Índice
Es eslabón más débil en las estrategias de ciberseguridad siempre somos los seres humanos, y la ingeniería social aprovecha la incapacidad de un usuario objetivo de detectar un ataque. En una amenaza de ingeniería social, un atacante se sirve de una emoción humana (que suele ser el miedo y/o la sensación de urgencia) para convencer al objetivo de que realice una cierta acción, como enviarle dinero al atacante, divulgar información delicada del cliente o revelar credenciales de autenticación.
Conclusiones clave:
- La ingeniería social es una actividad ilegal que representa el 98% de los ciberataques.
- La ingeniería social se caracteriza porque los atacantes coaccionan a las víctimas para que divulguen información sensible, haciéndose pasar por una persona conocida o una entidad legítima.
- El robo de identidad mediante ataques de phishing es la forma más común de ingeniería social.
- Más del 70% de las vulneraciones de datos comienzan con ataques de ingeniería social o phishing.
- Puede emplear diversas estrategias de prevención para evitar la ingeniería social, desde establecer una autenticación multifactor para sus cuentas hasta formar a los empleados para que identifiquen comportamientos sospechosos.
La formación en ciberseguridad empieza aquí
La prueba gratuita funciona de la siguiente manera:
- Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
- En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
- ¡Conozca nuestra tecnología en acción!
- Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.
Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.
Un representante de Proofpoint se comunicará con usted en breve.
Historia de la ingeniería social
El engañar a los usuarios para que divulguen información delicada no es cosa nueva en el mundo de la ciberseguridad. Lo único que ha cambiado es el método de ataque, las historias que se usan para obtener información, y la sofisticación de los ataques por parte de grupos organizados que incorporan a otras amenazas, como el phishing o el catfishing. El término ingeniería social fue acuñado en 1894 por el industrial holandés JC Van Marken, pero ha sido una metodología de ciberataques desde la década de 1990.
En los 90, la ingeniería social implicaba el llamar a los usuarios para lograr que revelaran sus credenciales o que indicaran el número telefónico que podía conectar a un atacante con un servidor corporativo interno. Ahora, los atacantes emplean estrategias de ingeniería social para engañar a las víctimas y lograr que (potencialmente) les envíen millones de dólares a una cuenta bancaria en otro país, lo que les cuesta también millones en daños a las organizaciones. En algunos casos, los empleados pierden sus empleos tras llegar las consecuencias del ataque.
Definición
En un contexto de ciberseguridad, la ingeniería social es el conjunto de tácticas utilizadas para manipular, influir o engañar a una víctima para que divulgue información sensible o realice acciones poco aconsejables para liberar información personal y financiera o ceder el control de un sistema informático.
La ingeniería social, una ciencia malévola, utiliza la manipulación psicológica, la persuasión y la explotación para engañar a los usuarios para que cometan errores de seguridad o cedan información sensible. Los ataques de ingeniería social se basan en la interacción humana y a menudo implican embaucar a las víctimas para que infrinjan los procedimientos normales de seguridad. Por ejemplo, los ataques de ingeniería social pueden ser muy eficaces porque se basan en la tendencia humana a confiar en los demás o a explorar la propia curiosidad sobre nuevas ofertas o información actuando como cebo.
Características de un ataque de ingeniería social
Las líneas entre la ingeniería social y el phishing son difusas, porque ambos suelen ir de la mano en un ataque sofisticado. La ingeniería social suele implicar el hacerse pasar por un empleado real, por ejemplo, el director general (CEO) o el director de finanzas (CFO), o engañar a un empleado para que piense que el atacante es un cliente legítimo para que el empleado comparta información delicada o elementos que permitan cambiar la cuenta (por ejemplo, cambio de SIM).
Sin importar cuáles sean los objetivos del atacante, existen algunas señales claras de que una comunicación es ingeniería social. Uno de los componentes clave en la ingeniería social es aprovecharse de los miedos y emociones del usuario objetivo. El atacante no quiere que el usuario objetivo analice y medite sobre la solicitud, así que la ingeniería social conlleva el uso del miedo y de una sensación de urgencia.
Algunas características comunes en todos los ataques de ingeniería social son:
- Emociones intensificadas: Un atacante amenaza con la pérdida de una cuenta para engañar a los usuarios y lograr que divulguen sus credenciales, o el atacante simula ser un ejecutivo que le exige al usuario objetivo que envíe dinero para infundir una sensación de urgencia en un empleado que teme perder su empleo.
- Dirección de remitente falsificada: La mayoría de los usuarios no están conscientes de que es posible falsificar una dirección de correo electrónico de remitente, pero una adecuada seguridad para correo electrónico puede evitar que los remitentes falsificados puedan acceder a la bandeja de entrada de un usuario objetivo. En lugar de eso, un atacante registra un dominio similar al oficial y espera que un usuario objetivo no se dé cuenta del error ortográfico.
- Solicitudes de amistad extrañas: No es raro que un atacante vulnere una cuenta de correo electrónico y envíe mensajes no deseados a la lista de contactos de la víctima. Los mensajes suelen ser cortos y no tener el toque personal de los amigos, así que hay que ser precavido a la hora de hacer clic en enlaces de amigos si el mensaje no suena como una comunicación personalizada.
- Enlaces a páginas web poco profesionales: Los enlaces de phishing se usan a veces con la ingeniería social para lograr que los usuarios divulguen información delicada. Nunca introduzca credenciales en una página web directamente desde un vínculo de correo electrónico, incluso si parece provenir de una página oficial (por ejemplo, de PayPal).
- Demasiado bueno para ser cierto: Los estafadores suelen prometer dinero a cambio de una compensación monetaria. Por ejemplo, un usuario objetivo podría obtener un iPhone gratis a cambio del pago de los costes de envío. Si la oferta es demasiado buena como para ser cierta, seguramente sea una estafa.
- Archivos adjuntos malintencionados: En lugar de engañar a los usuarios objetivo para que divulguen información privada, un ataque sofisticado podría basarse en instalar malware en un equipo empresarial usando archivos adjuntos de correo electrónico. Nunca ejecute en su equipo macros o archivos ejecutables provenientes de un mensaje de correo electrónico aparentemente inofensivo.
- Remitente cuestionable: Muchas técnicas de ingeniería social están diseñadas para imitar a una fuente conocida, como un amigo, jefe o compañero de trabajo. En caso de recibir un mensaje de correo electrónico sospechoso, compruébelo siempre y pregúntese “¿me lo ha enviado realmente mi jefe/amigo/compañero de trabajo?”. Antes de responder al correo electrónico en cuestión, póngase en contacto con la persona real a través de una llamada telefónica, un mensaje de texto o un mensaje en las redes sociales para validar si se trata o no de una suplantación de identidad.
- Negativa a responder preguntas: Si un mensaje luce sospechoso, responda al mensaje y pídale al remitente que se identifique. El atacante evitará identificarse y podría simplemente ignorar la solicitud
- Remitente no identificable: Si el remitente no puede o no quiere verificar su identidad con la organización, no proporcione ninguna información adicional ni el acceso que solicita. Aunque los mensajes de correo electrónico son los más comunes, esto se aplica también a otras tácticas de ingeniería social, como los mensajes de texto, las llamadas telefónicas, etc.
Ejemplos de técnicas de ingeniería social
La técnica fundamental en que se basa la ingeniería social es el uso de las emociones para engañar a los usuarios, pero los atacantes usan diversos métodos estandarizados para lograr que el usuario ejecute una acción (p. ej., enviar dinero a una cuenta bancaria) y hacer que el ataque luzca legítimo. Por lo general, las técnicas implican el uso de mensajes de texto o de correo electrónico, porque estos se pueden usar sin conversaciones de voz.
Algunos ejemplos comunes de técnicas de ingeniería social son:
- Phishing: Con la ingeniería social, un atacante suele hacerse pasar por un ejecutivo corporativo para engañar a los usuarios para que envíen dinero a una cuenta bancaria en otro país.
- Vishing y smishing: Los atacantes usan mensajes de texto y software de cambio de voz para enviar mensajes de texto o llamar automáticamente a los usuarios. El mensaje promete regalos o servicios a cambio de un pago. Estos tipos de estafas se conocen como vishing (voice phishing, en español phishing de voz) y smishing (phishing de SMS).
- Fraude al CEO (director general): Los usuarios suelen presentar una sensación de urgencia cuando un ejecutivo les solicita una acción específica, así que un atacante simulará ser el director general (CEO) u otro ejecutivo para dar una sensación de urgencia al empleado objetivo para que este ejecute una acción. Esto se conoce como fraude al CEO.
- Baiting: Es muy común que los atacantes prometan premios o dinero a cambio de un pequeño pago. La oferta suele ser demasiado buena como para ser cierta, y el pago suele ser para cubrir costes de envío u otros.
- Pretextos: Los atacantes pueden crear un pretexto falso para obtener información sensible o acceso a un sistema. Por ejemplo, un atacante podría hacerse pasar por un cajero de banco y ponerse en contacto con una persona objetivo para afirmar que ha habido actividad sospechosa en su cuenta y pedirle que comparta información delicada para confirmar su cuenta.
- Tailgating o piggybacking: Las corporaciones que usan escáneres de seguridad para bloquear el acceso no autorizado a las instalaciones. Los atacantes usan el tailgating o piggybacking para engañar a los usuarios, de manera que estos usen sus tarjetas de acceso para darle al atacante acceso físico a las instalaciones.
- Quid pro quo: A un empleado descontento se le puede engañar para que revele información delicada a un atacante a cambio de dinero u otras promesas.
- Abrevadero: Esta forma de ataque de ingeniería social implica dirigirse a determinados grupos infectando sitios web que es probable que el grupo visite. Por ejemplo, un atacante podría infectar un sitio de noticias popular con malware con la intención de que los empleados de una determinada empresa visiten el sitio y descarguen inadvertidamente el malware.
- Responder a una pregunta que nunca se formuló: La víctima recibe un correo electrónico de “respuesta” a una pregunta, pero la respuesta solicita información personal, contiene un enlace a una página web malintencionada o incluye un adjunto de malware.
- Amenazar con pérdidas monetarias o con acciones legales: El miedo es una herramienta útil en la ingeniería social, así que una manera eficaz de engañar a los usuarios, es decirles que sufrirán de pérdidas monetarias o irán a la cárcel si no cumplen con la solicitud del atacante.
Para identificar un ataque de ingeniería social, es importante saber cómo luce. Los ataques de ingeniería social juegan con las emociones de la víctima, pero tienen algunos elementos en común, independientemente de los objetivos del agente de amenaza, como engañar a los usuarios para que envíen dinero.
Cómo evitar la ingeniería social
La sensación de urgencia puede pillar desprevenidas a muchas víctimas, pero los usuarios bien formados pueden seguir los pasos necesarios para no resultar víctimas, pero siguiendo algunas reglas. Es importante hacer una pausa y verificar la identidad del remitente del correo electrónico o hacer preguntas cuando la comunicación sea telefónica.
Algunas reglas que seguir para evitar la ingeniería social son:
- Investigar antes de responder: Si la estafa es común, entonces habrá otras personas hablando acerca del método de ingeniería social en internet.
- No interactuar con una página web de un enlace: Si el remitente afirma provenir de un negocio oficial, no haga clic en el enlace para autenticar. En lugar de eso, escriba el dominio oficial en el navegador.
- Esté atento a comportamientos extraños de amigos: Los atacantes utilizan cuentas de correo electrónico robadas para engañar a los usuarios, así que desconfíe si un amigo le envía un correo electrónico con un enlace a un sitio web sin apenas otra comunicación.
- No descargue archivos: Si un correo electrónico solicita descargar archivos con urgencia, ignore la petición o solicite ayuda para asegurarse de que la solicitud es legítima.
Estadísticas clave de ingeniería social
La ingeniería social es una de las formas más comunes y eficaces que tiene un atacante para acceder a información confidencial. Las estadísticas muestran que la ingeniería social combinada con el phishing es muy eficaz y cuesta millones a las organizaciones por concepto de daños.
Algunas estadísticas sobre ingeniería social:
- La ingeniería social es responsable del 98% de los ataques.
- En 2020, el 75% de las empresas declararon haber sido víctimas de phishing.
- El incidente cibernético más común en 2020 fue el phishing.
- El coste medio tras una vulneración de datos es de 150 dólares por registro.
- Más del 70% de las vulneraciones de datos comienzan con phishing o ingeniería social.
- Google registró más de 2 millones de sitios web de phishing en 2021.
- Aproximadamente el 43% de los correos electrónicos de phishing suplantan la identidad de grandes organizaciones como Microsoft.
- El 60% de las empresas informan de la pérdida de datos tras un ataque de phishing realizado con éxito, y el 18% de los usuarios a los que se dirige el ataque son víctimas del phishing.
Prevención de la ingeniería social
Las empresas también son objetivos para la ingeniería social, así que los empleados deben estar conscientes de las señales de alarma y tomar los pasos necesarios para detener el ataque. Capacitar a los empleados es responsabilidad de la organización, así que recomendamos seguir estos pasos para dotar a sus empleados de las herramientas necesarias para identificar un ataque de ingeniería social.
- Tener conciencia de los datos que se comparten: Ya sea en las redes sociales o por correo electrónico, los empleados deben saber si los datos son delicados y si deben ser tratados con confidencialidad.
- Identificar información valiosa: La información personal de identificación (PII, del inglés “Personally Identifiable Information”) nunca se debe compartir con terceros, pero los empleados sí deben saber qué datos se consideran PII.
- Usar políticas para formar a los usuarios: Tener una política definida les brinda a los usuarios la información necesaria para actuar ante solicitudes fraudulentas y reportar ataques de ingeniería social.
- Mejorar la seguridad con la autenticación de múltiples factores: Añadir capas adicionales para verificar su identidad puede hacer que las cuentas en línea sean mucho más seguras e impenetrables.
- Reforzar las contraseñas y utilizar un gestor de contraseñas: Utilizar contraseñas fuertes y únicas con diversos tipos de caracteres puede hacerlas más difíciles de descifrar. Un gestor de contraseñas fiable también puede ayudarle a gestionar sus contraseñas de forma segura.
- Limitar la información personal online: Evite compartir cualquier dato personal, como los institutos educativos a los que ha asistido, los nombres de sus mascotas u otros detalles que reflejen las respuestas a las preguntas de seguridad o las contraseñas de acceso.
- Mantener los dispositivos seguros y cerca: Bloquee su ordenador y sus dispositivos móviles, especialmente cuando se encuentre en lugares públicos como aeropuertos o cafeterías. Mantenga sus dispositivos en su poder para evitar robos.
- Mantener actualizado el software antimalware: En caso de que un empleado descargue software malintencionado, el antimalware lo detectará y lo detendrá en la mayoría de los casos.
- Desconfíe de las solicitudes de datos: Cualquier solicitud de datos debe recibirse con cautela. Haga preguntas y verifique la identidad del remitente antes de cumplir con la solicitud.
- Capacitar a los empleados: Los empleados no pueden identificar los ataques si no están adecuadamente capacitados para ello, así que es importante brindarles una capacitación que les indique ejemplos reales de ingeniería social.
Cómo puede ayudar Proofpoint
En Proofpoint sabemos que los ataques de ingeniería social son altamente eficaces para aprovechar las emociones y errores humanos. Contamos con programas de capacitación y formación para la conciencia de seguridad que les permiten a los empleados identificar ataques de ingeniería social y los correos electrónicos de phishing que suelen acompañarlos.
Preparamos a los usuarios para los ataques más sofisticados y les damos las herramientas necesarias para reaccionar. Usando ejemplos reales, los empleados se preparan para identificar los ataques de ingeniería social y para reaccionar según las políticas de seguridad establecidas por la organización.
Preguntas frecuentes de Ingeniería Social
¿Qué es la ingeniería social en pocas palabras?
La mayoría piensa en las ciberamenazas en forma de programas de malware o de un hacker explotando vulnerabilidades en un software. Sin embargo, la ingeniería social es una amenaza cuando un atacante engaña a un usuario objetivo para que divulgue información delicada pretendiendo ser una persona o servicio familiares. El atacante podría engañar al usuario objetivo para que divulgue su contraseña, o también convencerle de que envíe dinero simulando ser un ejecutivo de alto nivel. Los objetivos del atacante en su campaña de ingeniería social pueden variar, pero por lo general, el atacante desea obtener acceso a las cuentas o robarse información privada del usuario.
¿Cómo funciona la ingeniería social?
Un agente de amenaza podría tener un objetivo específico en mente, o el atacante podría lanzar una “red” muy amplia para acceder a la mayor cantidad posible de información privada. Antes de que un agente de amenaza lleve a cabo un ataque de ingeniería social, el primer paso es hacer las debidas investigaciones acerca del usuario o corporación objetivo. Por ejemplo, el atacante podría recopilar nombres y direcciones de correo electrónico del personal de finanzas de una organización a partir de sus perfiles de LinkedIn para identificar a las personas objetivo y deducir los procedimientos operativos estandarizados.
La fase de reconocimiento es clave para el éxito de un ataque de ingeniería social. El atacante debe comprender a cabalidad el organigrama de la organización e identificar quién tiene la autoridad de ejecutar las acciones necesarias para un ataque exitoso. En la mayoría de los ataques, la ingeniería social implica el que el agente de amenaza simule ser una persona conocida del usuario objetivo. Mientras más información tenga el agente de amenaza acerca del objetivo, más probable será que el ataque de ingeniería social tenga éxito.
Si se recaba suficiente información, el atacante podrá llevar a cabo los siguientes pasos. Algunos ataques de ingeniería social requieren de paciencia, para crear confianza en el usuario objetivo. Otros ataques son rápidos, y el atacante se gana la confianza en un período de tiempo corto transmitiendo una sensación de urgencia. Por ejemplo, el atacante podría llamar a un usuario objetivo y simular ser parte del equipo de soporte técnico de TI para engañar al usuario y lograr que divulgue su contraseña.
¿Cuáles son los pasos que sigue un ataque exitoso de ingeniería social?
Al igual que los ciberataques más eficaces, la ingeniería social requiere de una estrategia específica. Cada uno de los pasos debe realizarse concienzudamente, porque el atacante procura engañar al usuario para que ejecute una acción en particular. La ingeniería social implica cuatro pasos. Estos pasos son:
- Recabar información: Este primer paso es clave para el éxito de un ataque de ingeniería social. El atacante recopila información de fuentes públicas, como recortes de periódico, LinkedIn, redes sociales y la página web de la empresa objetivo. Este paso familiariza al atacante con el funcionamiento y procedimientos internos de los departamentos.
- Crear confianza: En este punto, el atacante contacta al usuario objetivo. Este paso requiere de conversación y convencimiento, así que el atacante debe estar capacitado para manejar preguntas y persuadir al usuario objetivo de que realice una cierta acción. El atacante debe ser amigable y podría intentar conectar con el usuario objetivo a nivel personal.
- Aprovechamiento: Después de que el atacante engaña al usuario objetivo para que divulgue la información, comienza el aprovechamiento. Aquí todo depende del objetivo del atacante, pero este paso es en el que el atacante obtiene el dinero, accede al sistema, roba los archivos u obtiene secretos comerciales.
- Ejecución: Ya habiendo obtenido la información delicada, el atacante puede ejecutar la meta final y salir de la estafa. La estrategia de salida puede comprender métodos para borrar su rastro, incluyendo el evitar la detección por parte de los controles de ciberseguridad de la organización objetivo que podrían advertir a los administradores de que un empleado ha sido engañado.
¿Cuál es el tipo de ingeniería social más común?
Ingeniería social es un término muy amplio, que abarca gran cantidad de estrategias de cibercrimen. La ingeniería social se sirve del error humano, así que los atacantes se enfocan en personas conocedoras. El tipo más común de ataque de ingeniería social es el phishing, en el que se usan mensajes de correo electrónico. Dentro del concepto de phishing también están el vishing (por voz) y el smishing (por mensajes de texto). En un ataque típico de phishing, el objetivo es obtener información para lograr beneficios monetarios o el robo de datos.
En un correo electrónico de phishing, el atacante simula ser una persona de una organización legítima, o un miembro de la familia. El mensaje podría solicitar una respuesta simple, o contener un correo electrónico a una página web malintencionada. Las campañas de phishing pueden enfocarse en individuos específicos dentro de una organización, lo que se conoce como spear phishing, o el atacante puede enviar cientos de correos electrónicos a usuarios al azar con la esperanza de que al menos uno “pique” en el mensaje fraudulento. Las campañas de phishing no dirigidas tienen una baja tasa de éxito, pero el atacante no necesita de muchos mensajes para lograr obtener la información necesaria para obtener beneficios económicos.
Las dos versiones del phishing, el smishing y el vishing, persiguen los mismos objetivos que una campaña general de phishing, pero mediante diferentes métodos. Los ataques de “smishing” usan mensajes de texto para decirles a las víctimas que han ganado un premio y que deben pagar una tarifa de envío para recibir sus regalos. El phishing de “voz” precisa de software de cambio de voz para lograr engañar a los usuarios y que piensen que el atacante pertenece a una organización legítima.
¿Qué porcentaje de los hackers usan la ingeniería social?
Los hackers usan la ingeniería social frecuentemente, porque funciona. La ingeniería social y el phishing se suelen usar en conjunto como una manera más eficaz de engañar a los usuarios para que envíen dinero o divulguen su información delicada (por ejemplo, credenciales de redes e información bancaria). De hecho, la mayoría de los correos electrónicos recibidos por individuos y corporaciones son no deseados o estafas, así que es muy importante integrar la ciberseguridad en cualquier sistema de correo electrónico.
Se estima que el 91% de los ciberataques comienzan con un mensaje de correo electrónico. Muchos de ellos se aprovechan de la sensación de urgencia, para que las víctimas no tengan tiempo de procesar mentalmente el hecho de que el mensaje es una estafa. Solo el 3% de los ataques usan malware, con lo que el otro 97% de los ataques son ingeniería social. En algunos ataques sofisticados, la víctima recibe un correo electrónico y después una llamada o mensaje de seguimiento.
¿La ingeniería social es ilegal?
Sí, la ingeniería social es delito, porque usa el engaño para convencer a las víctimas de divulgar información delicada. Las consecuencias típicas son crímenes adicionales en forma de accesos fraudulentos a una red privada, robo de dinero o de la identidad del usuario y la venta de datos privados en mercados de la darknet.
El fraude al consumidor es común en los ataques de ingeniería social. El atacante simula ser una organización legítima que otorga premios en efectivo a cambio de datos financieros o de un pequeño pago. Después de que la víctima comparte sus datos financieros, el atacante se roba el dinero directamente de la cuenta bancaria o vende el número de tarjeta de crédito en los mercados de la dark web. El robo de identidad o de dinero a las víctimas son delitos muy serios.
Algunos tipos de ingeniería social se clasifican como delitos leves y solo conllevan multas y penas de prisión cortas. Si los delitos implican mayores sumas de dinero o varias víctimas, pueden tener sentencias más severas y multas mayores. Algunos crímenes redundan en procedimientos civiles, en los que las víctimas ganan juicios a los criminales y a los involucrados en las estafas de ingeniería social.
¿Qué tan común es la ingeniería social?
Depende, pero se estima que la ingeniería social se usa en el 95%-98% de los ataques específicos contra individuos y corporaciones. Las cuentas con altos privilegios son un objetivo muy común, y el 43% de los administradores de operaciones de TI han informado de haber sido objetivos en ataques de ingeniería social. El personal de reciente contratación en las divisiones de operaciones de TI tiene una posibilidad aún mayor de ser objetivo de estos ataques. Las corporaciones indican que un 60% de los nuevos empleados resultan objetivos, y no tanto los empleados fijos de larga data.
Como la ingeniería social es tan exitosa, los ataques basados en phishing y en robo de identidad se incrementaron en un 500% en años recientes. El robo de identidad no es lo único que buscan los atacantes. Algunos otros motivos por los que la ingeniería social es uno de los principales vectores de ataque son:
- Acceso fraudulento a cuentas para robar datos o dinero
- Acceso financiero a cuentas bancarias o tarjetas de créditos
- Solo para crear complicaciones
¿La ingeniería social es ética?
La ingeniería social es delito, así que las amenazas malintencionadas simplemente no hacen ninguna consideración ética en sus ataques a individuos y corporaciones. Cualquiera puede ser objetivo para un atacante, así que tanto los individuos como los empleados deben estar conscientes de cómo funciona la ingeniería social. El atacante debe conocer a su objetivo y realizar actividades de reconocimiento antes de ejecutar una campaña de ingeniería social, así que los usuarios deben estar al tanto de cómo funciona la ingeniería social.
La primera señal de alarma que indica que alguien es objetivo de un ataque de ingeniería social es que el interlocutor o remitente del mensaje no responde preguntas y evita activamente que se le pregunte acerca de por qué la solicitud es tan urgente. Sus solicitudes podrían parecer discretas, pero el hecho es que le solicitan información delicada sin responder a ninguna de sus preguntas. En una transacción financiera legítima, una organización o banco responderá a tantas preguntas como haga falta hasta que usted se sienta cómodo con las acciones que ellos necesitan de usted.
Otra señal de alarma, es que la mayoría de los atacantes usan el phishing sin conversaciones de voz. Si le pide al solicitante que desea tener una conversación de voz, el atacante se negará. Esta señal de alarma no siempre es el caso, pero debería servir para alertarle de que el remitente del correo electrónico no proviene de una organización legítima. En cualquier escenario, lo ideal es colgar el teléfono o detener las comunicaciones con el remitente del correo electrónico y llamar directamente al teléfono que aparece en la web de la empresa.
Existen tipos de ingeniería social que son éticos. Cuando se contrata a hackers de sombrero blanco para hacer pruebas de penetración a la ciberseguridad, ellos hacen pruebas a todos los empleados para determinar su capacidad de detectar ataques de ingeniería social. En una prueba de penetración, un hacker ético certificado llama a los empleados para determinar si divulgan sus credenciales de red, o les envían correos electrónicos de phishing con un enlace que lleva a una web malintencionada. Registran a todos los usuarios que hacen clic en el enlace y toman nota de aquellos que registran sus credenciales privadas de red. Esta actividad ayuda a las organizaciones a determinar qué empleados son vulnerables a la ingeniería social y les brindan más formación acerca de protocolos de ciberseguridad.
¿Cuánto cuestan los ataques de ingeniería social?
Según la Oficina Federal de Investigaciones (FBI) de los EE. UU., la ingeniería social les cuesta alrededor de 1.600 millones de dólares al año a las empresas, en conjunto. Las organizaciones pagan una media de 11,7 millones de dólares al año por concepto de delitos de ciberseguridad.
Un componente significativo en el coste es el tiempo que les lleva a las organizaciones detectar una vulneración de datos, que se cifra en 146 días como media. En un ataque de ingeniería social, es mucho más difícil para los administradores y la infraestructura de seguridad determinar cuándo un empleado resulta víctima de un ataque. Cualquier empleado con acceso legítimo puede dejar vulnerable al entorno ante atacantes cuando es víctima de una campaña de ingeniería social e instala software malintencionado, comparte sus credenciales con los atacantes o divulga información delicada.