MENÚ

Ingeniería social: qué es y qué técnicas utilizan los timadores para que facilitemos nuestros datos

Publicado
Claves
  • La ingeniería social comprende un conjunto de técnicas que usan los timadores para que seamos nosotros, los usuarios, quienes acabemos facilitando nuestros datos personales o bancarios
  • El phishing, el smishing y el vhishing son ejemplos de ingeniería social en los que los ciberdelincuentes se hacen pasar por una empresa o entidad que conocemos para hacerse con nuestra información personal
  • Las estafas con reservas online de alojamientos, las falsas ofertas de trabajo o las falsas ofertas de inversión también son ataques de ingeniería social dado que el usuario realiza una acción sin saber que está siendo engañado
Comparte
Etiquetas

La ingeniería social reúne un conjunto de técnicas que utilizan los ciberdelincuentes “para conseguir que nosotros realicemos una acción que juegue en nuestra contra o en contra de la seguridad de nuestros dispositivos”, explicó Josep Albors, responsable de Investigación y Concienciación de ESET España, en la Maldita Twitchería que organizamos por el Mes Europeo de la Ciberseguridad. Según el experto, todos hemos visto alguna vez un ejemplo de ingeniería social: “Al abrir el email podemos encontrar muchos engaños en forma de correos electrónicos, en los que se hacen pasar por empresas, organismos públicos e incluso por servicios que utilizamos todos los días”. A esta técnica se la conoce como phishing y el objetivo es que seamos nosotros mismos, los usuarios, quienes acabemos facilitando nuestros datos personales o bancarios.

Los ciberdelincuentes nos convencen para que facilitemos nuestros datos o dinero de forma voluntaria

La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) señala otras tácticas de ingeniería social que usan los timadores, como son el smishing (suplantación de empresas o entidades a través de SMS) o el vishing (suplantación a través de llamada telefónica). Estas técnicas, que se usan para obtener información personal como contraseñas o números de tarjetas bancarias, suelen apelar “a las emociones de las víctimas para conseguir su objetivo”, apunta la OSI.

También hablamos de ingeniería social cuando advertimos de estafas con alquileres y reservas online de alojamientos, en las que una empresa ficticia o persona finge ser dueña de una propiedad para que las víctimas realicen un pago por adelantado. Otros métodos son las falsas ofertas de empleo o las plataformas de inversiones falsas, las cuales “utilizan técnicas de persuasión para convencer a las personas de invertir su dinero en ellas”, como explica la OSI. En general, una técnica de ingeniería social es cualquiera que se base en la manipulación para conseguir que la víctima realice una acción sin darse cuenta de que está siendo engañada. Como apunta Susana Regalado Cristóbal, experta en ciberseguridad y maldita que nos ha prestado sus superpoderes, el objetivo es que los usuarios proporcionen sus datos “de forma voluntaria”.

Además, según indica la OSI, en ocasiones los ciberdelincuentes preparan con antelación sus ataques de ingeniería social. El primer paso es la investigación sobre la víctima, recabando información que está disponible, por ejemplo, en sus redes sociales. El segundo paso es el “gancho”, el timador elabora una historia para engañar a la víctima y ganarse su confianza —algo que vemos, por ejemplo, en los timos amorosos—. Por último, llega la fase de ejecución: el ciberdelincuente intenta manipular a la víctima para que “le facilite la información que necesita o realice los pasos que se le indican”, según la OSI.

Cómo evitar los intentos de ingeniería social

Para protegernos de este tipo de ataques, la Agencia de Ciberseguridad de la Unión Europea (ENISA) recomienda desconfiar de las solicitudes inesperadas de información; de los mensajes de urgencia que pretenden presionarte para que hagas algo y de las ofertas demasiado buenas para ser ciertas.

Para protegernos de este tipo de ataques, la Agencia de Ciberseguridad de la Unión Europea (ENISA) recomienda tener presente lo siguiente:

  1. Cuidado con las solicitudes inesperadas de información. Recuerda que tu banco nunca te pedirá tus contraseñas a través de SMS o correo electrónico.
  2. En la vida nadie regala nada (y tampoco en la vida online). Desconfía de las ofertas demasiado buenas para ser ciertas.
  3. Ojo si te están presionando para que hagas algo. Mantén la calma y piensa antes de realizar cualquier acción.
  4. No compartas información personal sensible como contraseñas, números de tarjetas bancarias o cualquier dato identificativo.
  5. Antes de hacer clic en un enlace, comprueba su autenticidad. Fíjate en el dominio de la página.
  6. Utiliza contraseñas seguras y habilita la doble autenticación. También es recomendable realizar copias de seguridad y mantener todos tus dispositivos actualizados.
  7. No hables con extraños. Sospecha de mensajes raros de personas que no conoces en la vida real o con las que no has tenido contacto en mucho tiempo.

En este artículo ha colaborado con sus superpoderes Susana Regalado Cristóbal, experta en ciberseguridad.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Maldito Timo cuenta con el apoyo de: