¿Qué es un ataque de ingeniería social?

En los ataques de ingeniería social, se manipula a las víctimas para que den información confidencial que puede ser utilizada con fines maliciosos.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir ingeniería social
  • Describir varios tipos de ataques de ingeniería social
  • Entender las mejores prácticas para evitar ser víctima de un ataque de ingeniería social

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es la ingeniería social?

A grandes rasgos, la ingeniería social es la práctica de manipular a las personas para que den información confidencial. Los ataques de ingeniería social pueden producirse en persona, como un ladrón que se disfraza de repartidor para entrar en un edificio. Este artículo se centra en los ciberataques de ingeniería social. En la mayoría de los casos, estos ataques tienen como objetivo hacer que la víctima divulgue sus credenciales de acceso o información financiera confidencial.

  • Un atacante envía un correo electrónico a una víctima que parece provenir de alguien de su lista de contactos. Este correo electrónico puede contener un enlace sospechoso que ejecutará un ataque de scripting entre sitios malicioso, o que llevará a la víctima a un sitio malicioso.
  • Un atacante atrae a los usuarios en línea con enlaces que se suponen que son de descargas de películas o de software famosos, pero, en realidad, estas descargas contienen una carga útil maliciosa.
  • Un atacante se pone en contacto con una víctima y le cuenta que es un extranjero muy rico que necesita los datos de una cuenta bancaria de EE.UU. para transferir su fortuna, y le promete una gran recompensa a cambio de los datos de su cuenta bancaria. En realidad, la intención del atacante es esquilmar las cuentas de la víctima.
Ejemplo de ingeniería social

Además de este tipo de pequeñas estafas personales de ingeniería social, también hay ataques de ingeniería social más sofisticados dirigidos contra organizaciones enteras, como por ejemplo dejar tiradas memorias USB. Estos ataques pueden dirigirse a las redes de empresas bien protegidas, incluso a las que no están conectadas a Internet. Los atacantes dejan tiradas varias memorias USB por el aparcamiento de la empresa objetivo. Les ponen una etiqueta atractiva, como "confidencial", con la esperanza de que algún empleado curioso encuentre una y la meta en su ordenador. Estas unidades pueden contener virus o gusanos muy destructivos, que serán difíciles de detectar, ya que entran en la red desde un ordenador local.

¿Cuáles son algunos ejemplos famosos de ataques de ingeniería social?

La fuga de datos de 2011 de RSA creó un gran revuelo, principalmente porque RSA es una empresa de seguridad de confianza. Esta fuga alteró el popular servicio de autenticación en dos fases de RSA, SecurID. Aunque no se han hecho públicos todos los detalles del ataque, se sabe que empezó con un ataque de ingeniería social. El ataque se inició con un ataque básico de phishing, en el que los atacantes enviaron a empleados de bajo nivel de RSA correos electrónicos que parecían ser correos de la empresa relacionados con contrataciones. Uno de estos empleados abrió un archivo adjunto en este correo electrónico que desencadenó el ataque.

La agencia de noticias Associated Press fue víctima de un ataque de ingeniería social en 2013, que provocó un desplome bursátil de 136 000 millones de dólares. Una vez más, esto se produjo mediante un ataque de phishing enviado a los empleados. Bastó con que uno de los empleados abriera un enlace en un correo electrónico para que se desencadenara el ataque, que provocó que la cuenta de Twitter de AP se viera comprometida, y los atacantes tuitearan una noticia falsa sobre una explosión en la Casa Blanca. Esta noticia falsa se difundió muy rápido y provocó una caída en picado de 150 puntos del Dow Jones. Un grupo de hackers sirios conocido como el Ejército Electrónico Sirio se atribuyó la responsabilidad del ataque, pero nunca aportó ninguna prueba.

El ataque de fuga de datos llevado a cabo contra Target en 2013 se ha convertido en uno de los ciberataques más infames de la historia gracias a su nivel de sofisticación. Igual que pasó con los otros mencionados anteriormente, este ataque empezó con ingeniería social, pero los atacantes no fueron a por nadie que trabajara en Target. Esta vez enviaron correos electrónicos a los empleados de un proveedor de calefacción y aire acondicionado que había instalado aparatos de aire acondicionado de alta tecnología en las tiendas de Target. Estos aparatos de aire acondicionado estaban conectados a los sistemas informáticos de las tiendas de Target, y una vez que los atacantes fueron capaces de poner en riesgo al proveedor externo, pudieron hackear las redes de Target y recopilar datos de las tarjetas de crédito de los escáneres de tarjetas de miles de tiendas, sacando a la luz los datos financieros de alrededor de 40 millones de clientes de Target.

Cómo protegerse de los ataques de ingeniería social

Aunque las funciones de seguridad automatizadas, como la detección del correo electrónico, pueden ayudar a evitar que los atacantes se pongan en contacto con las víctimas, la mejor defensa contra los ataques de ingeniería social es el sentido común, combinado con un conocimiento actualizado de los ataques de ingeniería social más populares. El United States Computer Emergency Readiness Team (US-CERT) aconseja a los ciudadanos que desconfíen de cualquier comunicación sospechosa, y que solo envíen información confidencial por la web en páginas web seguras (HTTPS y TLS son buenos indicadores de la seguridad de un sitio web). También recomiendan que no se haga clic en los enlaces enviados en los correos electrónicos y, en su lugar, escribir las urls de las empresas de confianza directamente en el navegador. Los propietarios de sitios web pueden poner de su parte utilizando un servicio como Cloudflare CDN, que les alertará cuando los atacantes estén utilizando su dominio en ataques de phishing.