¿QUÉ ES LA INGENIERÍA SOCIAL?

Phishing, está relacionado con la suplantación de identidad, consiste en el envío masivo de correos electrónicos, para incitar a las víctimas a clicar en algún enlace malicioso y con ello que pueda proporcionar o facilitar la interceptación de datos sensibles. Los más comunes son de envío de paquetería (Correos, MRW,…), entidades bancarias (CaixaBank, Unicaja, Santander…) y publicidad como: ¡OFERTA! ¡GRATIS! ¡Felicidades, tenemos un regalo para ti!

Pretexting, el atacante simula situaciones comunes y ficticias con el objetivo de acercarse a su objetivo y recopilar información personal o datos sensibles. Por regla general, este tipo de ataque requiere de un estudio inicial de la víctima para poder acercarse a ella, por este motivo es tan importante mantener la privacidad en las redes sociales y tener muy controlado la información que presentamos a fuentes abiertas. Un ejemplo muy común de estos ataques son llamadas telefónicas con las que se ganan tu confianza, suplantando la identidad del banco de ahorros al que perteneces, compañía telefónica, etc. Muchas veces estas acciones, también se realizan de forma presencial. Se hacen pasar por compañeros de trabajo, vecinos o gente conocida del círculo de confianza. Requieren de mayor destreza del atacante, pero tiene un mayor impacto en el objetivo si se realiza correctamente.

Baiting, la curiosidad mató al gato, consiste en dejar una trampa o cebo a la víctima para tentarlo a introducir un dispositivo infectado en su propio equipo personal. El ataque más conocido de este tipo es el del pendrive malicioso. Para que seamos conscientes de la sencillez y gran impacto de este ataque, hay que recordar que hasta el Pentágono tiene terminantemente prohibido a sus trabajadores utilizar cualquier tipo de dispositivo de almacenamiento portátil USB.

Dumper Diving, consiste en buscar información del objetivo en los desechos que éste crea, por ejemplo, buscar en la basura. Es muy común tirar cartas de entidades bancarias o telefónicas, contratos de trabajo o documentos antiguos que contengan datos personales. También es posible crear un perfil del objetivo, en base a la basura que genere, tipo de alimentación, gustos, aficiones, etc.

Shoulder surfing, consiste en espiar físicamente a sus víctimas para obtener datos como contraseñas o números de teléfonos, estos ataques están basados en la ingenuidad. Las víctimas confían en las personas de su alrededor e introducen contraseñas delante de ellas, los delincuentes están atentos y memorizan, graban o fotografían, los datos visualizados durante el ataque. Es muy común en entornos de trabajo y en sitios públicos como cafeterías o lugares de transporte público, donde los atacantes primero observan como el objetivo introduce el PIN o patrón del teléfono móvil y más tarde pasan a sustraerlo. De esta forma tienen acceso directo al terminal y a todos sus datos.

Scareware, sucede cuando las víctimas son inundadas de avisos y alertas de algún peligro inminente. Por ejemplo “¡Su dispositivo ha sido infectado! ¡Acaban de iniciar sesión en su cuenta! ¡Alerta de seguridad, ha sido hackeado! Con ello, se incita a la víctima a descargar algún tipo de aplicación o programa para limpiar el ordenador, sin saber que el verdadero archivo malicioso es el ejecutable descargado. Una vez infectado el dispositivo, pueden realizarse infinidad de malas acciones, como robo de contraseñas, dinero, imágenes, datos privados, etc…

SIM Swapping, consiste en suplantar la identidad de la víctima para obtener un duplicado de su tarjeta SIM y realizar actos delictivos como el robo de dinero, ya que la mayoría de entidades bancarias cuentan con seguridad de doble factor.

Quid pro Quo, un favor por otro, en este caso la víctima facilita información personal de forma voluntaria a cambio de algún tipo de beneficio como pueden ser servicios gratuitos o promociones de contratación. Por ejemplo, una empresa ficticia que ofrece su antivirus de forma gratuita durante un año a cambio de inscribirse como usuario. Por tanto, facilitar sus datos personales para dicho registro.

Smishing, consiste en el envío fraudulento de SMS con enlaces maliciosos. Uno de los últimos ataques más conocidos es el que se recibe un mensaje de texto diciendo que el paquete que está esperando está a punto de ser entregado y para recibirlo se debe hacer clic en el siguiente enlace, dicho enlace es una página clonada y falsa en el que el usuario ingresa sus credenciales para ver el estado de su paquete. En este momento el atacante roba las claves de la víctima y antes de que esta se percate del engaño, ha sido redirigido a la página oficial sin mayor alerta.

Vishing, consiste en hacerse pasar por una fuente de confianza para obtener pines y contraseñas de seguridad. Se utiliza mucho en robos a cuentas bancarias, las cuales cuentan con doble factor para realizar transferencias de dinero, los estafadores llaman a la víctima haciéndose pasar por personal de confianza de la empresa y avisándole de un fallo de seguridad en su cuenta. Para verificar la integridad, le dicen que van a enviar un código al teléfono móvil y que el cliente (víctima) debe facilitarlo para la comprobación de seguridad. En cuanto el objetivo facilita el código, acaba de firmar su sentencia de muerte autorizando transferencias bancarias desde su cuenta.

Sextorsión, está basado en el chantaje económico a cambio de que la información privada no sea expuesta en sitios públicos o a personas cercanas de la víctima, fotos, videos, compras, etc. Para poder realizar este tipo de chantajes, anteriormente, los delincuentes han ido realizando diferentes tipos de ataques vistos anteriormente hasta recopilar toda la información deseada de la persona o empresa a extorsionar.