Ingenier√≠a social: ¬Ņqu√© es?

Ingenier√≠a social, o programaci√≥n neuroling√ľ√≠stica, es el t√©rmino com√ļn para diferentes enfoques para hacer que las personas piensen o hagan lo que quieres.

Quiz√°s le interese echar un vistazo a nuestras otras herramientas antivirus:
Trojan Killer, Trojan Scanner and Free Online Checker.

¬ŅQu√© es la Ingenier√≠a Social | T√©cnicas de Ataque y Prevenci√≥n | Gridinsoft

Ingeniería Social

October 06, 2023

Algunas personas tienen un talento natural para convencer a otros de que hagan algo o piensen como ellos quieren. Algunos dicen que es por carisma y habilidades oratorias. Algunos culpan a la credulidad de la gente. Pero los efectos son los mismos, y rara vez aportan algo positivo a la parte pasiva.

La ingeniería social es una masa de enfoques y técnicas que describen las formas de influir en las opiniones y acciones de los demás. Pueden ser individuos separados, así como multitudes. Estos métodos suelen centrar la atención en los problemas y proponer lo elegido como solución a este problema. Gracias al desarrollo de la comunicación, se ha vuelto elemental realizar eventos de ingeniería social, en mensajeros, redes sociales, correos electrónicos o incluso por teléfono. La ingeniería social es un método específico de publicidad directa.

Ingeniería social

En ciberseguridad, la ingenier√≠a social juega un papel importante en la propagaci√≥n de malware. Su universalidad permite a los hackers utilizarlo tanto en ciberataques a corporaciones como en campa√Īas masivas de spam contra particulares. Y la cantidad total de m√©todos de ingenier√≠a le permite hacerlo efectivo en diferentes entornos. Tambi√©n es relativamente f√°cil de aplicar: todo lo que necesita es un texto en el que se motive a la v√≠ctima o incluso se la obligue a reaccionar. Sin software complicado, sin esperanza de eventos aleatorios: es ideal para cualquier categor√≠a de ciberdelincuentes.

¬ŅC√≥mo funciona la Ingenier√≠a Social?

Es importante mencionar que revisaremos los m√©todos de ingenier√≠a social utilizados en los ataques cibern√©ticos. Hay muchos otros m√©todos, pero en su mayor√≠a son similares y las diferencias generales se ocultan en la forma en que se usan. Como hemos mencionado anteriormente, los ciberdelitos con el uso del asunto se pueden realizar a trav√©s de correo electr√≥nico o como un mensaje en diferentes canales de comunicaci√≥n (mensajeros, foros, chats en el juego). Uno de los objetivos m√°s frecuentes de la ingenier√≠a social es hacer que la gente conf√≠e en ti y haga lo que dices. Eso no es algo instant√°neo y puede llevar d√≠as o incluso semanas. Pero vale la pena dedicar un cierto tiempo cuando se apunta a una gran audiencia. Es obvio que cuanta m√°s confianza ganes, mayores ser√°n las posibilidades de que la gente coma tu anzuelo. Sin embargo, cuantas m√°s personas intentes enga√Īar, m√°s tiempo necesitar√°s.

Ingeniería social

Al cometer suplantación de identidad por correo electrónico, necesita mucho menos esfuerzo para hacer que alguien le crea. No busca el contacto directo; todo lo que tiene que hacer es disfrazar su mensaje como si fuera de un remitente legítimo. Algunos analistas incluso dividen la suplantación de identidad de la ingeniería social, ya que es demasiado simple. Pero para todas las demás prácticas, necesitará mucho más trabajo. Veamos varios ejemplos de ingeniería social que tuvieron lugar en la vida real.

Ejemplos de ataques de ingeniería social:

1. Suplantación de identidad

La forma m√°s generalizada de aprovechar las t√°cticas de ingenier√≠a social, los piratas inform√°ticos utilizar√°n correos electr√≥nicos, sitios web y mensajes de texto enga√Īosos para robar informaci√≥n personal u organizacional confidencial de v√≠ctimas desprevenidas.

2. Suplantación de identidad personalizada

Esta estafa por correo electrónico se utiliza para llevar a cabo ataques dirigidos contra personas o empresas. Spear phishing es más complejo que el correo electrónico de phishing masivo promedio y requiere una investigación profunda sobre los objetivos potenciales y sus organizaciones.

Hemos mencionado la suplantaci√≥n de identidad por correo electr√≥nico como uno de los ejemplos de ingenier√≠a social elemental. Sin embargo, se produjeron casos mucho m√°s sofisticados durante diferentes ciberataques. Al infectar a la empresa a trav√©s del mensaje de correo electr√≥nico falsificado, debe trabajar mucho para que el lector crea que el mensaje y el remitente son leg√≠timos. Por ejemplo, el ladr√≥n puede presentarse como distribuidor autorizado de una determinada empresa y ofrecerte firmar un contrato con ellos. Al final, recibir√° un archivo con "t√©rminos y detalles del contrato": un documento de Word o una tabla de Excel que contiene la macro. Este √ļltimo es uno de los elementos m√°s explotables de los productos de Microsoft. Hackers agregan el script de descarga de malware a las macros; tan pronto como abra el archivo y permita las macros, su PC se infectar√°.

3. Cebo

Este tipo de ataque puede perpetrarse en línea o en un entorno físico. La víctima suele prometer una recompensa por información sensible o conocimiento de su paradero.

4. Malware

En una categor√≠a de ataques de ransomware, a las v√≠ctimas se les env√≠a un mensaje urgente y se las enga√Īa para que instalen malware en su(s) dispositivo(s). Ir√≥nicamente, una t√°ctica popular es decirle a la v√≠ctima que el malware ya se instal√≥ en su computadora y que el remitente eliminar√° el software si paga una tarifa.

Por ejemplo, Discord se convirtió en un lugar de conversación para diferentes categorías de personas. Sin embargo, la mayoría de su audiencia son jugadores y programadores. Los usuarios pueden unirse al canal para hacer preguntas en ambas categorías. Cómo configurar esto, pasar ese nivel, qué marco es el mejor: estos temas son típicos de esa red social. Y simultáneamente, las respuestas a esas preguntas pueden requerir aplicaciones especiales.

Esta √ļltima es, exactamente, la principal superficie de ataque. Puede deslizar el malware en lugar de todo el programa e infectar a muchos usuarios con un solo mensaje. Y para que todos crean que este archivo es confiable, puede aplicar la ingenier√≠a social. El grupo de delincuentes lo hizo en febrero de 2021. Una cadena de chats fue atacada desde las cuentas que estuvieron presentes durante varios meses y se consideraron confiables y leg√≠timas. Claro, los mismos ataques ocurrieron antes y despu√©s, pero nunca a una escala tan grande. Ese caso llev√≥ a la aparici√≥n del t√©rmino ‚ÄúDiscord virus‚ÄĚ.

5. Pretextos

En este ataque, el perpetrador asume una identidad falsa para enga√Īar a las v√≠ctimas para que proporcionen informaci√≥n. Los pretextos a menudo se aprovechan contra organizaciones con muchos datos de clientes, como bancos, proveedores de tarjetas de cr√©dito y empresas de servicios p√ļblicos.

6. Quid Pro Quo

Este ataque se centra en el intercambio de informaci√≥n o servicio para convencer a la v√≠ctima de que act√ļe. Normalmente, los ciberdelincuentes que llevan a cabo estos esquemas no realizan una investigaci√≥n de objetivos avanzada y ofrecen "asistencia", asumiendo identidades como profesionales de soporte t√©cnico.

7. Chupar rueda

Este ataque se dirige a personas que pueden dar acceso físico al delincuente a un edificio o área segura. Estas estafas a menudo tienen éxito debido a la cortesía equivocada de la víctima, como si le abren la puerta a un "empleado" desconocido.

8. vikingo

En este escenario, los ciberdelincuentes dejar√°n mensajes de voz urgentes para convencer a las v√≠ctimas de que deben actuar r√°pidamente para protegerse del arresto u otro riesgo. Adem√°s, los bancos, las agencias gubernamentales y las fuerzas del orden son personas com√ļnmente suplantadas en las estafas de vishing.

9. Water-Holing

Este ataque utiliza técnicas avanzadas de ingeniería social para infectar un sitio web y sus visitantes con malware. La infección generalmente se propaga a través de un sitio específico de la industria de las víctimas, como un sitio web popular que se visita regularmente.

10. Llamadas telefónicas

Probablemente hayas o√≠do hablar de la pel√≠cula El lobo de Wall Street. Describe lo que significa la ingenier√≠a social a trav√©s de llamadas telef√≥nicas. Una v√≠ctima recibe una llamada en la que se asegura comprar algo o dar dinero a la persona que llama. En los tiempos representados en la pel√≠cula (a√Īos 90), las ventas telef√≥nicas eran muy efectivas. Es bastante f√°cil asegurarle a una persona que eres un experto en una industria en particular, principalmente cuando usas muchos t√©rminos profesionales y tu discurso es muy consistente. Luego, cuando la persona cree en tu profesionalismo, presionarla para que haga lo que t√ļ quieres es sencillo.

El ejemplo m√°s notable de ingenier√≠a social por tel√©fono es la estafa de soporte t√©cnico. Apareci√≥ a finales de 2021 y hoy existe en diferentes formas. Al principio, ve el cartel aterrador sobre la ventana del navegador que dice que tiene su PC infectado y debe ponerse en contacto con el soporte. Alternativamente, esas declaraciones pueden notificarle sobre el acto legal de ver pornograf√≠a o visitar sitios web prohibidos. De todos modos, se le ofrece llamar al n√ļmero especificado en el banner.

Por teléfono, los estafadores se asegurarán de que todo lo que viste en el anuncio sea cierto. Describirán en detalle cómo sucedió y qué cosas catastróficas sucederán si no sigues sus instrucciones. Instale el "eliminador de malware" (software malicioso), transfiera la "multa" o incluso proporcione a los ladrones la información completa sobre su persona; pueden preguntar cualquier cosa a la víctima asustada.

¬ŅEs ilegal la ingenier√≠a social?

Despu√©s de los p√°rrafos anteriores, podr√≠a pensar que la ingenier√≠a social es el destino de los ciberdelincuentes y los estafadores. Sin embargo, la verdadera esencia de esta t√©cnica es solo el arte de la sugesti√≥n. En algunos casos, se puede usar con fines ben√©volos, por ejemplo, para disuadir a las personas de prohibir acciones o consumir drogas. Varias religiones son el ejemplo perfecto del uso ben√©volo de la ingenier√≠a social: abbe se asegura de que la gente act√ļe como Dios dice, por ejemplo. Esa es solo la forma de vida educada, por lo que, en la pr√°ctica, la religi√≥n gu√≠a a la parroquia por el camino correcto.

Sin embargo, seguramente se puede llamar una espada de doble filo. Mientras se formaba como benevolente, encontr√≥ la aplicaci√≥n en muchas situaciones cuestionables, a menudo incluso maliciosas. No ser√° castigado por la ingenier√≠a social tal como est√°, pero es probable que enfrente acciones legales por fraude si la usa para enga√Īar a alguien. Sin embargo, eso no impide que los ciberdelincuentes lo usen aqu√≠ y all√°.

¬ŅC√≥mo protegerse?

Esa pregunta no se puede responder de forma lineal. Cada humano tiene su nivel de credulidad. Por lo tanto, cada uno tendr√° sus formas de reflejar el intento de enga√Īo. Es por eso que decidimos describir solo los consejos m√°s b√°sicos.

  • Nunca descuide comprobar las formas alternativas. Incluso cuando alguien le ofrezca una forma muy eficaz de resolver el problema, ser√° una gran idea revisar esa forma y buscar varias otras. Posiblemente, la revisi√≥n del ofrecido destape el fraude.
  • Nunca conf√≠e en las aplicaciones ofrecidas. En las plataformas de comunicaci√≥n en l√≠nea antes mencionadas, las personas pueden ofrecer usar sus propias aplicaciones. Dado que incluso los leg√≠timos pueden activar los programas antimalware, el consejo de ignorar o desactivar el antivirus no suena como una amenaza. No obstante, sigue siendo importante asegurarse de que esa aplicaci√≥n est√© bien.
  • Piense racionalmente. Nadie le dar√° el consejo sin costo para invertir en algo o comprar el producto completo por nada. Incluso si tales ofertas pudieran ser relevantes para la √ļltima d√©cada, no son buenas en estos d√≠as. Y deben despertar a√ļn m√°s sospechas si la oferta le da una ganancia poco realista o algo as√≠. Si suena demasiado bueno para ser verdad, probablemente lo sea.
  • Revisa la informaci√≥n sobre la persona que te ofreci√≥ la cosa. Si solo tiene un n√ļmero de tel√©fono, compru√©belo. Eso podr√≠a ser suficiente para entender qu√© esperar. Internet hizo posible comprobar cada n√ļmero, y cuantas m√°s personas recibieran llamadas de este n√ļmero, mayores ser√≠an las posibilidades de ver la informaci√≥n completa sobre la persona que llama y sus intenciones.
  • Mantenga actualizado su software antivirus/antimalware: aseg√ļrese de que las actualizaciones autom√°ticas est√©n activadas o acost√ļmbrese a descargar las firmas m√°s recientes a primera hora de cada d√≠a. Verifique peri√≥dicamente para asegurarse de que se hayan aplicado las actualizaciones y analice su sistema en busca de posibles infecciones.

3 maneras en que las organizaciones evitan los ataques de ingeniería social

Las siguientes medidas pueden ayudar a evitar y prevenir ataques de ingeniería social contra su organización:

1ÔłŹ‚É£ Capacitaci√≥n de concientizaci√≥n sobre seguridad


La educación sobre seguridad debe ser una actividad constante en cualquier empresa. Los miembros del personal pueden no ser conscientes de los peligros de la ingeniería social o, si lo son, pueden olvidar los detalles con el tiempo. Por lo tanto, llevar a cabo y actualizar continuamente la conciencia de seguridad entre los empleados es la primera línea de defensa contra la ingeniería social.

Los empleados de todos los niveles en una empresa deben ser educados para evitar dar informaci√≥n por correo electr√≥nico o tel√©fono a se√Īuelos de "ventas" sobre qu√© hardware, software, aplicaciones y recursos son de uso com√ļn.

2ÔłŹ‚É£ Antivirus y herramientas de seguridad de punto final


La medida principal es instalar antivirus/antimalware y otra seguridad de punto final medidas en los dispositivos de los usuarios. Las herramientas modernas de protecci√≥n de endpoints pueden identificar y bloquear mensajes de phishing obvios o cualquier mensaje que se vincule a sitios web maliciosos o IP en bases de datos de inteligencia de amenazas. Tambi√©n pueden interceptar y detener procesos maliciosos en el dispositivo de un usuario. Si bien los ataques sofisticados est√°n dise√Īados para eludir o deshabilitar los puntos finales y los agentes AV, esos ataques tienden a dejar otros signos reveladores de un ataque exitoso.

3ÔłŹ‚É£ Pruebas de penetraci√≥n


Hay innumerables formas creativas de penetrar las defensas de una organización con ingeniería social. El uso de un hacker ético para realizar pruebas de penetración permite que una persona con el conjunto de habilidades de un hacker identifique y explote las debilidades de su organización. Cuando una prueba de penetración tiene éxito en comprometer sistemas sensibles, puede ayudarlo a descubrir empleados o técnicas que debe enfocarse en proteger o métodos de ingeniería social a los que puede ser especialmente susceptible.