Contenidos
Phishing de voz
Y lo que es más aterrador, el 60% de las empresas que sufren un ataque cierran sus puertas en un plazo de seis meses como consecuencia directa. Lo que más vemos es que los ciberdelincuentes utilizan la “ingeniería social” para sonsacar dinero y activos a las víctimas desprevenidas.
El “fraude por ingeniería social” (SEF) se produce cuando un estafador se gana la confianza de una persona, normalmente en un puesto de influencia dentro de una empresa, y la “engaña” para que comparta información confidencial o incluso transfiera fondos directamente al delincuente. A diferencia del pirateo, que suele consistir en la alteración del software o el código de un sistema por parte de un pirata informático externo, el SEF se basa en gran medida en la interacción humana y las víctimas no suelen ser conscientes de lo que ocurre.
Los trucos utilizados varían desde el acceso a correos electrónicos que contienen enlaces corruptos, llamadas telefónicas o, más comúnmente, un correo electrónico que se hace pasar por un empleado de confianza, un vendedor, un proveedor, un cliente o incluso un director general. Estos correos electrónicos se denominan comúnmente “phishing”.
Al hacerse pasar por estas personas, es probable que el estafador ya haya estado vigilando la comunicación interna durante algún tiempo, lo que significa que le resulta fácil replicar el estilo y los patrones de comunicación habituales de su víctima. El correo electrónico falso suele solicitar que se cambien los datos bancarios y de pago, o que se procesen pagos urgentes a través de EFT a nuevas cuentas.
La ingeniería social suele producirse cuando los piratas informáticos manipulan a los empleados para que revelen información privada que les lleva a desprenderse voluntariamente de fondos de la empresa o del cliente, dinero o productos. Los hackers se aprovechan de la naturaleza humana para explotar una empresa objetivo a través de sus empleados. La ingeniería social suele implicar un correo electrónico u otro tipo de comunicación que induce una sensación de urgencia en la víctima, lo que la lleva a cumplir rápidamente. Si se educa al personal para que esté atento a estas tácticas, las empresas pueden reducir el riesgo de ser presa de estos esquemas.
Un empleado recibió correos electrónicos supuestamente enviados por el director general y la empresa auditora de la compañía. Los correos electrónicos indicaban que el objetivo debía transferir millones a un banco chino. Los primeros correos electrónicos insistían en el secreto absoluto, citando la naturaleza confidencial de la “transacción”, y ordenaban que toda la comunicación fuera por correo electrónico. Un correo electrónico posterior indicaba al objetivo que se pusiera en contacto con un empleado de la empresa de contabilidad para obtener detalles sobre dónde transferir el dinero. El número de teléfono y el contacto eran fraudulentos y estaban creados específicamente para engañar a la víctima.
Ver más
La ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. El tipo de información que buscan estos delincuentes puede variar, pero cuando los individuos son el objetivo, los delincuentes suelen intentar engañarle para que les dé sus contraseñas o información bancaria, o acceder a su ordenador para instalar secretamente software malicioso, que les dará acceso a sus contraseñas e información bancaria, además de darles el control de su ordenador.
Los delincuentes utilizan tácticas de ingeniería social porque suele ser más fácil explotar su inclinación natural a la confianza que descubrir formas de piratear su software. Por ejemplo, es mucho más fácil engañar a alguien para que te dé su contraseña que intentar hackear su contraseña (a menos que la contraseña sea realmente débil).
La seguridad consiste en saber en quién y en qué confiar. Es importante saber cuándo y cuándo no creer en la palabra de una persona y cuándo la persona con la que te comunicas es quien dice ser. Lo mismo ocurre con las interacciones en línea y el uso de sitios web: ¿cuándo confías en que el sitio web que utilizas es legítimo o es seguro para proporcionar tu información?
La ingeniería social es el término utilizado para una amplia gama de actividades maliciosas realizadas a través de las interacciones humanas. Utiliza la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o faciliten información sensible.
Los ataques de ingeniería social se producen en uno o varios pasos. En primer lugar, el agresor investiga a la víctima prevista para recopilar la información de fondo necesaria, como los posibles puntos de entrada y los protocolos de seguridad débiles, necesarios para llevar a cabo el ataque. A continuación, el atacante se mueve para ganarse la confianza de la víctima y proporcionar estímulos para las acciones posteriores que rompen las prácticas de seguridad, como revelar información sensible o conceder acceso a recursos críticos.
Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa en el error humano, más que en las vulnerabilidades del software y los sistemas operativos. Los errores cometidos por los usuarios legítimos son mucho menos predecibles, por lo que son más difíciles de identificar y frustrar que una intrusión basada en malware.
Los ataques de ingeniería social tienen muchas formas diferentes y pueden realizarse en cualquier lugar donde haya interacción humana. A continuación se describen las cinco formas más comunes de ataques digitales de ingeniería social.