Ingeniería Social

Home  /  Ciberseguridad Ofensiva

¿Qué es la ingeniería social?

La definición de ingeniería social abarca varios tipos de manipulación psicológica. En ocasiones, la ingeniería social puede tener resultados positivos, como fomentar comportamientos saludables. En términos de seguridad de la información, sin embargo, la ingeniería social a menudo se utiliza únicamente para beneficio del atacante. En estos casos, la ingeniería social implica manipulación para obtener información confidencial, como datos personales o financieros. Por tanto, la ingeniería social también puede definirse como un tipo de ciberdelito.

  • Sed do eiusmod but laboris incididunt ut
  • Ut enim ad minim veniam aliquip amet
  • Pharetra massa massaultricies mi quis
  • Consectetur adipiscing elit, sed do

Tipos habituales de ataques de ingeniería social

El spam en el correo electrónico es uno de los tipos de ingeniería social más antiguos en Internet y es responsable de prácticamente toda la basura que llega a su bandeja de entrada. En el mejor de los casos, el spam en el correo electrónico es molesto. En el peor de los casos, se trata de una estafa para obtener sus datos personales. Muchos servidores de correo electrónico revisan los mensajes automáticamente en busca de spam malicioso, pero el proceso no es perfecto y a veces llegan mensajes peligrosos a su bandeja de entrada.

Análogamente al spam en el correo electrónico, el phishing generalmente se lleva a cabo a través del correo electrónico, pero siempre parece ser legítimo. El phishing es un tipo de ataque de ingeniería social en el que los mensajes parecen provenir de una fuente fiable y están diseñados específicamente para engañar a las víctimas y que revelen sus datos personales o financieros. Después de todo, por qué habría de dudar de la autenticidad de un mensaje que provenga de un amigo, un familiar o una tienda que visitamos a menudo? Las estafas de phishing se aprovechan deliberadamente de esta confianza.

Los ataques de ingeniería social no siempre tienen su origen en Internet: también pueden empezar fuera de las redes. El baiting se refiere al caso en el que un atacante deja un dispositivo infectado con malware (por ejemplo, una unidad USB) en algún lugar fácil de encontrar. Estos dispositivos suelen tener etiquetas provocativas para crear curiosidad.

El vishing, también conocido como phishing por voz, es un tipo sofisticado de ataque de phishing. En estos ataques, se suplanta un número de teléfono para que parezca legítimo, de modo que los atacantes se hacen pasar por técnicos, compañeros de trabajo, personal de informática, etc. Algunos atacantes incluso usan filtros de voz para enmascarar su identidad.

El smishing es un tipo de ataque de phishing que toma la forma de mensajes de texto, o SMS. Habitualmente, estos ataques piden a la víctima que realice alguna acción inmediata a través de vínculos maliciosos en los que hacer clic o números de teléfono a los que llamar.

El pretexting es un tipo de ataque de ingeniería social en el que los atacantes se hacen pasar por otra persona para obtener datos personales. Los ataques de pretexting pueden suceder en Internet o fuera de las redes, y ahora es más fácil que nunca que estos delincuentes investiguen y espíen a las posibles víctimas para crear una historia (o pretexto) creíble con la que engañarlas.

¿Cómo son los ataques ingeniería social?

¿Alguna vez ha sido víctima de la ingeniería social? Quizá no se haya dado cuenta, porque los ataques de ingeniería social pueden ser de muchos tipos. En el contexto de seguridad de la información, los ataques de ingeniería social a menudo aparecen como un mensaje de correo electrónico, de texto o de voz de una fuente aparentemente inofensiva. Puede pensar que es capaz de detectar un mensaje de correo electrónico sospechoso por su cuenta, pero los atacantes se han vuelto más sofisticados.

Algunos ataques ingeniería social famosos incluyen el ciberataque en 2014 a Sony Pictures, el pirateo del correo electrónico en 2016 del Partido Demócrata estadounidense y el pirateo de las criptomonedas de Ethereum Classic en 2017, cuando los hackers se hicieron pasar por el propietario de Classic Ether Wallet y robaron miles de dólares en criptomonedas.