¿Qué es la ingeniería social?
La ingeniería social es un tipo de ciberataque que utiliza técnicas de manipulación psicológica para ganarse la confianza de un objetivo y conseguir que divulgue información personal, haga clic en enlaces web o abra archivos adjuntos maliciosos de correo electrónico. Los ciberdelincuentes aprovechan las técnicas de ingeniería social para presentarse como personas legítimas con acceso a fuentes de información fiables.
Las amenazas actuales rastrean las huellas digitales de sus objetivos para recabar la información necesaria y ganarse su confianza. El acceso a una cuenta comprometida permite a una amenaza infiltrarse en toda la red de una organización y llevar a cabo un ciberataque en toda regla.
Tipos de ataques de ingeniería social
Pretextos
Cebo y Quid Pro Quo
Abrevadero
Ejemplos de ataques de ingeniería social
Los ataques de ingeniería social siguen aumentando y acosan a organizaciones de todos los sectores. Peor aún, las técnicas de ciberataque siguen evolucionando y los delincuentes encuentran formas creativas de ganarse la confianza y engañar a la gente, comprometiendo así la seguridad de la empresa que los emplea.
La estafa de spearphishing de Google y Facebook de 2019 se saldó con una pérdida de 100 millones de dólares, lo que la convierte en uno de los ataques de ingeniería social más importantes de todos los tiempos. Se creó una empresa falsa, simulando trabajar con Google y Facebook. A continuación, los estafadores enviaban correos electrónicos de phishing a los empleados, facturándoles bienes o servicios e indicándoles que ingresaran dinero en cuentas fraudulentas.
En 2015, una empresa de redes informáticas de Silicon Valley perdió 46,7 millones de dólares por una estafa de ingeniería social. El incidente consistió en la suplantación de empleados, lo que permitió a los actores de la amenaza realizar solicitudes fraudulentas de transferencia de dinero.
Los ataques de ingeniería social se dirigen a las emociones de las personas, pero tienen características de identificación específicas independientemente de los objetivos del actor de la amenaza. Por ejemplo, los atacantes de ingeniería social utilizan un lenguaje que crea una falsa sensación de urgencia. Detectar este tipo de ataques requiere un análisis inteligente de la situación, reduciendo la velocidad y comprobando dos veces la legitimidad de una solicitud "urgente".
Otra forma de detectar los ataques de ingeniería social es analizar las frases que se utilizan en la comunicación. Por desgracia, la mayoría de los ataques de ingeniería social están tan bien enfocados y son tan engañosos que resulta difícil descubrirlos como fraudulentos.
Para detectar, prevenir y mitigar los ataques de ingeniería social, las organizaciones deben adoptar una solución de seguridad como Zero Trust Network Access (ZTNA), capaz de bloquear en tiempo real las amenazas nuevas y avanzadas e impedir el paso de todos los ataques maliciosos.