Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INGENIERÍA SOCIAL
1. INTRODUCCIÓN
Cuando se habla de ciberdelincuencia, la gran mayoría de usuarios piensa en
complejos códigos maliciosos creados para atacar a una gran empresa o institución.
La ciberdelincuencia no opera generalmente de esta manera, porque requiere de una
inversión de tiempo, recursos humanos y económicos elevados.
La mayoría se centran en atacar al mayor número de víctimas, con la mayor inversión
posible. Para conseguirlo, una de las técnicas preferidas por los ciberdelincuentes es:
la Ingeniería Social. La premisa básica es que es más fácil manejar a las personas que
a las máquinas.
3. TIPOS DE ATAQUES
Los ataques de ingeniería social se pueden dividir en dos tipos dependiendo del
número de interacciones que requieran por parte del ciberdelincuente.
Hunting (caza):
Este tipo de ataques buscan afectar al mayor número de usuarios realizando,
únicamente, una comunicación. Ejemplo de ello son las campañas de phishing
Farming (cultivo):
Los ciberdelincuentes realizan varias comunicaciones con las víctimas hasta conseguir
su objetivo u obtener la mayor cantidad de información posible, como en los casos de
extorsión y suplantación
Phishing:
Busca “pescar” personas a través de un correo electrónico en el que se hacen pasar
por una persona o empresa de confianza (banco, telefonía, energía, etc) y con la
apariencia de comunicación oficial
El correo suele incluir archivos adjuntos infectados o links a páginas plagiadas o
fraudulentas. Al seguir sus instrucciones acabamos enviándoles nuestras
credenciales, datos bancarios, etc., o infectando nuestro equipo de malware
Como detectar que el correo es fraudulento:
a) La dirección del remitente es sospechosa
b) Contiene errores en logos o imágenes copiadas
c) Contiene errores ortográficos
d) Contiene errores de expresión, como en una mala traducción
e) Si llegamos a pinchar en el enlace, debemos comprobar que se trata de una
web real y segura (https y certificado correcto)
f) Pero, sobre todo, si nos piden datos confidenciales. Tu banco nunca te pedirá
por email tu contraseña, clave o coordenadas de banca electrónica, pin de
tarjeta, etc.
Wailing:
Es el phishing dirigido a “peces gordos”
Smishing:
Otra variante del phishing pero que se difunde a través de mensajes SMS, en los que
se pide llamar a un número de tarificación especial o seguir un enlace a una web falsa.
El mismo ataque también se puede realizar a través de mensajería instantánea
(WhatsApp, Facebook Messenger)
Vishing:
Llamadas telefónicas en las que el atacante se hace pasar por una organización /
persona de confianza, por ejemplo, recreando la voz automática de las entidades
bancarias
Webs maliciosas:
Que ofrecen una publicidad engañosa sobre un premio o servicio gratis que para
obtenerlo es necesario registrarse. A menudo usamos las mismas credenciales para
registrarnos en distintos sitios, por lo que posiblemente les estemos dando las de
nuestro correo o red social. Un caso muy común son las páginas de descargas de
software y contenidos.
Pop – ups:
Ventanas emergentes que piden instalar software o complementos en el ordenador,
pero que realmente esconden software malicioso. Es mejor bloquearlas.
Redes sociales:
Con el auge de las redes sociales, los ciberdelincuentes han visto en ellas un entorno
donde obtener gran cantidad de resultados de información que nosotros, los usuarios,
compartimos con otros.
Suelen emplear anuncios y páginas de fans con chollos u oportunidades únicas que
finalmente dirigen a los internautas a webs maliciosas.
Pendrives:
La infección de nuestros equipos y dispositivos también puede realizarse a través de
acciones tan sencillas e “inocentes” como insertar un pendrive USB. Existen
numerosos casos en los que se han distribuido por ciberdelincuentes en lugares
estratégicos para poder introducir malware en equipos y redes concretas. Es lo que se
llama baiting (poner un cebo), usar un cebo con software malicioso a la espera de que
sea el propio usuario quien infecte su equipo.