Un ataque de ingeniería social se utiliza cuando un atacante humano utiliza sus habilidades sociales para obtener o comprometer información sobre una organización o sus sistemas informáticos.
Posiblemente afirmando ser un nuevo empleado, una persona de reparaciones o un investigador, e incluso ofreciendo credenciales para respaldar esa identidad. Sin embargo, al hacer preguntas, puede ser capaz de reunir suficiente información para infiltrarse en la red de una organización.
Si un atacante no es capaz de reunir suficiente información de una fuente, puede ponerse en contacto con otra fuente dentro de la misma organización y confiar en la información de la primera fuente para aumentar su credibilidad.
Tipos de ataques de ingeniería social
- Baiting. Un atacante deja un dispositivo físico infectado con malware, como una unidad flash de bus serie universal, en un lugar en el que seguramente será encontrado. El objetivo coge el dispositivo y lo inserta en su ordenador, instalando involuntariamente el malware.
- Phishing. Cuando una parte maliciosa envía un correo electrónico fraudulento disfrazado de correo legítimo, a menudo pretendiendo ser de una fuente de confianza. El mensaje pretende engañar al destinatario para que comparta su información financiera o personal o haga clic en un enlace que instala el malware.
- Spear phishing. Es como el phishing, pero el ataque está dirigido a una persona u organización específica.
- Vishing. También conocido como phishing de voz, el vishing implica el uso de ingeniería social por teléfono para obtener información financiera o personal del objetivo.
- Whaling. Un tipo específico de ataque de phishing, un ataque de whaling se dirige a empleados de alto perfil, como el director financiero o el director ejecutivo, para engañar al empleado objetivo para que revele información sensible.
¿Cómo prevenir ataques de ingeniería social?
Existen algunas maneras de evitar este tipo de ataques, aquí algunas recomendaciones:
- Piensa antes de hacer clic: ¡En los ataques de phishing los atacantes emplean un sentido de urgencia para que usted actúe primero y piense después. Cuando recibas un mensaje muy urgente y de alta presión, asegúrate de tomarte un momento para comprobar primero si la fuente es creíble. La mejor manera es utilizar otro método de comunicación diferente al de la procedencia del mensaje, como enviar un mensaje de texto a la persona para ver si le ha enviado un mensaje urgente por correo electrónico o si es de un atacante. Más vale prevenir que lamentar.
- Investiga las fuentes: ten siempre cuidado con los mensajes no solicitados. Comprueba los enlaces del dominio para ver si son reales, y comprueba si la persona que te envía el correo electrónico es un miembro real de la organización. Por lo general, un error tipográfico u ortográfico es una pista falsa. Utiliza un motor de búsqueda, entra en la página web de la empresa o consulta su guía telefónica. Todas estas son formas sencillas y fáciles de evitar la suplantación de identidad. Pasar el cursor por encima de un enlace antes de hacer clic en él revelará el enlace en la parte inferior, y es otra forma de asegurarse de que se le redirige al sitio web correcto de la empresa.
- La falsificación del correo electrónico es omnipresente: los ciberdelicuentes, los spammers y los ingenieros sociales quieren conseguir su información y se hacen con el control de las cuentas de los usuarios. Una vez que obtienen acceso, se aprovechan de sus contactos. Incluso cuando el remitente parece ser alguien conocido, sigue siendo una buena práctica comprobar si no esperas que te envíen enlaces o archivos por correo electrónico.
- No descargues archivos que no conoces: Si no conoces al remitente, no esperas nada del remitente y no sabes si debes ver el archivo que te acaban de enviar con «URGENTE» en el encabezado del correo electrónico, lo más seguro es no abrir el mensaje en absoluto. De este modo, eliminas el riesgo de ser una amenaza interna.
- Las ofertas y los premios son falsos: si recibes un correo electrónico de un príncipe nigeriano prometiendo una gran suma de dinero, lo más probable es que sea una estafa.
¿Cómo proteger a tu empresa?
En Access Quality, contamos con soluciones para la protección y prevención de amenazas.
Escríbenos a ventas@accessq.com.mx o en la Ciudad de México: // +52 55 1654 9001 y un especialista te dará más información sobre la mejor solución para tu empresa.