Formas de ingeniería social

La ingeniería social es un tipo de fraude que consiste en utilizar la manipulación psicológica para intentar extraer información de las personas.

Utilizando estos métodos, los ciberdelincuentes pretenden manipular a las víctimas, intentando lograr que estas personas hagan lo que ellos quieren.

Su finalidad suele ser obtener información confidencial, o acceder a los equipos informáticos de las víctimas.

La ingeniería social puede adoptar distintas formas, y los avances tecnológicos propician que, cada cierto tiempo, aparezcan nuevos tipos.

Nos vamos a centrar en algunas de sus principales formas, intentando aclarar en qué consiste cada una.

Puedes leer otras entradas de nuestro blog donde tratamos sobre el tema en los siguientes enlaces:

https://omega2001.es/ingenieria-social/

https://omega2001.es/como-evitar-el-phishing-y-otros-mails-fraudulentos/

Formas de ingeniería social

Dentro de la ingeniería social, podemos distinguir dos grupos:

Hunting: son ataques que buscan afectar al mayor número de usuarios con la menor exposición posible, con una sola comunicación (ej. Phishing).

Farming: se busca mantener el engaño el mayor tiempo posible, intentando obtener una gran cantidad de información (ej. coaccionar a la víctima con un supuesto vídeo íntimo o con borrar los datos de su empresa).

Las formas más utilizadas de ingeniería social son las siguientes:

1/ Phishing

Es una de las formas de ingeniería social más conocidas y utilizadas actualmente.

Suele consistir en la utilización del correo electrónico o mensajes de texto suplantando a alguna figura de autoridad, banco, organismo público, etc.… con el fin de conseguir determinada información.

Se hacen pasar por alguna de estas figuras, y suelen transmitir una sensación de urgencia, para provocar que la víctima actúe sin pensar, al tener que actuar de inmediato.

La información que persiguen puede ser tu usuario y contraseña de acceso, el número y las claves de tu cuenta bancaria…

2/ Spear phishing

En este caso, el ataque va dirigido a los empleados de una determinada empresa u organización.

El cibercriminal investiga los intereses de un empleado, mediante la información que le proporcionan las búsquedas que hace en Internet, y sus perfiles en redes sociales.

Una vez que conoce a la víctima, comienza a enviarle correos electrónicos de temas que le puedan interesar, con el fin de conseguir que haga clic en un vínculo malicioso.

Si consigue su objetivo, el software malicioso se instala en el equipo, pudiendo propagarse fácilmente a otros equipos dentro de la red de la empresa.

3/ Vishing

Mediante llamadas telefónicas, y suplantando a algún organismo o compañía de servicios, se pretende engañar a la víctima para conseguir determinada información privada.

4/ Smishing

La víctima recibe un mensaje de texto donde se le pide que haga clic en un enlace o que descargue una aplicación. Al hacerlo, se puede descargar en tu teléfono móvil un malware que puede captar tu información personal.

5/ Estafas en Redes Sociales

Tratan de ganarse la confianza de sus víctimas y engañarlas mediante la creación de perfiles falsos.

6/ Baiting

Consiste en dejar en un lugar determinado memorias externas con algún tipo de malware, para que alguien la encuentre, e infecte su equipo al insertar el pendrive.

7/ Shoulder Surfing

El ciberdelincuente espía por encima del hombro a un usuario descuidado, para ver el patrón de desbloqueo, el pin o alguna contraseña que esté escribiendo.

8/ Tailgating

Simulando haber perdido la tarjeta de acceso, y valiéndose de la solidaridad de alguien, consiguen entrar en un área restringida u organización sin autorización.

9/ Dumpster Diving

Se trata de buscar entre la basura documentos o papeles con información personal o financiera que la víctima haya tirado.

10/ Pretexting

Se hacen pasar, por ejemplo, por un empleado del soporte informático de la empresa en la que trabaja la víctima.

Utilizando un pretexto, como puede ser la necesidad de instalar un software en su ordenador, podrá tomar el control de ese equipo, y aprovechar para instalarle algún tipo de programa malicioso.

Ante estos ataques, el mejor consejo que se puede aplicar es el sentido común, y asegurarse bien de la procedencia de los mensajes, llamadas, etc.… antes de realizar cualquier acción que pueda comprometer tus datos personales.