What is the definition of a social engineering attack?

A social engineering attack is the practice of manipulating people to give up confidential information, like login credentials or financial details. These attacks can occur in person, over the phone, via email, through social media, or online.

How do social engineering attacks work?

Social engineering attacks use a variety of tactics to get a victim's trust and manipulate them into taking an unintended action. Common tactics include impersonating a trusted party, baiting victims with something desirable, or creating a fake situation to get information (pretexting). Attackers also use emotional appeals to greed, fear, or curiosity to incite their victims into action.

What are some examples of social engineering attacks?

Examples of social engineering attacks include sending a victim an email from someone in their contact list that contains a malicious link, using a fake login page to steal a user's password, or using a thumb-drive drop attack to target a well-protected company network.

How can social engineering attacks be prevented?

The best defense is common sense and an up-to-date knowledge of these attacks. People should be cautious of suspicious communications, avoid clicking links in emails (instead typing trusted URLs directly into their browser), and contact institutions and service providers directly if they receive an unexpected message. For businesses, using a Zero Trust security model can help contain damage if an attacker uses social engineering to gain a foothold in the network.

How can social engineering attacks impact a business?

Social engineering attacks can be used as a starting point for larger cyber attacks by advanced persistent threats (APTs). By compromising a single person, attackers can more easily access the rest of their organization. Successful social engineering attacks can lead to data exfiltration and ransomware infections, among other attacks.

¿Qué es un ataque de ingeniería social?

En los ataques de ingeniería social, se manipula a las víctimas para que den información confidencial que puede ser utilizada con fines maliciosos.

En términos generales, la ingeniería social es la práctica de manipular a los usuarios para que faciliten información confidencial. Los ataques de ingeniería social pueden producirse en persona, como en el caso de un ladrón que se disfraza de repartidor para que le abran la puerta de un edificio. En cambio, este artículo se centrará en los ciberataques de ingeniería social. En la mayoría de los casos, estos ataques buscan que la víctima revele sus credenciales de inicio de sesión o información financiera confidencial.

Los ataques de ingeniería social pueden tener el siguiente aspecto:

Un atacante envía un correo electrónico a una víctima que parece provenir de alguien de su lista de contactos. Este correo electrónico puede contener un enlace sospechoso que ejecutará un ataque de scripting entre sitios malicioso, o que llevará a la víctima a un sitio malicioso.
Un atacante atrae a los usuarios en línea con enlaces que se suponen que son de descargas de películas o de software famosos, pero, en realidad, estas descargas contienen una carga útil maliciosa.
Un atacante se pone en contacto con una víctima y le cuenta que es un extranjero muy rico que necesita los datos de una cuenta bancaria de EE.UU. para transferir su fortuna, y le promete una gran recompensa a cambio de los datos de su cuenta bancaria. En realidad, la intención del atacante es esquilmar las cuentas de la víctima.
Un atacante envía un correo electrónico de phishing que redirige a la víctima a una página de inicio de sesión falsa que roba su contraseña.

Además de estos tipos de estafas de ingeniería social pequeñas y personales, también existen ataques de ingeniería social más sofisticados que se dirigen contra organizaciones enteras. Un ejemplo son las unidades USB que se dejan intencionalmente en lugares públicos. Estos ataques pueden dirigirse a las redes de empresas bien protegidas, incluso aquellas que no están conectadas a Internet. Los atacantes lo hacen distribuyendo varias memorias USB por el aparcamiento de la empresa objetivo. Les ponen una etiqueta atractiva, como "confidencial", con la esperanza de que algún empleado curioso encuentre una y la meta en su ordenador. Estas unidades pueden contener virus o gusanos muy destructivos que serán difíciles de detectar, ya que entran en la red desde un ordenador local.

Los ataques de ingeniería social pueden ocurrir por teléfono, por correo electrónico, a través de publicaciones en redes sociales e incluso en persona. Utilizan una amplia gama de tácticas, algunas de las cuales se describen a continuación, para ganarse la confianza de la víctima y manipularla para que lleve a cabo la acción deseada. El objetivo siempre es lograr que la víctima haga algo que inicialmente no tenía intención de hacer.

Suplantación de una parte de confianza: esto podría ser una marca, un compañero de trabajo, un jefe o incluso un amigo o un familiar.
Cebo: el atacante ofrece a la víctima algo deseable como cebo. El cebo podría ser una descarga de software gratuito (que contenga malware), la promesa de un pago monetario futuro o un favor profesional.
Pretexting: la mayoría de los ataques de ingeniería social incluyen alguna forma de pretexting, que es cuando el atacante crea o describe una situación falsa y presenta una solución a la víctima. Por ejemplo, el atacante podría decir que la víctima no puede acceder a una cuenta importante y que necesita que le facilite sus credenciales de inicio de sesión para solucionar el problema.
Atractivo emocional: los estafadores intentan provocar un sentimiento en sus víctimas para inducirlas a actuar. Pueden usar el miedo (describiendo una situación negativa que debe corregirse), la codicia (ofreciendo algo a la víctima), la solicitud de ayuda (fingiendo necesitar ayuda) u otros sentimientos fuertes para manipular a sus objetivos.
Scareware: el software diseñado con fines de ingeniería social se denomina scareware. Este software generalmente funciona mostrando mensajes emergentes que asustan al usuario, como un mensaje que indica que su ordenador tiene múltiples virus. Los mensajes también indican a la víctima que se descargue malware o entregue información personal para solucionar el problema (ficticio).

Algunos atacantes de ingeniería social simplemente buscan obtener lo que puedan de sus víctimas directas. Otros, sin embargo, utilizan la ingeniería social para alcanzar objetivos más amplios, como comprometer toda una empresa o red y los datos que contienen. Muchos ataques de ransomware y fugas de datos empiezan con la ingeniería social. Una vez que los atacantes vulneran a un usuario, les resulta más fácil acceder al resto de la organización de ese usuario.

La fuga de datos de 2011 de RSA creó un gran revuelo, principalmente porque RSA es una empresa de seguridad de confianza. Esta fuga alteró el popular servicio de autenticación en dos fases de RSA, SecurID. Aunque no se han hecho públicos todos los detalles del ataque, se sabe que empezó con un ataque de ingeniería social. El ataque se inició con un ataque básico de phishing, en el que los atacantes enviaron a empleados de bajo nivel de RSA correos electrónicos que parecían ser correos de la empresa relacionados con contrataciones. Uno de estos empleados abrió un archivo adjunto en este correo electrónico que desencadenó el ataque.

La agencia de noticias Associated Press fue víctima de un ataque de ingeniería social en 2013, que provocó un desplome bursátil de 136 000 millones de dólares. Una vez más, esto se produjo mediante un ataque de phishing enviado a los empleados. Bastó con que uno de los empleados abriera un enlace en un correo electrónico para que se desencadenara el ataque, que provocó que la cuenta de Twitter de AP se viera comprometida, y los atacantes tuitearan una noticia falsa sobre una explosión en la Casa Blanca. Esta noticia falsa se difundió muy rápido y provocó una caída en picado de 150 puntos del Dow Jones. Un grupo de hackers sirios conocido como el Ejército Electrónico Sirio se atribuyó la responsabilidad del ataque, pero nunca aportó ninguna prueba.

El ataque de fuga de datos llevado a cabo contra Target en 2013 se ha convertido en uno de los ciberataques más infames de la historia gracias a su nivel de sofisticación. Igual que pasó con los otros mencionados anteriormente, este ataque empezó con ingeniería social, pero los atacantes no fueron a por nadie que trabajara en Target. Esta vez enviaron correos electrónicos a los empleados de un proveedor de calefacción y aire acondicionado que había instalado aparatos de aire acondicionado de alta tecnología en las tiendas de Target. Estos aparatos de aire acondicionado estaban conectados a los sistemas informáticos de las tiendas de Target, y una vez que los atacantes fueron capaces de poner en riesgo al proveedor externo, pudieron hackear las redes de Target y recopilar datos de las tarjetas de crédito de los escáneres de tarjetas de miles de tiendas, sacando a la luz los datos financieros de alrededor de 40 millones de clientes de Target.

Aunque las funciones de seguridad automatizadas, como el filtrado de correos electrónicos, pueden ayudar a prevenir que los atacantes contacten a las víctimas, la mejor defensa contra los ataques de ingeniería social es el sentido común combinado con un conocimiento actualizado de los ataques de ingeniería social más populares. El Equipo de Respuesta a Emergencias Informáticas de los Estados Unidos (US-CERT) aconseja a los ciudadanos que desconfíen de cualquier comunicación sospechosa y que solo envíen información confidencial a través de la web en páginas web seguras (HTTPS y TLS son buenos indicadores de la seguridad del sitio web). También recomiendan evitar hacer clic en los enlaces enviados en correos electrónicos y, en su lugar, escribir las URL de empresas de confianza directamente en el navegador. Los propietarios de sitios web pueden poner de su parte utilizando un servicio como Cloudflare, que les alertará cuando los atacantes estén utilizando su dominio en ataques de phishing.

Para las empresas, el daño causado por un ataque de ingeniería social puede contenerse cuando una organización utiliza un modelo de seguridad Zero Trust. Este modelo dificulta mucho más que los atacantes puedan avanzar en una red o un sistema una vez que han conseguido acceder a ellos. Obtén más información sobre cómo las empresas se protegen de la ingeniería social utilizando la seguridad Zero Trust.

Preguntas frecuentes

Un ataque de ingeniería social es la práctica de manipular a los usuarios para que revelen información confidencial, como credenciales de inicio de sesión o datos financieros. Estos ataques pueden ocurrir en persona, por teléfono, por correo electrónico, a través de redes sociales o en línea.

Los ataques de ingeniería social emplean una variedad de tácticas para ganarse la confianza de la víctima y manipularla para que lleve a cabo una acción no intencionada. Las tácticas más comunes incluyen hacerse pasar por una persona de confianza, atraer a las víctimas con algo deseable o crear una situación falsa para obtener información (pretexting). Los atacantes también utilizan recursos emotivos como la codicia, el miedo o la curiosidad para incitar a sus víctimas a actuar.

Algunos ejemplos de ataques de ingeniería social son enviar a la víctima un correo electrónico desde alguien de su lista de contactos que contiene un enlace malicioso, utilizar una página de inicio de sesión falsa para robar la contraseña de un usuario o utilizar la táctica de dejar unidades USB infectadas en lugares públicos para atacar una red empresarial bien protegida.

La mejor defensa es el sentido común y un conocimiento actualizado de estos ataques. Los usuarios deben ser cautelosas con las comunicaciones sospechosas, evitar hacer clic en enlaces de correos electrónicos (en su lugar, escribir las URL fiables directamente en su navegador) y contactar directamente a las instituciones y proveedores de servicios si reciben un mensaje inesperado. Para las empresas, el uso de un modelo de seguridad Zero Trust puede ayudar a contener los daños si un atacante utiliza ingeniería social para hacerse un hueco en la red.

Los ataques de ingeniería social pueden servir como punto de partida para ciberataques más grandes llevados a cabo por amenazas persistentes avanzadas (APT). Si se vulnera a una sola persona, los atacantes pueden acceder más fácilmente al resto de la organización. Los ataques exitosos de ingeniería social pueden resultar en la exfiltración de datos y en infecciones de ransomware, entre otros ataques.

¿Qué es un ataque de ingeniería social?

¿Qué es la ingeniería social?

¿Cómo funcionan los ataques de ingeniería social?

Tácticas de ingeniería social

Cómo se integran los ataques de ingeniería social en campañas de ciberataques más amplias

¿Cuáles son algunos ejemplos famosos de ataques de ingeniería social?

Cómo protegerse de los ataques de ingeniería social

Preguntas frecuentes

¿Cuál es la definición de un ataque de ingeniería social?

¿Cómo funcionan los ataques de ingeniería social?

¿Cuáles son algunos ejemplos de ataques de ingeniería social?

¿Cómo se pueden prevenir los ataques de ingeniería social?

¿Cómo pueden afectar a una empresa los ataques de ingeniería social?