques de ingeniería social.
Protéjase de los ataques de ingeniería social
Estos tipos de ataques de ingeniería social pueden afectar a cualquier persona que no conozca las tácticas utilizadas por los cibercriminales para acceder a su información privada. Tome las medidas necesarias para protegerse de los ataques de ingeniería social y minimizar los riesgos de robo de identidades, acceso no autorizado a las cuentas importantes y mucho más.
Regístrese para obtener una prueba gratuita de 30 días de Keeper Password Manager a fin de evitar que la ingeniería social le acabe perjudicando.