¿Qué es la ingeniería social? Ejemplos, técnicas de ataque y cómo prevenirla

Abril 22, 2022.
Kaseya
Ingeniería social

La ingeniería social es cuando los ciberdelincuentes explotan la psicología humana para obtener un resultado favorable para ellos, como engañar a la gente para que facilite su contraseña. Para los delincuentes es más fácil explotar la tendencia instintiva de la gente a confiar que encontrar formas de piratear dispositivos o redes.

¿Qué es la ingeniería social?

El término ingeniería social, utilizado por primera vez por el industrial francés JC Van Marken en 1894, es un fenómeno que consiste en influir en las personas para que realicen cualquier acción que pueda ir en contra de sus intereses. Es el arte y la ciencia de controlar a las masas para que cumplan los deseos de uno.

¿Cuáles son ejemplos de ingeniería social?

Un atacante puede recurrir a la ingeniería social para incitar a un empleado a descargar un archivo malicioso, convenciéndole de que se trata de un documento importante e inofensivo. Durante la pandemia de COVID-19, los ciberdelincuentes lograban que las personas abrieran archivos maliciosos haciéndoles creer que se trataba de políticas de la empresa relacionadas con la COVID-19. 

La ingeniería social también puede utilizarse para engañar a un empleado para que facilite su contraseña cuando los ciberdelincuentes falsifican mensajes de marcas conocidas como Microsoft en los que se indica a la víctima que debe cambiar su contraseña porque los mensajes de las grandes marcas pueden percibirse como dignos de confianza.

La ingeniería social se utiliza en los ataques para comprometer el correo electrónico empresarial y el secuestro de conversaciones convenciendo a la víctima de que es alguien con quien ya mantiene una relación comercial. Esto puede utilizarse para persuadir a la víctima de que transfiera dinero para pagar una factura o de que facilite datos confidenciales a los delincuentes.

¿Qué son los ataques de ingeniería social?

Los ataques de ingeniería social son cualquier ciberataque que se base en engaños psicológicos. Los aspectos psicológicos, más que los técnicos del ataque, son la puerta de entrada de daños importantes, como abrir correos electrónicos dudosos, entregar contraseñas y hacer clic en un enlace sospechoso, son algunos de los ejemplos que cabe mencionar. La ingeniería social es el catalizador del 93% de las violaciones de datos que tienen éxito.

Tipos de ataques de ingeniería social

Los ataques de ingeniería social se llevan a cabo de varias maneras. Estas son algunas de las tácticas más populares:

Phishing

El phishing es la forma más habitual de ataque de ingeniería social. Un mensaje de phishing tiene como objetivo persuadir al destinatario para que realice una acción concreta que beneficie a los objetivos del ciberdelincuente, como descargar un documento que contenga ransomware. Los ciberdelincuentes recurren al phishing porque es barato, fácil, versátil y eficaz: el 97 % de los usuarios no es capaz de detectar un mensaje de phishing sofisticado.

Suplantación de identidad

En el spear phishing, el atacante diseña su mensaje para que resulte extremadamente atractivo para un grupo específico de víctimas. Los mensajes se personalizan en función de aspectos como la formación académica, los puestos de trabajo y los datos de contacto. Un escenario típico podría consistir en que un atacante intentara hacerse pasar por un consultor informático de la empresa de la víctima para solicitar un cambio de contraseña, engañando así al empleado para que crea que se trata de un mensaje auténtico.

Whaling

Al igual que el phishing y el spear phishing, el whaling es un fraude habilitado digitalmente que utiliza técnicas de ingeniería social para elaborar mensajes de phishing destinados a empleados de alto rango o muy privilegiados de una organización. A menudo anima a la víctima a realizar acciones secundarias, como una transferencia bancaria de fondos.

Scareware

El scareware tiene las mismas características que el malware y utiliza tácticas de ingeniería social para generar confusión, sorpresa y ansiedad con el fin de manipular a los usuarios para que compren o instalen software malicioso. Un escenario típico de un ataque de scareware consistiría en engañar al usuario para que crea que su ordenador está infectado con un virus y, a continuación, sugerirle que compre o pague por un software antivirus para eliminarlo.

Señales de alerta de ingeniería social

Los ataques de ingeniería social están aumentando, y los equipos de seguridad deben estar atentos a posibles ataques, siendo los usuarios la última línea de defensa. Sin embargo, los usuarios finales deben asumir la responsabilidad de vigilar sus propias acciones. A continuación se indican algunas señales de alerta a las que hay que prestar atención.

  • Solicitud de contraseña: los correos electrónicos no solicitados en los que se pida información personal, como contraseñas, deben rechazarse y comunicarse al equipo de seguridad de inmediato.
  • Ayuda inmediata: los piratas informáticos pueden hacerse pasar por el servicio de asistencia técnica de una organización. Si no has solicitado ayuda, considera cualquier oferta o solicitud como una estafa. 
  • Correos electrónicos no solicitados:el envío masivo de correos electrónicos no solicitados puede aumentar el riesgo de inundar la bandeja de entrada del empleado con enlaces maliciosos, lo que podría desembocar en un importante ataque de phishing.
  • Mensajes de texto: no caigas en la trampa de los mensajes de texto que piden a los usuarios que respondan con contraseñas temporales recibidas en sus dispositivos.

Prevención de la ingeniería social

  • Poner el filtro de spam en alto - Pon el filtro de spam de tu cliente de correo electrónico en alto, lo que ayudará a detener más mensajes sospechosos, pero puede causar un retraso en las comunicaciones.
  • En caso de duda, cambie la contraseña - Si un empleado puede haber entregado su contraseña a un mal actor, un cambio instantáneo de la misma puede ayudar a minimizar los daños.
  • Incorpore la autenticación de dos factores o la autenticación multifactor - La autenticación de dos factores (2FA) o la autenticación multifactor (MFA) evitan el 99.9% de los ciberataques.
  • Mantente alerta ante mensajes inesperados. En caso de duda, informa de un mensaje sospechoso a tu administrador o supervisor.
  • Utiliza una solución de seguridad para el correo electrónico de alta calidad.La elección de herramientas avanzadas que utilizan el aprendizaje automático y la inteligencia artificial para detectar actividades sospechosas mantiene los mensajes peligrosos fuera de las bandejas de entrada de los empleados.

Previene los ataques de ingeniería social con Graphus

Mantenerse al día en el ámbito de la ingeniería social informática puede resultar abrumador para las empresas. Las nuevas y sofisticadas formas de ataque pueden burlar fácilmente los filtros tradicionales contra el phishing. Las herramientas de seguridad tradicionales comparan los mensajes entrantes con una lista de posibles señales de alerta.

Gracias a su tecnología de IA inteligente Graphus detectar y poner en cuarentena posibles intentos de phishing mediante el aprendizaje de los patrones de comunicación únicos de cada usuario, sin interrumpir el flujo de tráfico, al tiempo que detecta un 40 % más de mensajes de phishing que un SEG o un sistema de seguridad de correo electrónico tradicional o integrado. 

Los ataques de ingeniería social pueden llevar a una empresa a la quiebra: el 60 % de las empresas nunca se recupera tras sufrir un ciberataque. Nuestros expertos pueden mostrarle por qué Graphus la solución ideal para proteger a las empresas contra la ingeniería social y otros ciberataques sofisticados.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

Tácticas habituales de phishing que ponen en peligro a las empresas

Comprenda los ataques de phishing más comunes, como el compromiso del correo electrónico empresarial, el spear phishing y la suplantación de marca, y aprenda a defenderse contra ellos.

Leer la entrada del blog

¿Es el phishing un ataque de ingeniería social?

Aprenda por qué el phishing es un ataque de ingeniería social por definición, cómo se utilizan las técnicas de ingeniería social en el phishing y sobre la relación entre ellas.

Leer la entrada del blog

10 datos sobre ingeniería social que debe conocer

Estos 10 datos sobre la ingeniería social ilustran el peligro que esta técnica de ciberdelincuencia representa para su empresa.

Leer la entrada del blog