La ingeniería social es una técnica utilizada por los atacantes para manipular a las personas y obtener información confidencial o acceso a sistemas protegidos. En lugar de depender de vulnerabilidades técnicas, la ingeniería social explota la psicología humana. A continuación, se describen algunos de los ataques más comunes de ingeniería social, con explicaciones técnicas y ejemplos prácticos.
1. Spam
Spam es el envío masivo de mensajes no solicitados, generalmente por correo electrónico, con fines publicitarios o maliciosos. Estos mensajes pueden contener enlaces a sitios web peligrosos o adjuntos infectados con malware.
Características Técnicas:
- Volumen masivo: Los spammers envían millones de correos a la vez.
- Filtros de spam: Los servicios de correo electrónico utilizan algoritmos para detectar y filtrar estos mensajes.
Ejemplo:
Un usuario recibe un correo electrónico no solicitado que ofrece un producto milagroso. Al hacer clic en el enlace, es redirigido a un sitio web falso que intenta robar su información personal.
2. Phishing
Phishing es una técnica en la que un atacante se hace pasar por una entidad confiable para engañar a la víctima y obtener información confidencial, como contraseñas o números de tarjetas de crédito.
Características Técnicas:
- Simulación de sitios legítimos: Los atacantes crean páginas web casi idénticas a las originales.
- Correos electrónicos engañosos: Utilizan logotipos y lenguaje similar al de la empresa legítima.
Ejemplo:
Un correo electrónico que parece ser de un banco solicita al usuario que confirme su información de cuenta haciendo clic en un enlace que lleva a una página de inicio de sesión falsa.
3. Vishing
Vishing (voice phishing) es una variante del phishing que utiliza llamadas telefónicas para engañar a las víctimas y obtener información sensible.
Características Técnicas:
- Usurpación de números de teléfono: Los atacantes pueden falsificar números para parecer legítimos.
- Ingeniería social: Utilizan tácticas de presión y urgencia para convencer a la víctima.
Ejemplo:
Una persona recibe una llamada de alguien que dice ser del soporte técnico de su banco y le pide que proporcione su número de tarjeta de crédito para solucionar un problema urgente.
4. Smishing
Smishing (SMS phishing) es similar al phishing pero utiliza mensajes de texto (SMS) para engañar a las víctimas.
Características Técnicas:
- Enlaces maliciosos: Los mensajes contienen enlaces que dirigen a sitios web fraudulentos.
- Tácticas de urgencia: Los mensajes suelen indicar una acción inmediata para evitar problemas.
Ejemplo:
Un mensaje de texto informa al usuario que su cuenta bancaria será bloqueada a menos que haga clic en un enlace y verifique su información.
5. Baiting o Gancho
Baiting es una técnica en la que el atacante deja un objeto atractivo, como una unidad USB infectada con malware, esperando que alguien lo encuentre y lo use.
Características Técnicas:
- Medios físicos: Uso de dispositivos como USBs infectados.
- Cebo atractivo: Dispositivos etiquetados como “Confidencial” o “Salarios” para atraer la curiosidad.
Ejemplo:
Un empleado encuentra una memoria USB en el estacionamiento de su empresa y, al conectarla a su computadora, se instala un malware que compromete la red de la empresa.
6. Shoulder Surfing
Shoulder surfing implica observar a alguien mientras introduce información sensible, como contraseñas o PINs, sin que se dé cuenta.
Características Técnicas:
- Observación directa: Ver las teclas que se pulsan o la pantalla de la víctima.
- Dispositivos de grabación: Uso de cámaras ocultas para capturar la información.
Ejemplo:
Un atacante observa a una persona mientras introduce su PIN en un cajero automático, memorizando los números para posteriormente robar su tarjeta y retirar dinero.
7. Dumpster Diving
Dumpster diving consiste en buscar en la basura documentos o dispositivos desechados que contengan información valiosa.
Características Técnicas:
- Recolección de datos: Buscar documentos, discos duros, o cualquier cosa que pueda contener información útil.
- Recuperación de datos: Los atacantes pueden utilizar herramientas para recuperar información de dispositivos desechados.
Ejemplo:
Un atacante encuentra facturas, estados de cuenta bancarios y otros documentos sensibles en la basura de una empresa, obteniendo así información suficiente para cometer fraudes.
La ingeniería social es una amenaza constante que explota la naturaleza humana y las debilidades en el comportamiento de las personas. Conocer estos métodos de ataque y cómo se llevan a cabo es crucial para protegerse y proteger a las organizaciones. La educación y la concienciación son herramientas poderosas contra estos tipos de ataques.