¿Qué es la ingeniería social?

December 13, 2024 | 5 minutes read
¿Qué es la ingeniería social?

A medida que los nuevos servicios en línea, como las plataformas de redes sociales y las aplicaciones móviles, han ido ganando popularidad en la última década, los ciberdelincuentes también han desarrollado nuevos métodos y técnicas orientados a robar la información personal de los usuarios en línea. Dicho esto, la ingeniería social es una forma prominente en la que los delincuentes pueden utilizar el engaño y el subterfugio para robar los datos personales de un consumidor, ya sea en forma de detalles de cuentas financieras, o el número de la seguridad social de una persona, entre otra información pertinente. Al igual que los estafadores han utilizado a lo largo de la historia la manipulación verbal y las habilidades de observación para aprovecharse de personas desprevenidas, estos mismos conceptos se siguen utilizando hoy en día, aunque en otro medio.

¿Cómo funciona la ingeniería social?

El concepto básico de la ingeniería social consiste en que un ciberdelincuente o malhechor se hace pasar por alguien que no es, como el director de un banco, con el objetivo de robar algún tipo de información o datos bajo la apariencia de una interacción legítima. Para ilustrar aún más este punto, muchos consumidores en EE.UU. pueden haberse encontrado con facturas fraudulentas de Paypal al revisar sus cuentas de correo electrónico. Estos correos electrónicos se presentan como comunicaciones legítimas enviadas en nombre de la multinacional de tecnología financiera. Sin embargo, cuando un usuario hace clic en un correo electrónico de este tipo y proporciona su información personal, en realidad estará revelando sus datos a un ciberdelincuente que busca aprovecharse de él.

Con este fin, la ingeniería social busca sacar provecho de la confianza que las personas de una determinada sociedad tienen en ciertas empresas, instituciones financieras, medios de comunicación, etc. Volviendo al ejemplo de Paypal, los servicios en línea que ofrece la empresa representan una de las formas originales en que los amigos y familiares, así como los consumidores, pueden enviarse pagos entre sí a través de Internet de forma segura. Debido a la reputación que Paypal se ha forjado a lo largo de los años, muchas personas verán una factura de Paypal en su correo electrónico y no pensarán nada al respecto, mientras que una factura similar de otra empresa que no tuviera la misma reputación probablemente suscitaría cierto nivel de sospecha y aprensión.

Formas de ingeniería social

Dicho esto, un ciberdelincuente que quiera lanzar un ataque de ingeniería social contra un particular o una empresa puede utilizar una amplia gama de técnicas diferentes para hacerlo. Del mismo modo, los ataques de phishing son quizás la forma más común de ingeniería social con la que el consumidor cotidiano se habrá topado, ya que los correos electrónicos falsos de Paypal que se envían a la cuenta de correo electrónico de una persona son un ejemplo de libro de texto de este tipo de ataques de ingeniería social. Sin embargo, existen otros métodos que los ciberdelincuentes también pueden utilizar para propagar un ataque de ingeniería social. Por ejemplo, el señuelo es una técnica muy similar al phishing, con la única diferencia de que el primero intentará prometer a un consumidor un producto, bien o servicio concreto para conseguir que responda a su correo electrónico fraudulento.

Por otra parte, el pretexting es otro método que un ciberdelincuente puede utilizar para robar información personal de una persona concreta. Al utilizar este método, un ciberdelincuente suele plantear un escenario fraudulento a un consumidor, con el objetivo de que el consumidor en cuestión facilite al delincuente su información personal. Por ejemplo, muchos usuarios tendrán que confirmar su identidad cuando olviden su nombre de usuario o contraseña para una cuenta en línea. De este modo, un ciberdelincuente que utilice un ataque de pretexto puede hacerse pasar por un empleado legítimo de Recursos Humanos o un ejecutivo para robar la identidad de un consumidor determinado.

Tailgaiting

Por el contrario, a pesar de las numerosas formas en que los delincuentes pueden robar los datos personales de otros utilizando métodos digitales, todavía hay casos en los que un ciberdelincuente intentará acceder a esos datos en el ámbito de un espacio de trabajo físico. Por ejemplo, Colin Greenlees, consultor de seguridad de Siemens Enterprise Communications, consiguió acceder sin autorización a una empresa de servicios financieros del FTSE en 2009, en lo que se conoce como un ataque tailgating. Como su nombre indica, un ataque de seguimiento consiste en seguir a un empleado de una empresa hasta una zona restringida de la misma y obtener información personal de la misma manera que lo haría otro empleado legítimo. Esto puede incluir sentarse en las reuniones de la empresa, robar papeles de la mesa de un empleado y hacer preguntas falsas para obtener información legítima, entre otras cosas.

Aunque la ciberdelincuencia ya estaba en aumento en los últimos años, el inicio de la pandemia mundial de COVID-19 sólo proporcionó a los delincuentes más incentivos para robar los datos personales de otras personas. Hasta este punto, muchos de estos delincuentes utilizaban ataques de ingeniería social cuando buscaban robar información, como las estafas de prestaciones de desempleo que se cebaron con ciudadanos estadounidenses en ciudades como Washington, DC, además de muchas otras. Además, a diferencia de muchas otras formas de ciberdelincuencia, los ataques de ingeniería social están diseñados para aprovecharse de los pensamientos y emociones de la gente corriente, en lugar de atacar directamente un sistema informático o una base de datos en línea. Por este motivo, las personas de todo el mundo tendrán que ser más discretas en sus comunicaciones en línea para evitar ser víctimas de un ataque de ingeniería social.

Related Reads

January 03, 2025 | 6 minutes read
Lo que ChatGPT no puede hacer | El derecho al olvido

ChatGPT parece ser el futuro de la IA, pero ¿qué no puede hacer? Más información sobre sus limitaciones y el Derecho al Olvido en el GDPR del Reino Unido.

Conozca Más »
canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »