La Ingeniería Social: Qué es y cómo prevenir este tipo de engaños
Los Ciberataques han aumentado y la Ingeniería Social es uno de los métodos más usados por los Ciberdelincuentes. En la siguiente nota te contamos en qué consiste y te entregamos algunos consejos a seguir para prevenir.
Los ataques informáticos son pan de cada día. Las víctimas pueden ir desde personas hasta grandes empresas, los Ciberdelincuentes no discriminan. Últimamente los ataques han aumentado, debido a la contingencia y la pandemia del Covid: los atacantes utilizan pretextos relacionados a la pandemia para engañar a sus víctimas y hacer que caigan en sus estafas.
Si antes teníamos que tener cuidado, ¡ahora debemos tenerlo el doble! A los Ciberdelincuentes no les importa tocar temas delicados para engañarte, ellos aprovechan cada contingencia para usarla a su favor. Solo en la primera mitad del año 2020, hubo 15 mil millones de intentos de Ciberataques en América Latina y el Caribe, según informes de la plataforma Threat Intelligence Insider Latin America, de Fortinet.
Y una de las amenazas más comunes ha sido la Ingeniería Social. Pero, ¿sabes qué es?, ¿se puede evitar? Te lo contamos a continuación.
Ingeniería Social
Cuando hablamos de ataques informáticos y ciberseguridad, probablemente te imagines a un Hacker frente a un computador, tecleando rápidamente para poder vulnerar las debilidades tecnológicas de alguna empresa importante y poder hackearla. Pero existe otro método más sencillo, que aprovecha las debilidades humanas: la Ingeniería Social.
La Ingeniería Social es un conjunto de técnicas y metodologías que buscan generar confianza y manipular a las personas para obtener su información. Se busca obtener información valiosa de la manera más discreta y humana posible, sin que el afectado se dé cuenta que está siendo engañado.
Por lo general, los Ciberdelincuentes buscan obtener información valiosa como datos bancarios, sistemas críticos, contraseñas y claves de acceso.
Este método es efectivo para los atacantes y se sigue usando para dañar a empresas o personas particulares, ya que funciona. ¿Y sabes por qué?, porque saca ventaja de las debilidades humanas. Los seres humanos tenemos una tendencia natural a confiar.
Normalmente el atacante utilizará internet, las redes sociales, el correo electrónico o el teléfono, para engañar a su víctima, haciéndose pasar por una persona, marca o empresa conocida para persuadir a la víctima y lograr tener su información.
El Phishing es el más común
Como dijimos, la ingeniería social es un conjunto de técnicas y el Phishing es uno de los métodos más comunes utilizados por los criminales.
El Phishing es la suplantación de identidad. El Ciberdelincuente utiliza el correo electrónico para llamar tu atención. Este correo busca llevarte a un sitio web falso, por lo general de alguna institución financiera u otra entidad, que requiere de una verificación de identidad por parte tuya o de una descarga de algún archivo dudoso. Si caes, haces clic y pones tus datos o descargas el archivo, el estafador ya ganó.
Pero también existen otros métodos, como:
El Pretexting: Una situación creada por el atacante con el fin de convencerte con un pretexto para que reveles tu información. Pueden hacerse pasar por personas con una autoridad mayor a la tuya, para persuadirte a realizar una acción y revelar tu información.
Baiting: Ataque donde se utilizan dispositivos de almacenamiento extraíble, como un USB o Disco duro externo. Estos se dejan en un lugar público, fácil de encontrar, para que la víctima lo introduzca en su equipo y así puedan llegar a infectarlo.
Vishing: Aquí se hace uso de las llamadas telefónicas. Por lo general, son llamadas con pretextos de encuestas que buscan obtener alguna información personal.
Estos son solo algunos métodos y formas de realizar Ingeniería Social. También pueden llegar a ti mediante las Redes Sociales, o utilizando métodos como el Quid pro quo, que significa «algo por algo», donde tratarán de intercambiar información.
¿Cómo evitar ser una víctima de la Ingeniería Social?
La base de la ingeniería social es la persuasión y generación de confianza. Es por eso que si quieres evitar ser una víctima más de estos engaños, debes seguir las siguientes recomendaciones:
1.- Pon atención a los detalles del correo:
Si se trata de un correo electrónico, debes asegurarte de que sea de una fuente verdadera. Para eso, puedes fijarte en la dirección del correo del remitente, ya que al ser falsos suelen tener pequeñas diferencias respecto a los originales. Por ejemplo, un punto, letra de más, un cambio de orden en las letras o algo que te haga dudar.
También fíjate en la coherencia del contenido y léelo hasta el final, para comprobar que no se estén mezclando cosas diferentes.
2.- No hagas clic en enlace sospechosos y verifica la URL:
Si el correo incluye un enlace para hacer clic, NO LO ABRAS. Puedes fijarte en la dirección del enlace, en el caso de que sean páginas de instituciones financieras, también deberán de ser distintas a las oficiales: una letra de más, una forma distinta de poner el nombre, etc. Si tienes dudas, puedes entrar siempre desde un buscador seguro con el enlace oficial del sitio.
Un consejo: puedes pasar el cursos de tu mouse sobre el enlace y te aparecerá una vista previa del enlace completo. Así podrás verificar la URL completa. Poner atención a los detalles es importante.
Y si el enlace está acortado y no puedes verificarlo de la forma anterior, existe diferentes sitios web dedicados a mostrar la dirección original de una URL acortada, solo tienes que poner la dirección corta y la transformará en la URL original: Urlex y Unshorten son algunos ejemplos.
3.- No descargues nada:
A veces estos correos te envían un archivo para que lo descargues, o te mandan a un sitio para que descargues algo. Nunca, JAMÁS, descargues archivos sospechosos, cuya información no estés seguro de que sea verdad. Existe la posibilidad de que sea un potencial peligro para tu seguridad y termines con tu equipo infectado.
4.- Sentido común:
Si te llegan solicitudes u ofertas de entidades o marcas que no conoces, siempre desconfía. Pregúntate si has tenido relación con algo de lo que te envían: si no has solicitado más información y entregado tu correo para eso, si no has participado en alguna actividad relacionada a lo que te envían… no abras nada. Y si lo vas a hacer, recuerda los otros consejos de esta nota.
5.- Comprueba si el sitio tiene algún certificado de seguridad:
Si por error o descuido, ya estás dentro del sitio web del enlace, puedes fijarte en detalles como si cuenta con un certificado de seguridad, los que protegen la confidencialidad de los datos transmitidos a través de la red.
Estos pueden ser certificados SSL y se puede comprobar arriba en el buscador: si al principio de la URL hay un candado verde, es porque el sitio es seguro. Esto es un método de comprobación de seguridad del sitio solo cuando ya estás dentro, pero nuestra recomendación es nunca hacer clic en estos links extraños.
6.- Verifica la información:
Si recibes un correo con una noticia de alto impacto o con un tema de tu interés, verifica la fuente de esa información. Si es una noticia, espera a que salga en tu noticiero de confianza, búsquela en internet dentro de un navegador seguro, o pregunta a un amigo. Siempre es recomendable guiarse por información de sitios oficiales relacionados al tema, sobre todo con la contingencia actual del Covid.
7.- Preguntar siempre es una opción:
Si el mensaje parece venir desde alguna empresa conocida, escribe al área de Servicio al Cliente verificando la información que te envían. Y si es una persona conocida, escríbele y pregúntale si esa información viene de él.
Si el correo es de tu institución financiera, contacta a tu ejecutivo para confirmar la información.
Otros consejos:
- Pregúntate si la información recibida es realista.
- Nunca reveles información confidencial.
- No hagas clic en enlaces dudosos.
- No actúes rápido. Siempre vuelve a leer la información una y otra vez hasta asegurarte de que sea verídica.
- Recuerda que ninguna institución financiera te pedirá tus claves.
Confiar está bien, pero recuerda que los Ciberdelincuentes se aprovechan de esa confianza para poder engañar a sus víctimas.
El ejercicio de Ingeniería Social de ACKTIB
En ACKTIB quisimos poner a prueba a las personas mediante un ejercicio de ingeniería social, donde hicimos uso de la contingencia y tocamos un tema delicado para muchos: el COVID.
Este ejercicio constaba de tres partes. Primero un anzuelo: mediante el LinkedIn de nuestro Gerente General, publicamos el siguiente post:
Si quieres ver la interacción que tuvo, haz clic aquí.
El ejercicio generó diversas impresiones, pero cumplió su objetivo: muchos cayeron e hicieron clic en el enlace. El post en un día obtuvo más de 6.100 visualizaciones y el landing de la campaña obtuvo más de 1.900 visitas.
Posteriormente como segunda parte, lanzamos el siguiente post de aclaración, donde explicamos el objetivo de esta campaña:
Si quieres leer el post completo y ver la interacción que tuvo, haz clic aquí.
Y como tercera y última parte, en ACKTIB elaboramos esta nota de concientización para ustedes, donde informamos sobre el significado de la Ingeniería Social y entregamos consejos sobre cómo evitar caer en estos engaños.
Prevenir la Ingeniería Social es tarea de todos
Si quieres prevenir que tu negocio se vea afectado por este tipo de ataques, comienza por educar a tu equipo sobre este tema.
Si no sabes por dónde comenzar, en ACKTIB te podemos ayudar con nuestro servicio de Ethical Phishing.
Y si tu negocio busca una solución de seguridad más amplia, contamos con nuestros servicios de Seguridad & Concientización TI.
En ACKTIB queremos que tu negocio sea seguro. Por eso, si te gustó este contenido y consideras que es información útil para que más personas estén informadas sobre este tipo de riesgos, ¡te invitamos a compartir esta nota para concientizar a más personas!
¡Y comparte esta nota en tus redes sociales!