La mayoría de los ataques no empiezan con malware; empiezan con un mensaje aparentemente normal, ya sea por correo electrónico, una llamada telefónica o un chat, y eso es precisamente lo que los hace tan efectivos. Estas amenazas se basan en la manipulación psicológica para burlar a las personas, no a los cortafuegos. Se aplica presión, se finge autoridad y se imita la comunicación.
Según Avast, las amenazas de ingeniería social representan la mayoría de las ciberamenazas que enfrentaron las personas en 2024.
Algunas personas son más fáciles de manipular que otras, pero no importa lo buenos que seamos en reconocer la ingeniería social, todos podemos tener un mal día y bajar la guardia.
Un ejemplo reciente es el del experto en seguridad Troy Hunt, creador de Have I Been Pwned (HIBP), quien reveló haber sido víctima de un correo electrónico de phishing bien diseñado. El atacante accedió a su cuenta de Mailchimp y robó una lista de direcciones de correo electrónico de los suscriptores de su boletín informativo.
Hay numerosas formas en las que los delincuentes intentarán encontrar el botón emocional que les ayudará a conseguir lo que quieren.
Una de las últimas tendencias se conoce como tácticas de «auto-estafa». En lugar de robar tus datos directamente, te engañan para que los entregues. Podrías compartir una contraseña, hacer clic en un mensaje falso o desactivar una medida de seguridad, porque parece una tarea normal. Estos ataques funcionan porque se integran en las herramientas y rutinas cotidianas.
Como lo expresó Josh Taylor , analista principal de ciberseguridad de Fortra: «Lo que hace que estos ataques sean tan peligrosos es su engañosa familiaridad. Se acabaron las señales de alerta evidentes. En su lugar, hay avisos de apariencia auténtica diseñados para explotar nuestros hábitos y nuestra confianza en la tecnología cotidiana».
Un truco de ingeniería social que se está volviendo particularmente popular es inducir a los usuarios a instalar malware mediante mensajes de error falsos . Los investigadores de Proofpoint señalan que estos mensajes a menudo parecen advertencias legítimas del sistema, engañando a los usuarios para que realicen acciones como instalar certificados raíz o ejecutar scripts sospechosos, mientras fingen solucionar un problema.
La psicología detrás de la ingeniería social
Autoridad
Las personas tienden a confiar más en quienes parecen tener autoridad. Suplantar la identidad de figuras importantes, como un jefe o un administrador de TI, convence a otros de seguir su ejemplo. Al explotar esta confianza, se puede manipular a las personas para que tomen medidas que normalmente no considerarían.
Urgencia y miedo
La presión del tiempo y el miedo suelen ir de la mano. Los mensajes pueden advertir que una cuenta será bloqueada, que un pago ha fallado o que se han expuesto datos confidenciales. Esta combinación genera pánico y apresura a las personas a actuar antes de pensar. Cuando la emoción se apodera de nosotros, es más fácil cometer errores, sobre todo cuando una tarea parece rutinaria pero no lo es.
Prueba social
Los humanos, por naturaleza, buscan la orientación de los demás. Las reseñas falsas o los mensajes que se hacen pasar por colegas conocidos hacen que el mensaje parezca más legítimo, lo que aumenta la probabilidad de que se confíe en él.
Reciprocidad
Cuando alguien hace algo bueno por nosotros, sentimos la presión de devolver el favor. Ofrecer ayuda o un regalo por adelantado facilita solicitar información personal o acceso después.
Familiaridad
Tendemos a confiar en las cosas que nos resultan familiares. Imitando a amigos, compañeros de trabajo, correos electrónicos, sitios web o mensajes de confianza, los intentos parecen más legítimos, lo que dificulta reconocer una estafa.
Del lobby a la brecha
No toda la ingeniería social ocurre en línea. A veces, empieza en la puerta principal. El tailgating, la clonación de credenciales o hacerse pasar por un repartidor son formas sencillas de entrar en un edificio seguro. Una vez dentro, es más fácil conectar dispositivos no autorizados, acceder a máquinas desbloqueadas o recopilar información confidencial.
Kevin Mitnick demostró cómo los atacantes a menudo se basan únicamente en una conversación informal o señales sociales sutiles para manipular a las personas.
Ante una intrusión física, intervienen muchos factores: la hora del día, la ubicación, la seguridad implementada y las personas encargadas de su mantenimiento. Todos estos factores cambian constantemente, a menudo sin previo aviso, lo que dificulta enormemente la prevención. Muchas empresas implementan lo mínimo indispensable y esperan que todo salga bien hasta que, lamentablemente, se demuestra que están equivocados. La naturaleza humana siempre ha tenido aversión a contemplar y prepararse para resultados negativos —dijo Jayson E. Street , Director Adversario de Secure Yeti—.
El papel de la IA en la ingeniería social
Los ataques de vishing y phishing deepfake están en aumento a medida que los atacantes aprovechan GenAI para amplificar las tácticas de ingeniería social, según Zscaler.
En 2024, una videoconferencia deepfake , combinada con técnicas de ingeniería social, condujo al robo de más de 25 millones de dólares de una importante empresa multinacional.
“Los deepfakes se están volviendo tan convincentes, tan realistas, que incluso a los investigadores más veteranos les resulta difícil diferenciar lo real de lo falso simplemente mirando o escuchando un archivo multimedia”, explicó Ben Colman , director ejecutivo de Reality Defender.
Cómo protegerse contra la ingeniería social
Verificar la identidad : Confirme siempre la identidad antes de compartir información confidencial, especialmente por correo electrónico o teléfono. En caso de duda, llame a la persona a un número oficial.
Educar a los empleados : realizar capacitaciones periódicas para crear conciencia sobre el phishing, el pretexto y otras tácticas de ingeniería social, haciendo hincapié en el escepticismo.
Limite el intercambio de información : evite compartir detalles confidenciales (como títulos de trabajo o diseños de oficinas) en plataformas públicas o redes sociales para reducir la exposición.
Usar MFA : implemente MFA para todas las cuentas corporativas para agregar una capa adicional de seguridad contra el acceso no autorizado.
Monitorear y reportar comportamientos sospechosos : aliente a los empleados a reportar cualquier solicitud o comportamiento inusual y monitoree continuamente los sistemas para detectar señales de compromiso.
Fuente y redacción: helpnetsecurity.com / Sinisa Markovic
