Ataques de ingeniería social

¿Qué es la ingeniería social?

La ingeniería social es un tipo de ciberataque que utiliza técnicas de manipulación psicológica para ganarse la confianza de un objetivo y conseguir que divulgue información personal, haga clic en enlaces web o abra archivos adjuntos maliciosos de correo electrónico. Los ciberdelincuentes aprovechan las técnicas de ingeniería social para presentarse como personas legítimas con acceso a fuentes de información fiables.

Las amenazas actuales rastrean las huellas digitales de sus objetivos para recabar la información necesaria y ganarse su confianza. El acceso a una cuenta comprometida permite a una amenaza infiltrarse en toda la red de una organización y llevar a cabo un ciberataque en toda regla. 

Tipos de ataques de ingeniería social

La ingeniería social es uno de los ciberataques más comunes y exitosos en el panorama actual de las ciberamenazas. Es una táctica popular porque es más fácil explotar o manipular a las personas que encontrar una vulnerabilidad de red o de software. 
Los ataques de phishing crean una sensación de curiosidad, urgencia o miedo en las víctimas. Los atacantes persuaden a otros para que expongan información sensible, hagan clic en URL maliciosas o abran archivos adjuntos envenenados. Spearphishing, smishing, vishing y whaling son algunas variantes del phishing. 

Pretextos

Los ciberdelincuentes llevan a cabo ataques de pretexto fabricando un escenario que utilizan para robar la información personal de alguien. Los actores de la amenaza se hacen pasar por una persona o entidad de confianza y engañan al objetivo para que revele datos confidenciales o realice acciones que eluden las políticas de seguridad de su organización.

Cebo y Quid Pro Quo

Los actores de amenazas incitan a los objetivos a descargar artículos gratuitos o aparentemente tentadores (normalmente tarjetas de regalo) con malware. Del mismo modo, el quid pro quo es un ataque de ingeniería social en el que el actor de la amenaza hace una falsa promesa para convencer al objetivo de que realice acciones que comprometan un sistema que, de otro modo, sería seguro.  

Abrevadero

Los ataques de tipo watering hole aprovechan vulnerabilidades de día cero y otras debilidades de los sitios para infectar páginas web populares con malware, afectando a varios usuarios simultáneamente. A continuación, el autor de la amenaza roba las credenciales de inicio de sesión de los usuarios o infecta los ordenadores de los objetivos para acceder a la red dentro de sus lugares de trabajo.

Ejemplos de ataques de ingeniería social

Los ataques de ingeniería social siguen aumentando y acosan a organizaciones de todos los sectores. Peor aún, las técnicas de ciberataque siguen evolucionando y los delincuentes encuentran formas creativas de ganarse la confianza y engañar a la gente, comprometiendo así la seguridad de la empresa que los emplea. 

La estafa de spearphishing de Google y Facebook de 2019 se saldó con una pérdida de 100 millones de dólares, lo que la convierte en uno de los ataques de ingeniería social más importantes de todos los tiempos. Se creó una empresa falsa, simulando trabajar con Google y Facebook. A continuación, los estafadores enviaban correos electrónicos de phishing a los empleados, facturándoles bienes o servicios e indicándoles que ingresaran dinero en cuentas fraudulentas.

En 2015, una empresa de redes informáticas de Silicon Valley perdió 46,7 millones de dólares por una estafa de ingeniería social. El incidente consistió en la suplantación de empleados, lo que permitió a los actores de la amenaza realizar solicitudes fraudulentas de transferencia de dinero.

Los ataques de ingeniería social se dirigen a las emociones de las personas, pero tienen características de identificación específicas independientemente de los objetivos del actor de la amenaza. Por ejemplo, los atacantes de ingeniería social utilizan un lenguaje que crea una falsa sensación de urgencia. Detectar este tipo de ataques requiere un análisis inteligente de la situación, reduciendo la velocidad y comprobando dos veces la legitimidad de una solicitud "urgente". 

Otra forma de detectar los ataques de ingeniería social es analizar las frases que se utilizan en la comunicación. Por desgracia, la mayoría de los ataques de ingeniería social están tan bien enfocados y son tan engañosos que resulta difícil descubrirlos como fraudulentos. 

Para detectar, prevenir y mitigar los ataques de ingeniería social, las organizaciones deben adoptar una solución de seguridad como Zero Trust Network Access (ZTNA), capaz de bloquear en tiempo real las amenazas nuevas y avanzadas e impedir el paso de todos los ataques maliciosos.

Zero Trust Network Access (ZTNA) puede prevenir ataques de ingeniería social. CylanceGATEWAY™ protege su red antes de que un actor de amenazas pueda acceder a ella y empezar a moverse lateralmente por ella.