Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Ingeniería social: técnicas utilizadas por los ciberdelincuentes y cómo protegerse

Fecha de publicación 05/09/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

Cuando hablamos sobre ciberdelincuencia, la visión de la gran mayoría de usuarios gira en torno a complejos códigos maliciosos creados ex profeso para atacar una organización en concreto. Pero en realidad, la ciberdelincuencia no opera generalmente de esta manera. El principal motivo es que ese tipo de ataques requieren una inversión de tiempo, recursos humanos y económicos muy elevados. La mayoría de ciberataques se centran en atacar al mayor número de víctimas, con la menor inversión posible. Para conseguirlo, se utiliza una de las técnicas preferidas por los ciberdelincuentes: la ingeniería social.

¿Qué es la ingeniería social?

Los ataques de ingeniería social usan como canal principal para su propagación el correo electrónico gracias a su uso masivo tanto por empresas, como por particulares. Pero no es la única vía de la que hacen uso los ciberdelincuentes, ya que pueden utilizar otros canales de comunicación como llamadas telefónicas, aplicaciones de mensajería, redes sociales, etc.

El siguiente video muestra cómo se lleva a cabo un ataque de ingeniería social por vía telefónica.

Los ataques de ingeniería social se pueden dividir en dos tipos distintos dependiendo del número de interacciones que requieran por parte del ciberdelincuente.

Hunting

Este tipo de ataques buscan afectar al mayor número de usuarios realizando, únicamente, una comunicación. Son comunes en campañas de phishing, como los realizados contra entidades energéticas o bancarias. Algunos ejemplos son:

También son utilizados en ataques cuyo objetivo es realizar una campaña de infección por malware, como las que se llevaron a cabo para realizar ataques de ransomware:

Farming

En los ataques de farming los ciberdelincuentes realizan varias comunicaciones con las víctimas hasta conseguir su objetivo u obtener la mayor cantidad de información posible. Algunos ejemplos de este tipo de ataques son los que buscan infundir miedo en las víctimas por medio de supuestos videos privados o futuros ataques contra su empresa:

En otros casos, como sucede en el fraude del CEO o más recientemente el de RRHH, los ciberdelincuentes suplantan a un miembro de la empresa y utilizan diferentes técnicas de ingeniería social para conseguir su objetivo:

¿Qué técnicas utilizan los ciberdelincuentes en los ataques de ingeniería social?

A pesar de ser múltiples y varias las técnicas utilizadas por los ciberdelincuentes para manipular a sus víctimas, suelen seguir una serie de principios básicos:

  • Respeto a la autoridad. Por norma general, nosotros como trabajadores y ciudadanos en general, respetamos la autoridad de nuestros superiores, bien sea dentro de la organización o en la vida cotidiana. Este tipo de ataques se basa en ese respeto que tenemos a nuestros responsables y a autoridades como las Fuerzas y Cuerpos de Seguridad del Estado.
  • Voluntad de ayudar. Sobre todo en los entornos laborales, los trabajadores, generalmente, cuentan con esta voluntad de ayudar a los compañeros en todo lo posible. Por este motivo, los ciberdelincuentes pueden hacerse pasar por un falso empleado de la empresa. Otra variante utilizada, es hacerse pasar por un técnico de informática para instalar herramientas de acceso remoto no autorizado.
  • Temor a perder un servicio. Esta técnica es habitualmente utilizada en campañas de phishing. Bajo el pretexto de existir repetidos accesos no autorizados, cambio en las políticas o cualquier otro engaño, los ciberdelincuentes fuerzan a la víctima acceder a una web fraudulenta donde roban información confidencial.
  • Respeto social. En algunos casos, los ciberdelincuentes basan su estrategia en el miedo que tienen los usuarios a no ser socialmente aceptados o a perder su reputación. Esto es habitual en los correos de sextorsión, donde los ciberdelincuentes amenazan con difundir un supuesto video privado que en realidad no existe.
  • Gratis. Este tipo de engaño se basa en ofrecer un producto o servicio gratis a cambio de información privada. Este tipo de fraude suele llevarse a cabo por medio de páginas web emergentes que suelen aparecer cuando se navega por sitios poco legítimos. También es común en mensajes de redes sociales o aplicaciones de mensajería.

¿Cómo protegerse contra los ataques de ingeniería social?

La mejor manera de protegerse contra los ataques de ingeniería social es formar y concienciar a los empleados. Un sistema con las medidas de seguridad y tecnologías más modernas no servirá de nada si por medio de un simple correo electrónico el ciberdelincuente consigue información confidencial muy valiosa para la empresa.

Para evitar ataques de ingeniería social no existe una fórmula mágica que permita su identificación, ya que estos pueden ser muy variados y utilizar diferentes técnicas. Puesto que la formación y concienciación son realmente importantes en ciberseguridad, en INCIBE hemos desarrollado varias herramientas con las que mejorarlas y conseguir que tu empresa sea más cibersegura.

  • Kit de concienciación. Herramienta con la que implantarás un plan de formación para tus empleados con el que aprenderán a actuar de una manera cibersegura dentro de la organización y en su vida cotidiana.
  • Itinerarios interactivos. Formación diseñada específicamente para tu sector, con las amenazas a las que tiene que hacer frente y las medidas de seguridad específicas para proteger la organización.
  • Hackend, se acabó el juego. Serious game con el que aprenderás ciberseguridad de una manera amena, mientras te pones en la piel de Maxi Max, el protagonista del juego.

 

La ingeniería social es una de las técnicas más utilizadas por los ciberdelincuentes para conseguir sus objetivos delictivos. Para minimizar los riesgos de este tipo de fraude, la mejor vía es formar y concienciar a tus empleados.