11 Tipos de ataques de ingeniería social

Usando el engaño y la manipulación, los ataques de ingeniería social inducen al objetivo a hacer algo que un atacante quiere. El ingeniero social puede usar trucos, coerción u otros medios para influir en su objetivo.

Lea el libro electrónico Solicite una demostración

La amenaza de la ingeniería social

Una concepción popular de los ciberataques es que implican que un pirata informático identifique y explote una vulnerabilidad en los sistemas de una organización. Esto les permite acceder a datos confidenciales, instalar malware o realizar otras acciones maliciosas. Si bien este tipo de ataques son frecuentes, una amenaza más común es la ingeniería social. En general, es más fácil engañar a una persona para que realice una acción concreta (como introducir sus credenciales de inicio de sesión en una página de phishing) que lograr el mismo objetivo por otros medios.

11 Tipos de ataques de ingeniería social

Los actores de amenazas cibernéticas pueden usar técnicas de ingeniería social de varias maneras para lograr sus objetivos. Algunos ejemplos de ataques comunes de ingeniería social incluyen los siguientes:

  1. Phishing: El phishing implica el envío de mensajes diseñados para engañar o obligar al objetivo a realizar alguna acción. Por ejemplo, los correos electrónicos de phishing suelen incluir un enlace a una página web de phishing o un archivo adjunto que infecta la computadora del usuario con malware. Los ataques de Spear phishing son un tipo de phishing que se dirige a un individuo o a un grupo pequeño.
  2. Business Email Compromise (BEC): En un ataque BEC, el atacante se disfrace como un ejecutivo dentro de la organización. Luego, el atacante instruye a un empleado para que realice una transferencia bancaria enviando dinero al atacante.
  3. Fraude de facturas: En algunos casos, los ciberdelincuentes pueden hacerse pasar por un proveedor o proveedor para robar dinero de la organización. El atacante envía una factura falsa que, cuando se paga, envía dinero al atacante.
  4. Implantación de marca: La suplantación de marca es una técnica común en los ataques de ingeniería social. Por ejemplo, los phishers pueden pretender ser de una marca importante (DHL, LinkedIn, etc.) y engañar al objetivo para que inicie sesión en su cuenta en una página de phishing, proporcionándole al atacante las credenciales del usuario.
  5. Ballenera: Los ataques de caza de ballenas son básicamente ataques de phishing dirigidos a empleados de alto nivel dentro de una organización. Los ejecutivos y la administración de nivel superior tienen el poder de autorizar acciones que beneficien a un atacante.
  6. Cebo: Los ataques de cebo utilizan un pretexto libre o deseable para atraer el interés del objetivo, lo que le pide que entregue sus credenciales de inicio de sesión o tome otras medidas. Por ejemplo, objetivos tentadores con música gratis o descuentos en software premium.
  7. Vishing: El vishing o “phishing de voz” es una forma de ingeniería social que se realiza por teléfono. Utiliza trucos y técnicas similares al phishing, pero con un medio diferente.
  8. Smishing: Smishing es phishing realizado a través de mensajes de texto SMS. Con el creciente uso de teléfonos inteligentes y servicios de acortamiento de enlaces, el smishing se está convirtiendo en una amenaza cada vez más común.
  9. Pretexting: El pretexteo implica que el atacante cree un escenario falso en el que sería lógico que el objetivo envíe dinero o entregue información confidencial al atacante. Por ejemplo, el atacante puede afirmar ser una parte de confianza que necesita información para verificar la identidad de la víctima.
  10. Quid Pro Quo: En un ataque quid pro quo, el atacante le da al objetivo algo, como dinero o un servicio, a cambio de información valiosa.
  11. Tailgating/Piggybacking: El tailgating y el piggybacking son técnicas de ingeniería social que se utilizan para obtener acceso a áreas seguras. El ingeniero social sigue a alguien a través de una puerta con o sin su conocimiento. Por ejemplo, un empleado puede abrir una puerta para alguien que lucha con un paquete pesado.

Cómo prevenir los ataques de ingeniería social

La ingeniería social se dirige a los empleados de una organización en lugar de a las debilidades de sus sistemas. Algunas de las formas en que una organización puede protegerse contra los ataques de ingeniería social incluyen:

  • Educación del empleado: Los ataques de ingeniería social están diseñados para engañar al objetivo previsto. Capacitar a los empleados para identificar y responder adecuadamente a las técnicas comunes de ingeniería social ayuda a reducir el riesgo de que se enamoren de ellos.
  • Privilegio mínimo: Los ataques de ingeniería social generalmente se dirigen a las credenciales de usuario, que se pueden usar en ataques de seguimiento. Restringir el acceso que tienen los usuarios limita el daño que se puede hacer con estas credenciales.
  • Separación de funciones: La responsabilidad de los procesos críticos, como las transferencias electrónicas, debe dividirse entre varias partes. Esto asegura que ningún empleado pueda ser engañado o coaccionado para que realice estas acciones por un atacante.
  • Soluciones antiphishing: El phishing es la forma más común de ingeniería social. Las soluciones antiphishing, como el escaneo de correo electrónico, pueden ayudar a identificar y bloquear el correo electrónico malicioso para que no llegue a las bandejas de entrada de los usuarios.
  • autenticación de múltiples factores (MFA): MFA hace que sea más difícil para un atacante utilizar credenciales comprometidas por ingeniería social. Además de una contraseña, el atacante también requeriría acceso al otro factor MFA.
  • seguridad de terminales: La ingeniería social se utiliza comúnmente para enviar malware a los sistemas de destino. Las soluciones de seguridad de terminales pueden limitar los impactos negativos de un ataque de phishing exitoso al identificar y remediar las infecciones de malware.

Evite ataques de ingeniería social con Check Point

La ingeniería social es una amenaza significativa para la ciberseguridad empresarial. Obtenga más información sobre la amenaza de la ingeniería social en el libro electrónico Historia, evolución y futuro de la ingeniería social.

Check Point Harmony Email and Office proporciona una sólida protección contra el phishing, la principal amenaza de ingeniería social a la que se enfrentan las empresas. Obtenga más información sobre cómo gestionar la exposición de su organización a la ingeniería social registrándose hoy para una demostración gratuita .

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.