Del phishing al scareware: un repaso de las técnicas de ingeniería social más comunes

La ingeniería social es uno de los tipos de ciberataques más comunes en la actualidad. A medida que aumenta el volumen de actividades en línea, también crece el riesgo de este tipo de ataques. En 2024, por ejemplo, más del 80% de todos los ciberataques en el Reino Unido corresponden al phishing, seguidos de suplantaciones (pretextos), mientras que solo el 14% de las violaciones de seguridad fueron causadas por malware.

Las consecuencias de los ataques de ingeniería social pueden ser devastadoras, desde el robo de dinero y datos personales hasta filtraciones masivas y sistemas comprometidos. Por eso es importante entender qué es la ingeniería social, saber reconocer sus señales y conocer cómo responder a las amenazas para prevenir consecuencias graves.

¿Qué es la ingeniería social?

La ingeniería social es un proceso basado en influir en las creencias y el comportamiento de una persona. En seguridad de la información, la ingeniería social se utiliza para manipular a las personas con el fin de obtener datos o que realicen acciones específicas. Los atacantes emplean habilidades sociales y técnicas de influencia psicológica para provocar la reacción deseada en la víctima. Por ejemplo, alguien puede hacerse pasar por personal de soporte técnico para obtener acceso remoto a un dispositivo o enviar una notificación falsa por correo electrónico.

Principales tipos de ataques de ingeniería social

Dentro de la ingeniería social existen muchas tácticas, cada una dirigida a una vulnerabilidad específica de la víctima.

1. Phishing
   Los ataques de phishing utilizan el engaño y la manipulación para convencer a la víctima de revelar información confidencial, como datos bancarios o contraseñas. Con mayor frecuencia se realizan mediante correos electrónicos falsos, mensajes o sitios web que parecen legítimos (por ejemplo, sitios de bancos, redes sociales o servicios de mensajería). Los mensajes de phishing suelen transmitir urgencia y, al mismo tiempo, ser algo genéricos para alcanzar al mayor número posible de personas.

   • Spear phishing — es una forma de phishing más personalizada, en la que los atacantes usan datos personales de la víctima (por ejemplo, información pública) para aumentar la confianza. Este tipo de ataque es más difícil de detectar y con frecuencia tiene una alta tasa de éxito.

2. Pretexto
   El pretexto utiliza un escenario inventado para crear una relación de confianza con la víctima. Para ello, el atacante puede recopilar información sobre la víctima, como sus datos personales, para dar credibilidad. Un ejemplo típico es alguien que, haciéndose pasar por personal de soporte o empleado de un banco, solicita datos confidenciales o acceso al dispositivo. La supuesta autenticidad puede apoyarse con "pruebas", por ejemplo, identidades ficticias o robadas.

3. Scareware
   El scareware es un ataque que emplea advertencias falsas y amenazas para forzar a la víctima a realizar determinadas acciones. Por ejemplo, una ventana emergente puede indicar que se ha detectado un virus en el dispositivo y ofrecer instalar un "antivirus" que en realidad contiene malware. El scareware suele funcionar presionando a la persona para que actúe rápido, ya que la amenaza parece urgente.

4. Cebo
   El cebo atrae la atención de la víctima mediante señuelos. En el mundo físico puede tratarse de una memoria USB infectada dejada en un lugar público. En el entorno en línea, los señuelos pueden incluir anuncios o ofertas atractivas que dirigen a sitios maliciosos o incitan a instalar aplicaciones con malware.

5. Quid pro quo
   Quid pro quo, que en latín significa "una cosa por otra", consiste en que el atacante ofrece una recompensa a cambio de información confidencial. Por ejemplo, alguien puede hacerse pasar por un investigador que realiza una encuesta pagada y solicitar datos personales de la víctima.

6. Waterholing
   El waterholing se basa en la confianza de los usuarios en sitios populares. El atacante identifica los sitios que la víctima o su organización visitan con frecuencia y los infecta con código malicioso. Al visitar ese sitio, el dispositivo de la víctima se infecta y el atacante obtiene acceso a todo el sistema.

¿Por qué la ingeniería social es tan eficaz?

La ingeniería social es eficaz porque se apoya en las debilidades humanas. Los atacantes explotan cualidades como la confianza, la disposición a ayudar o la búsqueda de soluciones cómodas. Las personas cometen errores con más facilidad cuando están bajo presión, distraídas o preocupadas, circunstancias que los atacantes aprovechan. Los ciberataques que no dejan rastros técnicos y se basan en la manipulación son difíciles de detectar y prevenir. La formación y la concienciación son clave para evitar la ingeniería social.

¿Cómo prevenir los ataques de ingeniería social?

Prevenir los ataques de ingeniería social requiere atención y preparación, ya que las soluciones técnicas no siempre son suficientes.

1. Señales de un ataque de ingeniería social

   • Llamadas inesperadas de empleados de bancos, aseguradoras o empresas de TI.
   • Direcciones de remitente sospechosas en correos, que contienen símbolos, cifras o redacciones extrañas.
   • Solicitudes atípicas de conocidos o colegas, especialmente si son urgentes o inusuales.
   • Requerimientos urgentes y peticiones de actuar de inmediato.
   • Adjuntos y enlaces en correos inesperados, sobre todo si el texto contiene errores.

2. Medidas técnicas

   • Filtros antispam en los sistemas de correo, que marcan mensajes sospechosos.
   • Autenticación multifactor. Incluso si un atacante obtiene la contraseña, la autenticación multifactor dificultará el acceso no autorizado.

3. Formación del personal
   Las organizaciones deben impartir entrenamientos periódicos al personal para identificar y prevenir ataques de ingeniería social. Los participantes deben comprender la importancia de usar contraseñas robustas, la autenticación multifactor y saber reconocer el phishing y otros tipos de ataques.

¿Cómo protegerse personalmente?

1. Mentalidad de "confianza cero" — no confíes en comunicaciones externas.
2. Conocer los signos de la ingeniería social.
3. Medidas técnicas de protección — contraseñas fuertes, filtros antispam, cortafuegos y autenticación multifactor.
4. Limitar la información personal en internet — no publiques datos confidenciales en redes sociales, mantén los perfiles privados y evita enviar datos por correo electrónico.

Estrategias a nivel organizacional

1. Programas de concienciación. Las organizaciones deben implementar formación regular, pruebas y programas motivacionales para el personal. Esto puede incluir:
   • Simulaciones de ataques de phishing.
   • Programas motivacionales y concursos para detectar phishing.
   • Formación basada en ejemplos reales de ataques.
2. Planes de respuesta ante incidentes. Es importante contar con planes de respuesta ante incidentes. Deben incluir:
   • Un equipo de especialistas con roles y tareas claras.
   • Procedimientos de documentación e informes.
   • Un plan de comunicación y de recuperación operativa.

Conclusión

La ingeniería social se basa en las debilidades humanas y puede causar consecuencias graves. Los ataques de ingeniería social se dirigen a aspectos psicológicos de las personas, no a vulnerabilidades técnicas de los sistemas, lo que los hace especialmente peligrosos. Es importante aplicar un enfoque integral de protección, que incluya medidas técnicas y formación continua.