Ingeniería social: ataques habituales y cómo esquivarlos

La ingeniería social es el arte del engaño. Utiliza técnicas de manipulación de la naturaleza humana para que realices alguna acción y el ciberdelincuente consiga su objetivo. Normalmente, este tipo de ataques apelan a los sentimientos y emociones de las personas, y a 4 principios básicos de nuestro comportamiento:

1. Nuestra tendencia es la confianza hacia el otro.
2. A todos nos gusta que nos alaben.
3. No nos gusta decir NO.
4. Todos queremos ayudar.

La ingeniería social está en evolución constante, siempre innovando, perfeccionando sus trucos y creando nuevos ataques para hacerte caer en su trampa. Repasamos los más habituales, desde los más populares a los de nuevo cuño:

• Phishing: el ataque de ingeniería social por excelencia. Buscan “pescar” víctimas, generalmente por correo electrónico, suplantando la identidad de una empresa o persona de confianza para obligarte a hacer lo que quieren. Recuerda que el phishing puede “pescarte” por cualquier medio y dispositivo, incluido el Internet de las Cosas. Más información en esta guía para identificarlo.

• Business Email Compromise (phishing corporativo): variante del phishing por correo electrónico donde el remitente suplanta a un superior o compañero de tu empresa para conseguir su objetivo. Un ejemplo sería el Fraude del CEO.

• Smishing: variante del phishing que se difunde a través de SMS. Son bastante habituales los que suplantan a Correos y a la Seguridad Social con pretextos relacionados con falsas ayudas y subsidios.

• Vishing: variante del phishing que actúa a través de llamadas telefónicas. El atacante suplanta a una organización o persona de confianza para timar a la víctima o hacer que revele información confidencial.

• Sextorsión: chantaje donde amenazan a la víctima con difundir contenido comprometido de carácter sexual si no accede a la petición del ciberdelincuente.

• Baiting: emplea un cebo con software malicioso, por ejemplo, una memoria USB, para que sea la propia víctima quien lo conecte a su dispositivo y lo infecte. Nunca conectes dispositivos extraíbles que encuentres por casualidad, ni aunque tengan el logotipo de tu empresa o quieras devolverlos a su propietario.

• Shoulder surfing: mirar por encima del hombro, espiar, observar lo que una persona escribe o lo que aparece en la pantalla de su dispositivo para capturar información útil.

• Dumpster diving: el viejo truco de los paparazzi, husmear en la basura para obtener documentos con información personal o financiera, o indicios de hábitos de las personas.

• Quid pro quo: acciones que prometen un beneficio o una compensación en forma de regalo a cambio de entregar tu información personal, por ejemplo, rellenando un formulario. Pueden prometer merchandising de una marca, cupones descuento, acceso exclusivo a un evento…

• Redes sociales: la ingeniería social suele recurrir a cupones descuento, sorteos, juegos… cualquier formato en el que creas que puedes ganar algo… a cambio de tu información. Esta es una fórmula especialmente habitual (¡y eficaz!) en redes sociales.

• Brushing: engaño relacionado con el comercio electrónico. La persona recibe en su casa un paquete no solicitado de una empresa. La empresa vendedora crea una cuenta de usuario falsa, suplantando la identidad de la persona que ha recibido el paquete. Con ella escribe un comentario positivo y califica el producto con la máxima puntuación. Esta acción, multiplicada por cientos o miles de casos, hace que el atacante consiga su objetivo: mejorar el posicionamiento del producto en los escaparates virtuales.

Como decíamos, la ingeniería social es todo un arte, pero no es invencible. Si no puedes con el enemigo, fíjate en sus pistas y esquívalo:

• Verifica siempre el remitente de los correos electrónicos, los atacantes utilizan direcciones falsas y suelen camuflarlas. Ante la duda, no hagas clic en ningún enlace, no abras archivos adjuntos, no descargues ningún software y no respondas al mensaje, repórtalo a través del correo “csirtcv@gva.es” o elimínalo.

• Desconfía de los correos con archivos adjuntos sospechosos, en especial si contienen supuestas facturas no solicitadas o impagadas. Llama siempre por teléfono al remitente (consulta los datos de contacto oficiales, no los del correo) para comprobar su autenticidad. Ante la duda, no descargues ni abras ningún adjunto.

• ¿Popularidad inesperada? No agregues en tus redes sociales a contactos que no conoces de nada, pueden estar recopilando tu información para suplantar tu identidad u otros propósitos ilícitos.

• Atención a la desinformación: algunos partidos políticos utilizan las redes sociales para sesgar tu opinión y ganar votos, verifica siempre las noticias y no propagues bulos. Infórmate bien antes de emitir tu voto o difundir una noticia “sospechosa”.

• No compartas tus contraseñas, los atacantes pueden hacerse pasar por otras personas de la organización para acceder a tus credenciales.

• Utiliza la verificación en dos pasos, así, aunque consigan tu contraseña no podrán acceder a tu cuenta, ya que se requiere una segunda acción de verificación.

• Evita hacer clic en enlaces que te llevan al inicio de sesión de una web, podría ser un clon de la auténtica, diseñada para robar tus contraseñas.

• Los atacantes puede crear redes wifi fraudulentas con el mismo nombre que las originales y acceder a tus datos de navegación. ¡Evita las redes públicas!

• Sé original con las preguntas de seguridad de recuperación de contraseñas: solo tú debes saber la respuesta. Preguntas y respuestas, cuanto más creativas mejor.

• Descarga tu software y aplicaciones de fuentes oficiales, evita las descargas pirata o a través de enlaces no comprobados. Desactiva las descargas automáticas en tus dispositivos.

• Protege tus datos, no reveles información personal ni profesional en formularios de Internet, sorteos, llamadas telefónicas o conversaciones en público. Nunca sabes quién está al otro lado.

• Si compras por Internet, hazlo en tiendas oficiales. Utilizar PayPal para pagar ofrece más seguridad al comprador. ¡Cuidado con descuentos y regalos! Si parece demasiado bueno para ser cierto, probablemente es una trampa.

ConcienciaT más:

• Toma nota de los 7 errores de ciberseguridad que no deberías cometer.
• Protégete aún mejor sacando la “basura” de tus dispositivos: guía contra el spam.