No muerda el anzuelo: cómo evitar las estafas de ingeniería social Con 5,3 millones de cuentas comprometidas, India ocupó el quinto lugar entre las naciones con más infracciones en 2023. Hay una advertencia constante sobre los peligros de los virus, el malware y los piratas informáticos. Pero hay otro tipo de amenaza cibernética que es mucho más personal y manipuladora: la «ingeniería social». Si bien la mayoría de nosotros pensamos en las amenazas cibernéticas como técnicas, la ingeniería social es diferente: se dirige a la psicología humana, no solo a la tecnología. ¿Quiere saber cómo? Profundicemos en esto: ¿Qué es la ingeniería social? La ingeniería social es esencialmente el arte de manipular a las personas para que revelen información confidencial. A diferencia de la piratería tradicional, que se centra en explotar las vulnerabilidades técnicas, la ingeniería social se aprovecha de las vulnerabilidades humanas. Es un tipo de manipulación psicológica en la que los atacantes engañan a las personas para que revelen datos confidenciales, como contraseñas, información bancaria o incluso acceso a sistemas seguros. Este tipo de ataque puede sucederle a cualquiera, en cualquier lugar. Es posible que reciba un correo electrónico convincente que parezca provenir de su banco, en el que le solicite que verifique los datos de su cuenta. O tal vez una llamada telefónica de alguien que dice ser soporte técnico y que solo necesita acceso remoto a su computadora para solucionar un problema inexistente. Estos son ejemplos clásicos de ingeniería social en acción. Una encuesta reciente reveló que el 20% de los consumidores indios sufrieron ciberataques en el primer trimestre de 2024, mientras que se detuvieron 12.454.797 ciberamenazas. En el mismo período de tiempo, se presentaron más de 740.000 denuncias sobre delitos cibernéticos al Portal Nacional de Denuncia de Delitos Cibernéticos, y el fraude cibernético le costó a los indios 1.750 millones de rupias. ¿Cómo funciona? Los ataques de ingeniería social suelen seguir un patrón predecible. Primero, el atacante investiga a su objetivo y reúne la mayor cantidad de información posible. Esto podría implicar estudiar perfiles de redes sociales, recopilar datos disponibles públicamente o incluso buscar documentos descartados en la basura. Cuanto más sepan, más convincente será su enfoque. Una vez armado con la información, el atacante establece contacto. Esto puede ser por correo electrónico, teléfono, mensaje de texto o incluso en persona. El objetivo es establecer confianza, a menudo haciéndose pasar por alguien que el objetivo conoce o en quien debería confiar, como un compañero de trabajo, una persona de soporte de TI o incluso un representante de una organización de confianza. El paso final es la explotación. El atacante utiliza la confianza que ha creado para convencer al objetivo de que proporcione información confidencial, instale software malicioso o realice acciones que comprometan la seguridad. Debido a que la solicitud parece legítima, el objetivo puede no darse cuenta de que ha sido engañado hasta que sea demasiado tarde. ¿Alguna vez se ha enfrentado a esta situación o a alguien que conoce? Aquí hay una lista de tipos comunes de ataques de ingeniería social a los que se enfrentan los usuarios y, debido a la falta de conocimiento o errores, se convierten en presa. Phishing: El phishing es un tipo de ingeniería social que se reconoce con mayor frecuencia y que implica el envío de correos electrónicos falsos que parecen provenir de una fuente confiable. Estos correos electrónicos generalmente contienen enlaces o archivos adjuntos que, al hacer clic, conducen a la vulneración de información personal o a la instalación de malware. Según Acronis, una empresa pionera en ciberprotección, el phishing es el tipo de ciberataque más frecuente en la India y representa más del 84 % de todas las ciberamenazas recibidas anualmente. Según Acronis, los ataques aumentaron un 464 % interanual en 2023. Spear Phishing: una versión más específica del phishing, el spear phishing se centra en una persona u organización específica. El atacante personaliza su enfoque en función de la información que ha recopilado sobre el objetivo, lo que hace que el ataque sea más convincente y difícil de detectar. Pretexting: en el pretexting, el atacante crea un escenario inventado para obtener información del objetivo. Esto podría implicar hacerse pasar por un compañero de trabajo que necesita acceder a un archivo, un agente de la ley que realiza una investigación o incluso un familiar en apuros. Baiting: el cebo implica ofrecer algo tentador, como descargas de música gratuitas o una unidad USB dejada en un lugar público, para engañar al objetivo para que descargue malware o proporcione información personal. Quid Pro Quo: este tipo de ataque implica ofrecer algo a cambio de conocimiento. Por ejemplo, un atacante podría hacerse pasar por un agente de soporte técnico que ofrece solucionar un problema a cambio de acceso a la computadora del objetivo. Cómo protegerse contra la ingeniería social La mejor defensa contra la ingeniería social es la conciencia. Puede estar más alerta y menos propenso a caer en los trucos de un atacante si conoce sus estrategias. Estas son algunas estrategias clave para protegerse: Sea escéptico: cuestione siempre las solicitudes de información no solicitadas, especialmente si parecen urgentes o fuera de lo común. Nunca tema pedir identificación antes de otorgar acceso a alguien que solicite información confidencial. Infórmese: actualice regularmente su conocimiento de las tácticas de ingeniería social. Saber qué buscar puede ayudarlo a detectar posibles ataques antes de que tengan éxito. Proteja su información: tenga cuidado con lo que comparte en línea y limite la información personal que hace pública. Use software antivirus para la seguridad en línea. Esto reduce las posibilidades de que un atacante recopile suficientes datos para atacarlo. Use la autenticación multifactor (MFA): la MFA agrega una capa adicional de seguridad al requerir dos o más formas de identificación antes de otorgar acceso a las cuentas. Incluso si un atacante obtiene su contraseña, la MFA puede impedirle acceder a sus cuentas. Informe sobre actividades sospechosas: si sospecha que ha sido víctima de un ataque de ingeniería social, infórmelo inmediatamente al equipo de seguridad de su organización o a las autoridades correspondientes. Informar del incidente de inmediato ayuda a reducir el daño y a detener ataques adicionales. La ingeniería social es una herramienta poderosa y peligrosa en el arsenal de los cibercriminales. Al explotar nuestra tendencia natural a confiar y ayudar a los demás, los atacantes pueden eludir incluso las medidas de seguridad más sofisticadas. Sin embargo, si nos mantenemos informados y adoptamos buenas prácticas de seguridad, podemos protegernos a nosotros mismos y a nuestras organizaciones de ser víctimas de estas trampas psicológicas. Recuerde que la conciencia es su arma más poderosa cuando se trata de ingeniería social. ¡También puede utilizar software antivirus para mantener su mundo digital seguro!