academy
Seguridad
Seguridad
Mostrar todo sobre Seguridad
Privacidad
Privacidad
Mostrar todo sobre Privacidad
Rendimiento
Rendimiento
Mostrar todo sobre Rendimiento
Seleccione el idioma
Seleccione el idioma
Avast Academy Seguridad Otras amenazas Qué es la ingeniería social y cómo evitarla

Qué es la ingeniería social y cómo evitarla

En cualquier cadena de seguridad, los humanos son generalmente el eslabón más débil. Aunque las máquinas también puedan ser engañadas, las personas son muy susceptibles de ser víctimas de tácticas manipuladoras. A estas prácticas se las conoce como ingeniería social, y los hackers han desarrollado muchos tipos de ingeniería social para tener acceso a información confidencial y robar datos, dinero y otros bienes.

What_Is_Social_Engineering-Hero

¿Qué es la ingeniería social?

La definición de ingeniería social abarca varios tipos de manipulación psicológica. En ocasiones, la ingeniería social puede tener resultados positivos, como fomentar comportamientos saludables. En términos de seguridad de la información, sin embargo, la ingeniería social a menudo se utiliza únicamente para beneficio del atacante. En estos casos, la ingeniería social implica manipulación para obtener información confidencial, como datos personales o financieros. Por tanto, la ingeniería social también puede definirse como un tipo de ciberdelito.

Hamburguer menu icon

Este artículo contiene:

    ¿Cómo funciona la ingeniería social?

    La ingeniería social se aprovecha de los sesgos cognitivos de las personas, que son como fallos en el hardware humano. Por desgracia para los seres humanos, hay muchos sesgos cognitivos que las personas malintencionadas pueden aprovechar para obtener datos personales y financieros de las víctimas delante de sus narices. Por ejemplo, la tendencia humana de confiar en personas percibidas como amables, atractivas o con alguna autoridad puede usarse en nuestra contra en ataques de ingeniería social.

    Además, las técnicas de ingeniería social aprovechan esta tendencia a la confianza en los demás. En 2018, las estafas de phishing en alquileres vacacionales, donde los hackers se hacían pasar por los caseros que ofrecían alquileres reales, fueron tan habituales que la Comisión Federal de Comercio de EE. UU. advirtió sobre ellas. En muchos casos, se piratearon los datos de contacto y las direcciones de correo electrónico de los caseros reales, de modo que las víctimas tenían pocos motivos para pensar que no estaban hablando del alquiler con el propietario real.

    ¿Por qué es tan peligrosa la ingeniería social?

    Hay algo especialmente peligroso sobre las prácticas de manipulación de ingeniería social. A menudo, las víctimas de ingeniería social no se dan cuenta de que están siendo manipuladas hasta que es demasiado tarde, y el delincuente ya ha tenido acceso a los datos confidenciales que buscaban. Si bien los sesgos cognitivos pueden favorecer la adaptabilidad, también es verdad que pueden usarse en nuestra contra. Los ataques de ingeniería social buscando información privada de los usuarios, lo cual puede conducir al robo de identidad, fraude de identidad, extorsiones y mucho más.

    Los ataques de ingeniería social a menudo aparecen como un mensaje de correo electrónico, de texto o de voz de una fuente aparentemente inofensiva.

    Las técnicas de ingeniería social aprovechan la sensación de confianza de la gente.Los ataques de ingeniería social a menudo provienen de fuentes aparentemente fiables.

    Además, no es solo su dinero lo que está en peligro: en ocasiones las calificaciones crediticias y las reputaciones en Internet se desmoronan y se acumulan las deudas en su nombre. Aunque estas situaciones pueden revertirse, pueden transcurrir semanas de gestiones interminables con empresas y organismos para limpiar su nombre. Usar software antivirus ayuda, pero no consigue que su cerebro esté a prueba de ataques. La mejor manera de protegerse frente a ataques de ingeniería social es aprender a reconocerlos en cuanto los vea y evitarlos todo lo posible.

    Si cree que sido víctima de un ataque de ingeniería social y alguien ha tenido acceso a sus datos personales, Avast BreachGuard puede ser de ayuda. BreachGuard analiza la web oscura para comprobar si sus datos personales se han filtrado y le orientará sobre cómo actuar en caso de que así haya sido. 

    Si su información acaba en bases de datos de corredores de datos, Avast BreachGuard le ayudará a eliminarla y a evaluar sus protocolos de seguridad para asegurarse de que no vuelva a ocurrir. Protéjase frente a ataques de ingeniería social. Consiga BreachGuard hoy mismo y empiece a levantar sus defensas digitales inmediatamente.

    ¿Cómo son los ataques ingeniería social?

    ¿Alguna vez ha sido víctima de la ingeniería social? Quizá no se haya dado cuenta, porque los ataques de ingeniería social pueden ser de muchos tipos. En el contexto de seguridad de la información, los ataques de ingeniería social a menudo aparecen como un mensaje de correo electrónico, de texto o de voz de una fuente aparentemente inofensiva. Puede pensar que es capaz de detectar un mensaje de correo electrónico sospechoso por su cuenta, pero los atacantes se han vuelto más sofisticados.

    Algunos ataques ingeniería social famosos incluyen el ciberataque en 2014 a Sony Pictures, el pirateo del correo electrónico en 2016 del Partido Demócrata estadounidense y el pirateo de las criptomonedas de Ethereum Classic en 2017, cuando los hackers se hicieron pasar por el propietario de Classic Ether Wallet y robaron miles de dólares en criptomonedas. 

    Más recientemente, Twitter se convirtió en el centro de ataques de ingeniería social cuando las cuentas de Barack Obama, Bill Gates, Elon Musk y otros fueron pirateadas para solicitar bitcoines a sus seguidores. Estos casos demuestran que incluso las organizaciones y las personas que deberían tener defensas sofisticadas frente a ciberataques pueden ser víctimas de ingeniería social.

    Ingeniería social en Internet

    La ingeniería social puede ocurrir en persona, por teléfono o en Internet. Actualmente, la ingeniería social sucede frecuentemente en Internet, a menudo mediante ataques de correo electrónico o incluso estafas en redes sociales, en las que los atacantes fingen ser un contacto de confianza o una figura de autoridad para manipular a las personas y conseguir sus datos confidenciales. 

    En contra de lo que el término «ingeniería» sugiere, los ingenieros sociales no tiene necesitan muchas conocimientos técnicos. De hecho, la ingeniería en redes sociales es tan sencilla como crear una cuenta, ya que no se trata tanto de piratear máquinas, sino de piratear personas, engañándolas para que revelen la información que desean los hackers.

    Además, las redes sociales han ayudado a los ingenieros sociales a ser más habilidosos, creando perfiles falsos que parecen ser reales, o incluso suplantando a personas reales. Por este motivo, es importante estar alerta ante perfiles extraños o desconocidos en redes sociales.

    Tipos habituales de ataques de ingeniería social 

    Los casos de ingeniería social pueden ser difíciles de identificar, pero eso no significa que sea imposible detectar estas estafas. Hay casi tantos tipos de ataques de ingeniería social como sesgos cognitivos, y algunos incluso aparecen en las noticias de vez en cuando. Ya hemos mencionado algunos ejemplos famosos de ataques de ingeniería social. Ahora, revisemos las técnicas de ingeniería social más habituales que existen.

    Icon_01Spam en el correo electrónico

    El spam en el correo electrónico es uno de los tipos de ingeniería social más antiguos en Internet y es responsable de prácticamente toda la basura que llega a su bandeja de entrada. En el mejor de los casos, el spam en el correo electrónico es molesto. En el peor de los casos, se trata de una estafa para obtener sus datos personales. Muchos servidores de correo electrónico revisan los mensajes automáticamente en busca de spam malicioso, pero el proceso no es perfecto y a veces llegan mensajes peligrosos a su bandeja de entrada.

    Icon_02Phishing

    Análogamente al spam en el correo electrónico, el phishing generalmente se lleva a cabo a través del correo electrónico, pero siempre parece ser legítimo. El phishing es un tipo de ataque de ingeniería social en el que los mensajes parecen provenir de una fuente fiable y están diseñados específicamente para engañar a las víctimas y que revelen sus datos personales o financieros. Después de todo, por qué habría de dudar de la autenticidad de un mensaje que provenga de un amigo, un familiar o una tienda que visitamos a menudo? Las estafas de phishing se aprovechan deliberadamente de esta confianza.

    Icon_03Baiting

    Los ataques de ingeniería social no siempre tienen su origen en Internet: también pueden empezar fuera de las redes. El baiting se refiere al caso en el que un atacante deja un dispositivo infectado con malware (por ejemplo, una unidad USB) en algún lugar fácil de encontrar. Estos dispositivos suelen tener etiquetas provocativas para crear curiosidad. Si alguien especialmente curioso (o quizá avaricioso) lo recoge y lo conecta a su equipo, este podría infectarse con malware. Obviamente, nunca es buena idea tomar unidades flash desconocidas y conectarlas a su dispositivo.

    Icon_04Vishing

    El vishing, también conocido como phishing por voz, es un tipo sofisticado de ataque de phishing. En estos ataques, se suplanta un número de teléfono para que parezca legítimo, de modo que los atacantes se hacen pasar por técnicos, compañeros de trabajo, personal de informática, etc. Algunos atacantes incluso usan filtros de voz para enmascarar su identidad.

    Icon_05Smishing

    El smishing es un tipo de ataque de phishing que toma la forma de mensajes de texto, o SMS. Habitualmente, estos ataques piden a la víctima que realice alguna acción inmediata a través de vínculos maliciosos en los que hacer clic o números de teléfono a los que llamar. A menudo, solicitan a las víctimas que revelen información personal que los atacantes pueden usar para beneficio propio. Los ataques de smishing suelen transmitir una sensación de urgencia y se aprovechan de la confianza de las personas en los mensajes de sus smartphones para que actúen rápidamente y sean víctimas de un ataque.

    Icon_06Pretexting

    El pretexting es un tipo de ataque de ingeniería social en el que los atacantes se hacen pasar por otra persona para obtener datos personales. Los ataques de pretexting pueden suceder en Internet o fuera de las redes, y ahora es más fácil que nunca que estos delincuentes investiguen y espíen a las posibles víctimas para crear una historia (o pretexto) creíble con la que engañarlas.

    Los ataques de pretexting son unos de los más eficaces porque pueden ser los más difíciles de detectar. A menudo, los atacantes investigan mucho para hacerse pasar por personas legítimas. No es fácil detectar los engaños detrás del pretexting, de modo que deberá tener mucho cuidado cuando transmita información confidencial a extraños, incluso a representantes de servicio al cliente, técnicos de informática y otras personas que pueden parecer legítimas.

    Estos son únicamente los tipos más habituales de ataques ingeniería social que se utilizan para tener acceso a los datos personales de las víctimas. Los atacantes siempre encuentran nuevas maneras de engañar a las personas y a las máquinas, especialmente con ataques de ingeniería social tan antiguos como el spam en el correo electrónico y el pretexting.

    En Avast, estamos siempre pendientes de estas amenazas cambiantes en Internet y actualizamos inmediatamente Avast Free Antivirus en cuanto se descubre una nueva amenaza. Además, nuestro Escudo Web antiphishing se asegurará de que no acabe en una página de phishing inadvertidamente.

    ¿Quién corre mayor riesgo?

    Todas las personas pueden ser víctimas de ingeniería social. Todos tenemos nuestros propios sesgos cognitivos y no siempre somos conscientes de ellos. Algunos grupos son especialmente vulnerables, como las personas mayores que puedan tener menos conocimientos técnicos, a menudo participar en menos interacciones humanas y percibirse como poseedores de dinero y bienes que sustraer. Sin embargo, los conocimientos técnicos por sí solos no pueden proteger a las personas frente a la manipulación psicológica, ni siquiera en un entorno empresarial.

    Cómo evitar la ingeniería social

    Una vez que cae en las redes de un ingeniero social, puede ser difícil librarse de ellas. La mejor manera de evitar los ataques de ingeniería social es saber cómo detectarlos. Afortunadamente, no necesita ser un experto en tecnología para seguir buenas prácticas de ingeniería social. Lo único que necesita es su intuición y sentido común.

    Icon_07Instale software antivirus de confianza

    Puede ahorrarse el tiempo y las molestias de tener que comprobar las fuentes gracias a software antivirus de confianza capaz de detectar mensajes o páginas web sospechosos. Avast Free Antivirus detecta y bloquea malware e identifica posibles ataques de phishing antes de que tengan la oportunidad de actuar sobre usted.

    Icon_08Cambie la configuración de spam en el correo electrónico

    También puede ajustar su configuración del correo electrónico para fortalecer los filtros de spam si estos mensajes aparecen en su bandeja de entrada. Dependiendo del cliente de correo electrónico que utilice, el procedimiento podría ser ligeramente distinto, así que lea nuestra guía para evitar spam en el correo electrónico.

    Icon_09Investigue la fuente

    Si recibe un mensaje de correo electrónico, un SMS o una llamada telefónica de una fuente no conocida, busque esa dirección o ese número de teléfono en un motor de búsqueda para ver qué aparece. Si forma parte de un ataque de ingeniería social, el número o la dirección de correo electrónico puede haberse identificado como tal previamente. Incluso si el remitente parece legítimo y así lo intenta asegurar, compruébelo de todos modos, porque la dirección de correo electrónico o el número de teléfono podrían ser ligeramente diferentes a los de la fuente real, y podrían estar vinculados a una página web no segura.

    Icon_10Si algo parece demasiado bueno para ser cierto, seguramente sea falso

    ¿Recuerda el reciente ataque en Twitter mencionado más arriba? El resultado fue que famosos como Elon Musk y Bill Gates parecía que estaban enviando mensajes para dar miles de dólares en bitcoines si los seguidores les daban tan solo mil. 

    Parece bastante claro que famosos regalando miles de dólares en bitcoines suena demasiado bueno para ser verdad. En este tipo de ataque de ingeniería social, la intención y sentido común pueden ser muy útiles. No se fíe de ofertas que prometen grandes recompensas a cambio de algo de dinero o información. Y, si la solicitud parece venir de alguien que conoce, pregúntese «¿De verdad me pediría esta información de este modo? ¿De verdad compartiría este enlace conmigo?».

    Protéjase frente a ataques de ingeniería social

    En lo que se refiere a los ataques de ingeniería social, prevenir es mejor que curar. Y, en muchos casos, no hay más cura para la ingeniería social que no sea cambiar las contraseñas y asumir las pérdidas económicas con toda la dignidad posible. No obstante, por muy poderoso que sea el cerebro humano, a veces puede fallar.

    Es ahí donde Avast Free Antivirus entra en juego para proteger su sistema. Avast Free Antivirus usa analíticas inteligentes para detectar y bloquear los virus antes de que puedan infectar sus dispositivos. Además, analizará archivos sospechosos antes de que los abra inadvertidamente y ayudará a solucionar problemas en su propio sistema. ¿Lo mejor de todo? Avast Free Antivirus incluye un Escudo Web dedicado exclusivamente a la protección antiphishing para que nunca sea víctima de ingeniería social desde su bandeja de entrada. No pierda más tiempo. Empiece a protegerse hoy mismo.

    Proteja su Android frente a amenazas

    gratis con Avast Mobile Security

    INSTALACIÓN GRATUITA

    Proteja su iPhone frente a amenazas

    gratis con Avast Mobile Security

    INSTALACIÓN GRATUITA