Imagina que, a través de una llamada telefónica, un atacante que se hace pasar por un empleado del departamento de TI contacta a un trabajador de una empresa. Con un tono amable y convincente, el agresor le informa sobre un supuesto problema en su cuenta y le pide que proporcione sus credenciales de acceso para "resolver" el inconveniente.
Confundido y creyendo que está hablando con un miembro legítimo del equipo, el trabajador entrega su información. Este simple engaño permite al victimario acceder a sistemas sensibles de la compañía, demostrando cómo la ingeniería social se basa en la confianza y la manipulación para vulnerar la seguridad. Pasemos a conocer su definición y tipos para comprender el impacto de sus acciones.
¿En qué consiste la ingeniería social?
La ingeniería social consiste en manipular a las personas para que revelen información confidencial, otorguen acceso no autorizado o realicen acciones perjudiciales, explotando la confianza o el desconocimiento. Los atacantes utilizan estrategias psicológicas, como el engaño o la persuasión, para obtener contraseñas, datos personales, acceso a sistemas o recursos de una empresa.
A diferencia de los ataques cibernéticos tradicionales, la ingeniería social se enfoca en el "eslabón humano" como el punto débil de la seguridad. A lo largo del tiempo, esta técnica ha evolucionado junto con la tecnología, convirtiéndose en una de las principales amenazas en el ámbito de la seguridad informática.
¿Cuáles son sus tipos?
Entre los tipos de ingeniería social más utilizados se encuentran:
- Phishing: es el tipo más conocido y utilizado. Consiste en enviar correos electrónicos fraudulentos que parecen legítimos (por ejemplo, de un banco, una empresa o una institución gubernamental) para engañar a la víctima y que proporcione información confidencial (contraseñas, números de tarjetas de crédito, entre otros) o haga clic en un enlace malicioso que infecte el dispositivo de la víctima.
- Vishing: similar al phishing, pero se realiza a través de llamadas telefónicas. El atacante se hace pasar por un empleado de una entidad financiera, un técnico de soporte técnico o cualquier otra figura de autoridad para obtener información personal.
- Smishing: es un tipo de ataque cibernético que utiliza mensajes de texto (SMS) para engañar a las personas y obtener información confidencial. Los agresores se hacen pasar por una entidad confiable y suelen incluir enlaces maliciosos o solicitar acciones inmediatas para provocar una respuesta rápida.
- Baiting: es una técnica en la que los victimarios atraen a las víctimas con una oferta tentadora, como archivos o dispositivos físicos (USB) aparentemente legítimos, pero que contienen malware o enlaces maliciosos. Una vez que la persona cae en el engaño e interactúa con el objeto o archivo, se activa el ataque, permitiendo el robo de información o la infección del sistema.
- Quid pro quo: el atacante ofrece algo a cambio de información o acceso a sistemas. Por ejemplo, un ciberdelincuente puede hacerse pasar por un técnico de soporte y ofrecer resolver un problema técnico falso a cambio de credenciales o acceso a una red.
- Pretexting: aquí el asaltante se hace pasar por una figura de confianza o autoridad para obtener información confidencial de la víctima. Para lograrlo, construye una historia o pretexto convincente, como ser un representante de una organización o institución, con el objetivo de manipular a la persona y que esta le proporcione datos sensibles.
- Tailgating: una persona no autorizada ingresa a un área segura aprovechando el acceso de alguien legítimo. Esto ocurre cuando el atacante sigue de cerca a un empleado que abre una puerta de acceso controlado, sin que la persona se dé cuenta o al no querer parecer descortés. El victimario evita el uso de credenciales propias, ingresando gracias a la permisividad o distracción de quien tiene autorización.
- Shoulder surfing: es una técnica de espionaje donde un agresor obtiene información confidencial observando a la víctima mientras introduce datos sensibles, como contraseñas o números de tarjeta, sin que esta lo note. Esto suele ocurrir en espacios públicos, como cajeros automáticos o cafeterías, mirando por encima del hombro o desde una distancia cercana.
- Spear phishing: es una variante del phishing en la que los atacantes personalizan los correos electrónicos o mensajes para engañar a una persona específica, basándose en información detallada sobre ella. A diferencia del phishing, este se dirige a individuos o grupos concretos, haciéndose pasar por una fuente confiable para obtener datos sensibles o acceso a sistemas. Es de los más difíciles de detectar, ya que parece genuino y está cuidadosamente adaptado a la víctima.
Ejemplos de ingeniería social
A continuación, te presentamos cinco ejemplos, con base a los tipos de ingeniería social que existen en la actualidad.
- Un atacante envía un correo electrónico a un cliente de un banco, usando su nombre y detalles personales que obtuvo previamente de redes sociales. El mensaje solicita que actualice su información bancaria debido a una "actividad sospechosa", dirigiéndolo a un sitio web falso que simula ser el del banco.
- Un ciberdelincuente crea un perfil falso en LinkedIn haciéndose pasar por un reclutador de una empresa conocida. Contacta a profesionales en busca de empleo y les ofrece una "oportunidad laboral", pidiéndoles llenar un formulario con información confidencial como su número de seguro social o datos bancarios para el "proceso de selección".
- Un empleado de cuentas por pagar recibe un correo electrónico aparentemente de su CEO solicitando una transferencia urgente de fondos a una cuenta en el extranjero para cerrar una "negociación importante". El correo utiliza lenguaje formal y se envía desde una dirección que parece legítima, por lo que el empleado realiza la transacción sin cuestionarlo.
- Un victimario deja una nota en la puerta de una víctima diciendo que intentaron entregar un paquete, pero que no había nadie en casa. El mensaje incluye un número de teléfono para coordinar la entrega. Cuando la víctima llama, el atacante la convence de que proporcione información personal o financiera para "verificar" la entrega.
- Un agresor se viste como un técnico de mantenimiento y sigue a un empleado a través de una puerta de acceso restringido a las instalaciones de la empresa. Al aparentar ser parte del equipo, logra acceder a áreas sensibles sin levantar sospechas, utilizando la cortesía de otros empleados para entrar.
¿Cómo prevenir la ingeniería social?
Prevenir la ingeniería social requiere educar a las personas para que reconozcan intentos de manipulación. Esto se logra mediante capacitaciones frecuentes sobre las tácticas utilizadas en ataques, fomentando una cultura de seguridad y desconfianza ante solicitudes inusuales de información confidencial. Igualmente, es esencial que las empresas implementen protocolos de verificación de identidad antes de compartir datos sensibles y restrinjan el acceso a dicha información.
Por otro lado, las medidas técnicas también juegan un rol clave. El uso de autenticación multifactor (MFA), políticas de seguridad claras y simulaciones regulares de ataques ayudan a fortalecer las defensas. Estas acciones, combinadas con la educación constante, reducen el riesgo de caer en engaños de ingeniería social.
¿Qué carrera estudiar para prevenir la ingeniería social?
Para prevenir la ingeniería social, es recomendable estudiar una carrera en ciberseguridad. Esta te brinda conocimientos sobre cómo proteger sistemas y datos contra amenazas humanas, como por ejemplo, los ataques basados en la ingeniería social. En estas áreas, aprenderás sobre la identificación de vulnerabilidades, análisis de riesgos, concienciación sobre seguridad y técnicas de defensa contra engaños y fraudes.
¿Dónde estudiar ciberseguridad en México?
Estudiar la carrera de ciberseguridad en el país implica adquirir conocimientos y habilidades para proteger sistemas informáticos, redes y datos de amenazas digitales. Los estudiantes aprenden sobre criptografía, análisis de vulnerabilidades, normativas legales y gestión de riesgos, preparándose para detectar y prevenir ataques cibernéticos.
En México puedes estudiar ciberseguridad, tanto en la modalidad en línea como presencial, en las siguientes universidades:
La demanda de profesionales en ciberseguridad ha aumentado debido al crecimiento exponencial de ataques cibernéticos y amenazas digitales, como el ransomware, el phishing y la ingeniería social, que afectan tanto a empresas como a gobiernos. A medida que más organizaciones dependen de sistemas digitales y almacenan grandes cantidades de datos sensibles, la necesidad de proteger estos activos se ha vuelto crucial. Asimismo, la creciente regulación en torno a la protección de datos y privacidad también impulsa la demanda de expertos que puedan garantizar la seguridad y cumplimiento normativo en entornos digitales.
La ingeniería social nos recuerda que la seguridad no solo depende de sistemas tecnológicos avanzados, sino también de la educación y la preparación de las personas para identificar y evitar manipulaciones. Fortalecer la cultura de ciberseguridad, capacitar continuamente a los equipos y fomentar una actitud crítica frente a solicitudes sospechosas es esencial para mantener la integridad de la información en cualquier entorno.