¿Qué es la Ingeniería Social? Aprende a identificar este tipo de ataques (y a darle la vuelta para utilizarlos en tu favor)

Julián Gutiérrez
7 julio 2020

“Las amenazas de ingeniería social son peores que el malware más intrusivo, ya que es más difícil protegerse frente a ellas. Especialmente porque el objetivo son las personas, no solo el sistema.”

Esta afirmación es de Javier Perea, Director Regional de Intel Security España.

Y expresa muy bien una idea contundente: el usuario es el eslabón más débil.

En eso se basa la ingeniería social, una estrategia sutil pero efectiva a la que recurren a menudo los ciberdelincuentes para obtener información confidencial, datos personales o simplemente cometer fraude.

Últimamente, debido a la situación extrema que ha vivido el mundo entero a causa del COVID-19 y el confinamiento, esta práctica se ha disparado aprovechando que muchos usuarios han bajado la guardia.

Por eso me parecía necesario preparar este artículo en el que te explico:

Qué es la ingeniería social.
Cuáles son los distintos tipos de ataque que puedes sufrir.
Cómo protegerte de estas prácticas y utilizarlas en tu favor.

¿Preparado para saber más y así poder protegerte? Pues empezamos.

>> CURSO GRATUITO SOBRE TÉCNICAS Y HERRAMIENTAS OSINT <<

Aprende a realizar búsquedas avanzadas con comandos especiales, a encontrar fuentes alternativas de información y descubre una herramienta OSINT de Inteligencia Artificial (IA). Y lo más importante, te ayudaré a realizar un cambio de mentalidad que te permitirá encontrar datos en sitios que no imaginas.

Índice de contenido

👉 ¿Qué es la ingeniería social? Los distintos tipos de ataques que puedes sufrir

Empecemos con una definición básica:

La ingeniería social es un conjunto de técnicas destinadas a engañar a los usuarios más incautos para recabar información privada, datos confidenciales o para infectar sus dispositivos a través de enlaces corrompidos con malware.

Y sé que aquí en este blog lo he dicho más de mil veces, pero es que a menudo no somos conscientes del valor real que tienen nuestros datos personales, por lo que solemos entregarlos alegremente cada vez que nos los piden en una web.

De esa falta de prevención se aprovecha la ingeniería social para manipular al usuario más incauto y conseguir:

Información personal o confidencial.
Claves de acceso a correos, redes sociales u otros servicios online.
Facilidad de acceso a un sistema o dispositivo.
Estafa económica.
Infección del sistema mediante malware (virus).

Por suerte, los investigadores como tú y como yo somos gente avispada que aplicamos todas las medidas de ciberseguridad para estar protegidos. Y no solo eso, sino que llegado el punto incluso podemos darle la vuelta a la tortilla y utilizar esta ingeniería social contra el cibercrimen (más abajo te explico cómo).

Pero, de momento, vamos a hacer un repaso por los diferentes tipos de ataques que implica la ingeniería social.

✅ 1. Tipos de ingeniería social

En realidad, cualquier ciberataque conlleva algún tipo de ingeniería social, ya que esta implica cierto grado de manipulación psicológica (pues se aprovecha de la imprudencia de algunos usuarios que dan sus datos sin pararse mucho a pensar) y del engaño online.

De esta forma, existen muchos tipos de ingeniería social, pero los más comunes son:

Hunting: este tipo de ataques se basa en una única acción comunicativa enviada de forma masiva, con la que engañar a tantos usuarios como sea posible. Ya sea para infectar sus sistemas con malware, o para conseguir información con la que cometer un fraude (phishing). Un ejemplo claro es ese email que te llega diciéndote que Iberdrola va a reembolsarte parte de la última factura de la luz, y que para ello tienes que rellenar un formulario online.
Farming: aquí nos adentramos en un terreno más serio, donde los ciberdelincuentes se ponen en contacto con la víctima enviando una serie de correos o mensajes de extorsión hasta conseguir su objetivo (u obtener la mayor cantidad de información posible). Algunos ejemplos claros de este tipo de ataques son los chantajes mediante supuestos vídeos privados o amenazas de ciberataque contra un negocio o empresa.

En la mayoría de ocasiones resulta muy sencillo identificar este tipo de prácticas. Pero siempre hay gente con habilidades (y con propensión a pasarse al lado oscuro de la fuerza) capaz de lograr que estos ataques de ingeniería social no sean tan detectables.

Por eso conviene ser precavidos al 200 %, y tener los ojos siempre bien abiertos ante la mínima sospecha. Para esto, nos puede ayudar a conocer los parámetros comunes de cualquier ataque de ingeniería social.

✅ 2. Parámetros comunes en los ataques de ingeniería social

A pesar de que existe gran variedad de técnicas de ingeniería social, estos ataques suelen seguir una serie de principios básicos:

Respeto a la autoridad: estos ataques suelen aprovecharse del respeto que tenemos a nuestras autoridades, como por ejemplo a las Fuerzas y Cuerpos de Seguridad del Estado, para engañarnos. El ciberdelincuente disfraza sus mensajes para hacer creer a la víctima que provienen de instituciones como la Policía, para que así sea más fácil que esta coopere.
Ánimo de ayuda a los compañeros: es muy común (sobre todo en entornos laborales) querer ayudar a los compañeros en todo lo que podamos. De esta voluntad se aprovecha el atacante que puede hacerse pasar por un falso empleado de la empresa, o por un técnico informático para instalar herramientas de acceso remoto no autorizado.
Miedo a la pérdida de un servicio: mediante cualquier pretexto que infunda miedo a la víctima (repetidos accesos no autorizados en una cuenta, cambio en las políticas de privacidad, etc.) El ciberdelincuente engaña a la víctima para que acceda a una web fraudulenta donde robarle la información confidencial.
Reputación online: con la importancia que hoy tienen las redes sociales y la reputación online (aquí te explico cómo cuidarla) es habitual que los malos amenacen con desprestigiar a la víctima. Ya sea mediante correos de sextorsión, o con cualquier otro tipo de chantaje.
Productos gratis: un clásico. Se basa en ofrecer un producto o servicio gratis a cambio de información privada, y créeme, mucha gente pica.

Si te fijas, se trata de aprovecharse de las características básicas de la «convivencia online». Es decir, de la forma en la que solemos relacionarnos con los demás en Internet. De ahí lo de «social».

👉 Cómo protegerte de la ingeniería social (y darle la vuelta a la tortilla)

Spoiler: no existe ninguna herramienta específica contra la ingeniería social.

Sin embargo, un investigador profesional cuenta con algo muy valioso con lo que poder defenderse. Me refiero, por supuesto, al sentido común.

Y es que actuando siempre con precaución y tomando las medidas que te expongo a continuación, lograrás ponérselo muy difícil a estos ciberataques:

No hagas clic en enlaces sospechosos: no seas de gatillo fácil, ante la duda mejor no clicar.
Protege siempre tus contraseñas: cuanto más difíciles y enrevesadas sean mejor, tanto que ni siquiera tú puedas recordarlas. Para ello, te aconsejo utilizar Keepass XC (aquí tienes un tutorial para aprender a usarlo).
Utiliza un correo cifrado: para que nadie pueda leer el contenido de tus emails (salvo el receptor, claro) lo mejor es utilizar un servicio de correo cifrado. Yo te recomiendo Protonmail, si quieres saber más sobre este servicio gratuito aquí tienes un post en el que te explico cómo usarlo y por qué es la mejor opción.
Trabaja con una conexión VPN: blinda tu conexión para que tu IP quede oculta a ojos de estos atacantes. En este artículo te explico cómo configurar una conexión VPN.
Nunca divulgues información sensible: evita en la medida de lo posible compartir este tipo de información en lugares públicos como redes sociales.
Utiliza un antivirus: tal vez parezca muy obvio, pero un buen antivirus puede marcar la diferencia entre estar protegido contra estos ataques o quedar totalmente expuesto. Aquí tienes una lista con los mejores antivirus del momento.
Desconfía de emails de desconocidos: no descargues los archivos adjuntos ni hagas click en los enlaces.
Desconfía siempre que te pidan que rellenes algún formulario: o que te conectes a algún servicio online (banca, redes sociales, etc.).

Se trata de medidas básicas que conviene aplicar siempre que podamos, y así cubrirnos las espaldas ante posibles ataques.

✅ El cazador cazado: la ingeniería social como herramienta de investigación

Como has podido comprobar a lo largo del post, la ingeniería social se basa, sobre todo, en técnicas para recopilar información y datos. Algo de lo que sabemos mucho los investigadores profesionales.

En ese sentido, podemos aprovechar el uso de este tipo de prácticas para el bien, utilizándolas para investigar en lugar de para cometer fraudes.

Por ejemplo: si creemos que alguien está intentando realizar una acción engañosa con fines lucrativos, podemos exigirle que se identifique. Y así tratar de revertir la situación, procurando obtener la mayor cantidad de información posible del sospechoso.

Además, también podemos utilizar herramientas como Grabify o IPLogger para lograr que un investigado clique en un enlace, con el objetivo de monitorearlo y obtener información útil de su IP.

En definitiva, se trata de usar estrategias sociales para obtener información que pueda ayudarnos en nuestras investigaciones (eso sí, siempre respetando la ley y actuando siempre desde el lado luminoso de la fuerza).

👉 Aplica el sentido común: evita los ataques de la ingeniería social

Ya sabes que Internet es un océano lleno de tiburones dispuestos a zamparse a los peces más incautos. Por eso hay que andarse con mil ojos y evitar ataques y fraudes.

Con los conocimientos sobre ingeniería social expuestos en este artículo puedes protegerte a ti, pero también a tus clientes evitándoles más de un dolor de cabeza. Y recuerda que también puedes darle la vuelta y utilizar la ingeniería social para cazar a los malos.

Ya sabes, sentido común + medidas de ciberseguridad = máxima protección.

Y si quieres saber más sobre ciberseguridad e investigación, ➡️ aquí tienes esta MASTERCLASS GRATUITA en la que aprenderás a extraer y verificar información de Internet para encontrar más pruebas en tus investigaciones.

¿Te ha quedado alguna duda? ¿Quieres hacerme una sugerencia? Ya sabes que puedes utilizar los comentarios, siempre es un placer poder ayudarte en lo que necesites.

Como decía Sherlock Holmes: ya conoces mis métodos, ahora aplícalos. 😉

Referencias:

What is Social Engineering?

Social engineering attack techniques

How social engineering works

What is social engineering? Tips to help avoid becoming a victim

También te puede interesar...

Qué es y cómo hacer un informe de inteligencia (+modelo de informe y consejos prácticos para redactarlo)

Al fin: tu investigación está lista. Has recabado toda la información que necesitabas, la has procesado, has sacado tus conclusiones…

Búsqueda avanzada y análisis de Twitter para OSINT

Cuando queremos hacer una investigación en Twitter podemos usar la caja de búsqueda para encontrar lo que queremos, si bien,

Perfiles falsos en redes sociales: por qué existen y cómo detectarlos (con indicadores de sospecha)

«Una mentira repetida mil veces termina convirtiéndose en verdad.» Esta frase cobra hoy más sentido que nunca. En estos días

Deja un comentario Cancelar la respuesta

CURSO GRATUITO SOBRE TÉCNICAS Y HERRAMIENTAS OSINT

1- Realizar búsquedas avanzadas con comandos especiales

2- Encontrar fuentes alternativas de información o herramientas de Inteligencia Artificial (IA)

3- [Cambio de mentalidad] Encontrarás datos en sitios que no imaginas

[CURSO GRATUITO SOBRE TÉCNICAS Y HERRAMIENTAS OSINT]

Realiza búsquedas avanzadas con comandos especiales, encuentra fuentes alternativas de información y descubre una herramienta OSINT de Inteligencia Artificial (IA). Y lo más importante, te ayudaré a realizar un cambio de mentalidad que te permitirá encontrar datos en sitios que no imaginas.