A pesar de la amplia gama de rumores en torno a ella, la ingeniería social es difícil de “definir” o resumir. Esta es una de las razones por las cuales el 82% de las brechas de datos son de origen humano.
La ingeniería social se ha convertido en la columna vertebral de muchas amenazas en el ciberespacio, desde el phishing por correo electrónico hasta los ataques de smishing en los próximos años, y hasta el vishing.
A continuación, se presentan nueve amenazas comunes en el ciberespacio que utilizan técnicas y tácticas de ingeniería social para obtener acceso a información sensible (sin un orden específico). La mayoría de estos ataques ocurren en línea, pero también pueden ocurrir en lugares físicos, como oficinas, apartamentos y cafeterías.
1. Phishing Esta es la técnica más común de ingeniería social. Los hackers utilizan correos electrónicos, sitios web y mensajes de texto para robar información personal u organizativa sensible de víctimas desprevenidas.
2. Spear Phishing Este tipo de ataque de phishing se utiliza para ataques dirigidos contra individuos o empresas específicas. El spear phishing es más elaborado que el phishing masivo por correo electrónico y requiere una investigación exhaustiva sobre el objetivo potencial.
3. Bait (Engaño) Este tipo de ataque puede ocurrir en línea o en un entorno físico. Los criminales cibernéticos suelen prometer alguna recompensa a cambio de información confidencial que posee la víctima.
4. Malware Este ataque incluye el ransomware. A las víctimas se les envía un mensaje urgente que indica la necesidad de instalar software malicioso en su dispositivo. En un giro irónico, a menudo se les dice a las víctimas que el malware ya está instalado en su computadora y que el remitente lo eliminará si pagan una cierta cantidad de dinero.
5. Pretexto (Pretexting) En este tipo de ataque, los perpetradores utilizan identidades falsas para engañar a las víctimas y obtener información. Este ataque se utiliza a menudo en organizaciones que manejan datos de clientes, como bancos e instituciones financieras.
6. Dar y Recibir (Quid Pro Quo) Este ataque se centra en el intercambio de información o servicios para motivar a la víctima a tomar medidas. Por lo general, los criminales cibernéticos que realizan este tipo de ataque no proporcionan información detallada por adelantado, pero ofrecen “ayuda” haciéndose pasar por alguien más, como un experto en soporte técnico.
7. Colarse (Tailgating) Este ataque tiene como objetivo persuadir a alguien para que permita el acceso físico al interior de un edificio o espacio protegido. Con frecuencia, estos fraudes se logran con la colaboración de la víctima, ya que dejan las puertas abiertas para que un “empleado” invisible disfrazado pueda pasar.
8. Vishing En este escenario, los criminales cibernéticos dejan mensajes de voz que simulan incidentes urgentes, convenciendo a las víctimas de que deben actuar rápidamente para protegerse contra arrestos u otros riesgos. Por lo general, los bancos, los servicios gubernamentales y las agencias de aplicación de la ley son las víctimas habituales de estas imitaciones.
9. Water-Holling (Agujero con agua) Este ataque utiliza técnicas avanzadas de ingeniería social para infectar sitios web y a sus visitantes con malware. La infección se propaga generalmente a través de sitios web relacionados con la víctima, como sitios populares que la víctima visita regularmente.
¿Por qué ocurren los ataques de ingeniería social? La ingeniería social puede tener éxito en sus objetivos debido a la tendencia humana a confiar. Los criminales cibernéticos han aprendido que los mensajes de correo electrónico cuidadosamente formulados, los mensajes de voz y los mensajes de texto pueden motivar a las personas a enviar dinero, proporcionar información confidencial o descargar archivos que contienen malware en una red corporativa.
Aquí hay algunas razones principales por las que los ataques de ingeniería social tienen éxito repetidamente:
Miedo Recibes un mensaje de voz que dice que estás siendo investigado por fraude fiscal y que debes llamar de inmediato para evitar el arresto y la investigación criminal. Este ataque de ingeniería social ocurre durante la temporada de impuestos cuando las personas ya están estresadas por sus declaraciones de impuestos. Los ciberdelincuentes aprovechan el estrés y la ansiedad para engañar a las víctimas para que sigan las instrucciones del mensaje de voz.
Avaricia Imagina que puedes transferir $10 electrónicamente a un inversor y ver cómo se convierte en $10,000 sin ningún esfuerzo. Los ciberdelincuentes utilizan las emociones humanas básicas de la confianza y el deseo para hacer que las víctimas crean que realmente pueden crear algo a partir de la nada.
Curiosidad Los estafadores y los delincuentes cibernéticos se centran en eventos que tienen una gran cobertura mediática y utilizan la curiosidad humana para engañar a las víctimas. Por ejemplo, después del segundo accidente de un avión Boeing MAX 8, los ciberdelincuentes comenzaron a enviar correos electrónicos con archivos adjuntos que afirmaban contener datos filtrados sobre el accidente. Este archivo adjunto instalaba una versión del Hworm RAT en la computadora de la víctima.
Ofrecer Ayuda Las personas confían y se ayudan mutuamente. Durante una investigación en una empresa, los delincuentes cibernéticos se dirigieron a dos o tres empleados con un correo electrónico que parecía provenir de su gerente. El correo electrónico solicitaba al responsable de tecnología de la información que enviara la contraseña de la base de datos de contabilidad, enfatizando que el director la necesitaba para recibir el salario a tiempo. El correo electrónico utilizaba un lenguaje urgente que llevó a la víctima a creer que ayudar al jefe era crucial si actuaba con rapidez.
Situación de Emergencia Recibes un correo electrónico del soporte al cliente de una tienda en línea que visitas con frecuencia, en el que se te pide que verifiques la información de tu tarjeta de crédito para proteger tu cuenta. El correo electrónico te pide que respondas rápidamente para evitar que los delincuentes roben tu información de tarjeta de crédito. Como resultado, otra persona utiliza tus datos para realizar compras por valor de miles de dólares.