Técnicas de Ingeniería Social

La Ingeniería Social se manifiesta de muchas maneras y formas.

Ataques fuera de la red.

Vishing (voice phishing)

Ataques de Ingeniería Social que se realizan por teléfono, consiste en alguien que se presenta
como compañero de trabajo o una autoridad fiable que pregunta directamente por la
información que está buscando.
Ejemplo, un extraño educado que cuenta con su amabilidad para entrar en su edificio de
oficinas y adquirir la información que necesitan en persona.

Tailgating
Se basa en la confianza humana para brindar al delincuente acceso físico a un edificio o área
segura.

Ataques en la red.
En la Ingeniería Social online, existen cinco tipos comunes incluyen los siguientes:

Phishing
Tácticas incluyen correos electrónicos, sitios web y mensajes de texto engañosos para robar
información.

Spear Phishing
Mientras que la mayoría de las campañas de phishing implican el envío masivo a tantas
direcciones de email aleatorias como sea posible, spear phishing tiene como objetivo
específico a grupos o individuos. Los hackers, también conocidos como phishers, utilizarán las
redes sociales para compilar información sobre sus objetivos, en ocasiones llamados lanzas,
con el fin de ser capaces de personalizar sus emails de phishing, y hacerlos parecer más
realistas y más posibles de funcionar.
Con el esfuerzo de hacer parecer sus ataques incluso más realistas, los phishers se presentarán
como amigos, compañeros empresariales o como alguna institución externa que está
relacionada con la víctima de algún modo. Por ejemplo, un phisher puede presentarse como
representante del banco de la víctima y pedirle que entregue la información que están
buscando. Además, también pueden usar el logotipo oficial y el aspecto del banco en cuestión
para hacer más difícil que la víctima pueda descubrir que el mensaje no es genuino.

Baiting
El baiting es diferente a la mayoría de los tipos de Ingeniería Social online en el sentido de que
también implica un componente físico. Tal y como sugiere el nombre, el baiting implica un
señuelo físico que la víctima tiene que morder para que el ataque sea exitoso. Por ejemplo, el
hacker puede dejar un USB infectado con malware en el escritorio de la víctima, con la
esperanza de que muerda el anzuelo y lo conecte a su computadora. Para aumentar sus
posibilidades de éxito, el hacker también puede etiquetar el USB con “importante” o
“confidencial”.
Si la víctima muerde el anzuelo y conecta el USB en su computadora, este instalará
inmediatamente el software malicioso en su PC. Esto, en cambio, dará al hacker una visión de
su actividad online y fuera de la red, así como el acceso a sus archivos y carpetas. Si el
computadora es parte de una red, el hacker también obtendrá acceso instantáneo a todos los
demás dispositivos que componen esa red.

Malware
Se engaña a las víctimas haciéndoles creer que el malware está instalado en su computadora y
que si pagan, el malware se eliminará.

Pretexting
El pretexting implica el uso de un pretexto cautivador diseñado para atraer la atención del
objetivo e involucrarlo para que caiga. Una vez están inmersos en la historia, el hacker que se
esconde detrás del ataque intentará embaucar a la potencial víctima para que le entregue
información valiosa. Este tipo de Ingeniería Social se observa a menudo en las llamadas estafas
por email nigerianas que le prometen mucho dinero si les entrega los detalles de su cuenta
bancaria. Si usted cae víctima del engaño, no solo no verá un centavo, sino que es posible que
pierda el dinero de su cuenta.

Spamming de Contactos
El spamming de contactos es tal vez la forma más extendida de Ingeniería Social online. Tal y
como sugiere su nombre, los hackers usan este método para enviar mensajes de spam a todos
los contactos de sus víctimas. Esos emails se enviarán desde la lista de contactos de la víctima,
lo que significa que parecerán más realistas a los receptores. Más aún, tienen muchas menos
probabilidades de acabar en la carpeta de spam de su correo.
Este método funciona de forma muy sencilla. Si usted ve un email que le envía un amigo con
un asunto informal (por ejemplo, ¡mira esto!) es posible que lo abra y encuentre un enlace de
texto. El enlace normalmente está acortado, no hay forma de ver qué es si no se hace click en
él. Sin embargo, si hace click sobre el enlace, una copia exacta del email se enviará a todos sus
contactos, y por lo tanto continuará la cadena de spam. Además, el enlace puede llevarle a una
página web maliciosa y descargar spyware o algún otro software maligno en su computadora.

Quid Pro Quo

Del latín “un favor por otro favor”, quid pro quo es un tipo de Ingeniería Social que implica el
intercambio de favores y servicios entre el hacker y su víctima inocente. Frecuentemente, los
hackers se presentarán como los técnicos del servicio informático y le pedirán sus datos de
registro, para que puedan realizar un supuesto examen de seguridad muy importante.
Además, también pueden pedirle que desactive su software antivirus o que instale un
programa que le envíen, y por lo tanto permitirles el acceso a su computadora y darles la
oportunidad de instalar malware.

Tailgating
Se basa en la confianza humana para brindar al delincuente acceso físico a un edificio o área
segura.

Water-Holing
Un ataque watering hole o ataque de abrevadero es un tipo de ataque cibernético, en el que
un atacante observa a la víctima de los sitios web o un grupo en particular visita de forma
regular e infecta esos sitios con malware. Un ataque watering hole tiene el potencial de
infectar a los miembros del grupo de víctimas objetivo.
El malware utilizado en los ataques de abrevadero generalmente recopila la información
personal del objetivo y la envía de vuelta al servidor C&C operado por el atacante. A veces, el
malware también puede dar a los atacantes acceso completo a los sistemas de las víctimas.

Ejemplos de ataques de Ingeniería Social

Algunos de los ataques de Ingeniería Social más grandes de los últimos años incluyen los
siguientes:
2017, más de un millón de usuarios de Google Docs recibieron el mismo email de
phishing que informaba de que uno de sus contactos estaba intentando compartir un
documento con ellos. Hacer click en el enlace les llevaría a una página falsa de registro
de Google Docs, donde muchos de los usuarios introdujeron sus datos de registro de
Google. Esto, en cambio, dio a los hackers el acceso a más de un millón de cuentas de
Google, entre emails, contactos, documentos online y copias de seguridad de
smartphones.
2007, el tesorero de Michigan cayó en la trampa de una estafa nigeriana de pretexting
que implicaba a un príncipe ficticio que quería escapar de Nigeria, pero necesitaba
ayuda para transferir su fortuna fuera del país. En unos meses, el tesorero hizo varios
pagos de un total de 185.000 dólares (72.000 dólares de su propio dinero) a los
hackers que estaban detrás de esta estafa. Más tarde fue revelado que el resto de los
fondos vino de los 1.2 millones de dólares que había desfalcado durante 13 años de
servicio público.
2013, los hackers consiguieron robar los detalles de las tarjetas de crédito de más de
40 millones de clientes de Target. De acuerdo con los datos oficiales, los hackers
primero investigaron al servicio subcontratado de aire acondicionado de la importante
cadena de grandes almacenes y atacaron a sus empleados con emails de phishing. Esto
permitió a los hackers acceso a las redes de Target y robar la información de los pagos
de los clientes. Aunque el perpetrador nunca fue capturado, Target tuvo que pagar
18.5 millones de dólares en 2017 para resolver las denuncias estatales.
Cómo protegerse de los ataques de Ingeniería Social
Como los hackers que están detrás de las estafas de Ingeniería Social casi siempre confían en la
amabilidad y voluntad de ayudar de sus víctimas, la mejor manera de protegerse es ser más
desconfiado en el entorno online. Aunque usar el mejor software antivirus sea realmente
importante, también necesita ser muy cuidadoso en internet.
Si alguien le envía un email y dice que es uno de sus proveedores o socios comerciales, debería
llamar a su oficina antes de responder a su email o abrir cualquier enlace o archivo adjunto
que puedan contener. También si un email supuestamente enviado por su amigo parece
sospechoso, llame a su amigo para asegurarse de que fue él quien se lo envió. Con quien sea
que intercambie mensajes, nunca revele los datos de su tarjeta de crédito, los detalles de su
cuenta bancaria, el número de la Seguridad Social o cualquier otra información personal, en un
email.
Aparte de su manipular sus emociones, los hackers a menudo intentarán hacerle instalar
software maligno en su computadora. Dependiendo del tipo de software, puede permitirles
monitorizar su actividad, copiar y eliminar sus archivos y otros datos, así como robar sus
contraseñas, detalles de la tarjeta de crédito y cualquier otra información sensible. Para
prevenir esto, debería usar el mejor software antivirus que puede encontrar y eliminar
fácilmente software malicioso y mantener su computadora protegido de todas las potenciales
amenazas.