Ataques por ingeniería social y qué tipos existen


¿Alguna vez te has preguntado cómo afectaría un ciberataque en tu empresa? ¿Sabías que la mayoría de ellos son por ingeniería social?

Actualmente, cualquier empresa, sea grande o pequeña, puede ser objetivo para los ciberdelincuentes. Todas las empresas tratan datos de gran valor y estos pueden ser utilizados para perpetrar fraudes o extorsionar. Por eso, el 50% de las empresas han sufrido un ciberataque que les ha paralizado la actividad de la empresa.

Necesitas conocer cuáles son las principales ciberamenazas para poderlas identificar y evitar. Por ello, en el artículo de hoy te hablaremos sobre los ataques por ingeniería social, que son los más habituales, ya que requieren menos esfuerzo que otros ataques y por lo tanto el beneficio es mayor.

¿Qué son los ataques por ingeniería social?

Este tipo de ciberataque se perpetua a partir de diferentes técnicas de manipulación psicológica dirigidas a los usuarios (en el caso de las empresas suele ser dirigido a los empleados) con el objetivo de hacernos revelar información confidencial o de tomar el control de los dispositivos y cuentas.

Existen diferentes tipos de ataques por ingeniera social, que están basados en la manipulación y el engaño, aunque pueden tener diferentes consecuencias y pueden ser un primer paso para realizar un ataque por malware.

¿Cómo se categorizan los ataques por ingeniería social?

Se pueden categorizar en dos tipos diferentes según las comunicaciones que el ciberdelincuente tenga para conseguir su objetivo:

  • Hunting: El ataque se realiza con solo una comunicación. Este tipo de técnica es utilizada en ataques de phishing o campañas de malware, en las que envían campañas masivas sin tener un objetivo concreto y buscando que alguien caiga en el engaño.
  • Farming: El ataque se realiza a partir de más de una comunicación con la víctima hasta llegar a conseguir el objetivo. Este tipo de técnica la vemos en campañas de sextorsión o fraudes del CEO.

¿Cuáles son las fases de los ataques por ingeniería social?

La mayoría de ataques por ingeniería social comparten algunas características en común. Por eso, saber reconocerlas antes de tiempo puede evitar que sufras uno de estos ataques.

Estas serían las fases principales:

  • Recolección de información: En esta fase el ciberdelincuente recaba toda la información sobre las posibles víctimas, averiguando cuál es su correo electrónico, los nombres de dominio de la empresa, los números de teléfono, nombres personales, etc.
  • Manipulación: Esta es la fase más importante de cualquier ataque, ya que es donde se produce el ataque en cuestión. La mayoría de los ciberdelincuentes tienen experiencia haciendo fraudes, por lo que saben utilizar la manipulación psicológica para generar una relación de confianza con la víctima. También juegan con motivos de urgencia, falta de pagos o retiradas de servicio para que se actúe más rápido y de forma más inconsciente.
  • Salida: La última fase del ataque donde el ciberdelincuente intentará no ser descubierto después de haber cometido el fraude para que el impacto del ataque sea aún mayor para la empresa.

¿Cuál es el principal medio de comunicación para estos ataques?

El correo electrónico suele ser el medio preferido para los ciberdelincuentes, puesto que la mayoría de empresas y autónomos utilizan el correo en su día a día como herramienta de trabajo.

Al ser una tarea que muchas veces realizamos de forma mecánica y muy frecuente, esto puede provocar que se convierta en una herramienta peligrosa, ya que podríamos acceder a páginas web fraudulentas sin darnos cuenta.

¿Qué tipos de ataques por ingeniería social existen?

  • Phishing, vishing y smishing: Estos tres ataques por ingeniería social son muy similares. En todos ellos el ciberdelincuente envía un mensaje suplantando la identidad de una entidad (banco, empresa, red social, entidad pública o servicio técnico) de confianza para conseguir engañar a la víctima a través de un enlace o archivo malicioso.

El phishing es una estafa por correo, redes sociales o mensajería instantánea; el vishing se lleva a cabo mediante llamadas de teléfono y el smishing mediante los SMS.

  • Baiting (o Gancho): Este ataque se produce a través de un medio físico, como puede ser un dispositivo de almacenamiento o USB, que los ciberdelincuentes colocan en sitios estratégicos para infectar los equipos o robar datos o información confidencial.
  • Shoulder surfing: Este tipo de ataque consiste en robar información (documentos confidenciales, claves, contraseñas, contactos, credenciales…) de los dispositivos posicionándose cerca de la víctima.
  • Dumpster Diving: Es un ataque donde el ciberdelincuente busca en la basura de nuestros dispositivos para obtener información confidencial sobre la empresa.
  • Spam: Consiste en el envío de muchos mensajes publicitarios que no son deseados ni han sido solicitados. Suelen ser mensajes comerciales pero también pueden esconder algún malware.
  • Fraudes online: Son estafas online con las que pretenden engañarnos para que revelemos datos personales o confidenciales con los que obtener beneficios económicos a nuestra costa.

¿Cómo podemos evitar estos ataques?

Como te hemos dicho anteriormente, la mayoría de ataques por ingeniería social cuentan con unas características similares. Por lo que podrás identificar estos fraudes si:

  • Analizas la dirección de correo electrónico del remitente para comprobar que no sea falseada o sospechosa.
  • No descargas archivos adjuntos sospechosos, ni de correos desconocidos, teniendo especial cuidado con las extensiones <<.exe, .vbs, .msi, .vbs, .docm, .xlsm o .pptm>> y con los archivos comprimidos.
  • Compruebas que la comunicación del correo es impersonal o generalista, por ejemplo “estimado cliente” o “usuario” en vez de una comunicación personal donde se dirigen por tu nombre.
  • La redacción de la comunicación es mala y hay faltas de ortografía y errores gramaticales. Las empresas o entidades suelen cuidar mucho su comunicación y que sus correos estén bien redactados.
  • No clicas en enlaces a páginas web cuando el correo es sospechoso. Debes verificar a qué web redirige y si es segura.
  • El correo no tiene firma oficial o el párrafo legal sobre privacidad.

Si no quieres sufrir una brecha de seguridad en tu empresa, protege siempre tus datos y cumple con las medidas de seguridad necesarias. Desde Pyme Legal podemos ayudarte para evitar estos ciberataques.

El equipo de Pyme Legal.