Ataques de ingeniería social y cómo defenderte
Lectura de 2 min aprox.
La ingeniería social es un término colectivo para las técnicas de ataque que extraen información confidencial explotando las debilidades psicológicas y las relaciones de confianza de las personas, en lugar de medios técnicos. Por muy robusto que sea el sistema de seguridad que construyas, no sirve de nada si se engaña a la persona que lo opera. Estos ataques se basan en el principio de que el eslabón más débil de la seguridad es siempre el «ser humano». Según un estudio de Verizon de 2024, en cerca del 68% de las filtraciones de datos intervino un factor humano, y los sofisticados ataques de suplantación que abusan de la IA generativa van en aumento.
Antecedentes históricos
Quien dio a conocer ampliamente el concepto de ingeniería social fue Kevin Mitnick, un hacker activo en la década de 1990. Recurría más a la suplantación por teléfono y a la manipulación psicológica que al hackeo técnico, y se infiltró en los sistemas de grandes empresas. Su libro «The Art of Deception», publicado tras su arresto, todavía se lee hoy como un clásico de la ingeniería social. Con la expansión de internet, los métodos de ataque evolucionaron hacia correos de phishing y sitios web falsos, pero la esencia de explotar la psicología humana no ha cambiado.
Técnicas comunes
El pretexting es una técnica en la que un atacante se hace pasar por una persona de confianza, como soporte de TI o un superior, para sonsacar contraseñas o información confidencial. El tailgating es un método de intrusión física que consiste en cruzar una puerta de seguridad siguiendo de cerca a un empleado legítimo. El baiting es una técnica que consiste en introducir malware en una memoria USB u otro dispositivo y conseguir que la víctima lo conecte por curiosidad. El quid pro quo es un método para sonsacar información ofreciendo «algo a cambio», como hacerse pasar por una «evaluación de seguridad gratuita».
Sobre las técnicas de ataque que explotan la psicología humana, libros sobre ingeniería social (Amazon) son conocidos como obras de referencia clásicas.
Casos de uso reales
«Como resultado de un ejercicio de phishing simulado, el 38% de los empleados nuevos hizo clic en el enlace del correo falso. Cambiaremos la política para impartir formación en contramedidas de ingeniería social cada trimestre.»
Clasificación de los métodos de ataque
Phishing, smishing, vishing
Pretexting, tailgating
Baiting (USB), shoulder surfing
Defensas y trampas en la práctica
Defenderse de la ingeniería social requiere medidas tanto técnicas como humanas. Verifica siempre la identidad de quien hace una solicitud sospechosa y establece como norma absoluta no comunicar contraseñas por teléfono ni por correo electrónico. En las organizaciones, la formación periódica en seguridad y los ejercicios de phishing simulado son eficaces. Una trampa común es el exceso de confianza de pensar «nuestros empleados no caerán». Cuando se realizan ejercicios, se ha informado de casos en los que incluso empleados del departamento de TI caen en ataques sofisticados. Si usas una contraseña aleatoria imposible de adivinar, no servirá de nada que un atacante intente sonsacar una «pista de la contraseña».materiales de concienciación sobre seguridad (Amazon) también ayudan a reforzar las defensas de una organización.
¿Te resultó útil este artículo?