Actualmente, el crecimiento del comercio en línea es de gran relevancia, ya que la mayoría de los negocios se han sumado a esta modalidad, aun teniendo negocios físicos, pero también hay riesgos que aumentan día a día en la web.
Cuando hablamos de que es la ingeniería social y como evitarla nos referimos a una forma de ataque psicológico que usan los delincuentes cibernéticos para extraer información confidencial de los usuarios en la web, esto lo logran haciéndose pasar por otra persona.
Por lo general, esto implica engañar a las personas para que revelen involuntariamente información confidencial que puede usarse con fines maliciosos o delictivos. Los piratas informáticos utilizan técnicas de ingeniería social para obtener información personal que pueden utilizar para el robo de identidad u otros fraudes y delitos.
A medida que las personas se vuelven más conocedoras de internet, la ingeniería social requiere cierta sofisticación. Este es un plan de varios pasos en el que primero se ganan su confianza y luego obtienen acceso a la información que necesitan.
A diferencia de los ataques de ciberseguridad que utilizan marcos de software y código informático, los ataques de ingeniería social se basan en el error y la manipulación humana.
Los ataques de ingeniería social a menudo tienen como objetivo información confidencial, como información de inicio de sesión, números de seguridad social, información bancaria u otra información personal.
¿Cómo funciona exactamente la ingeniería social?
Las estafas de ingeniería social ocurren en persona y por teléfono, pero a menudo en línea. De hecho, la ingeniería social está en el centro de todo tipo de ciberataques porque son más fáciles de realizar en internet.
En el mundo real, podemos evaluar nuestras interacciones con las personas en función de la información que percibimos con nuestros sentidos y así saber cómo es la ingeniería social y como evitarla.
Observar los gestos y escuchar el tono de voz puede proporcionar pistas sobre si algo es sospechoso.
Cuando estamos en Internet, a menudo interactuamos con empresas anónimas que procesan nuestros pagos y entregan nuestros mensajes. Esto significa que confiamos en gráficos familiares o de marca y patrones reconocibles de clics y envíos para asegurarnos de que todo se vea bien.
Las tácticas de ingeniería social suelen funcionar como un bucle
Primero, un atacante recopila información personal básica (también conocida como creación de perfiles) y selecciona puntos de entrada. El atacante luego inicia el contacto y establece una conexión.
Una vez que se establece la conexión y se considera que el atacante es una fuente confiable, el atacante comienza un ataque contra el objetivo. Después de recopilar información confidencial, los atacantes se disuelven y desaparecen.
¿Por qué los ataques de ingeniería social son tan peligrosos?
Los ataques de ingeniería social pueden ser muy peligrosos para las personas y las empresas, debido a que quedan expuestos al fraude y así perder grandes cantidades de dinero, es por ello que se vuelve importante conocer la ingeniería social y como evitarla.
En 2019, Toyota Boshoku, un proveedor de autopartes de Toyota, perdió $37 millones debido a un ataque de ingeniería social.
Los atacantes atacaron a los empleados del departamento de finanzas y se hicieron pasar por empleados de mayor rango.
Los piratas informáticos envían correos electrónicos desde cuentas de empresas falsas (pero convincentes) pidiendo que cambie su cuenta bancaria.
Consiguieron engañar a los financistas para que transfirieran grandes sumas de dinero a cuentas controladas por piratas informáticos malintencionados.
Para la mayoría de las personas, perder cualquier cantidad es una gran desventaja, sin embargo, comprometer sus datos personales puede ser aún más peligroso.
Si un atacante tiene su información de inicio de sesión, número de seguro social o información bancaria, puede quedársela o venderla en la dark web para que otros la compren y la usen, creando un hack.
Cómo detectar ataques de ingeniería social
Para detectar ataques de ingeniería social, es útil comprender los diferentes métodos que utilizan los atacantes para influir en las víctimas.
Cuando una solicitud proviene de una fuente confiable, las personas responden a la autoridad y es más probable que cumplan.
Por este motivo, los atacantes cibernéticos suelen hacerse pasar por empresas conocidas o instituciones gubernamentales, como por ejemplo: el Ministerio de Hacienda.
Tenga especial cuidado con los correos electrónicos que afirman ser del gobierno u otra fuente autorizada.
Incluso si el IRS conoce su información personal, como su nombre, dirección y número de Seguro Social, nunca le pedirá que comparta esa información por correo electrónico.
Cuando una solicitud proviene de una fuente confiable, las personas responden a la autoridad y es más probable que cumplan.