Qué hacer ante los ataques de ingeniería social

En junio de 2015, Ubiquiti Networks transfirió 46,7 millones de dólares a varias cuentas falsas en China. ¿Por qué?

El “director general” de la compañía lo pidió en un correo electrónico. Por supuesto, el auténtico director general nunca había enviado tal, sino que fue un grupo de piratas informáticos.

Estamos ante lo que se conoce como un ataque de ingeniería social, que es cuando piratas informáticos y ladrones utilizan a propósito, nuestras emociones y usos sociales para que hagamos lo que ellos pretenden.

Estos ataques pueden producirse:

En línea
En persona
Por teléfono

Descubriendo un ataque de ingeniería social

Los ataques de ingeniería social suelen utilizar una o más tácticas, haciendo muy sencillo poder identificarlos. Entre los signos de ataque más comunes encontramos:

1.- Suelen pedirnos algo que tenga cierto valor. Esto puede incluir:

Dinero
Números de cuenta bancaria
Información personal
Identificadores o claves de acceso
Acceso en persona o remoto a tu pc o a dispositivos móviles

2.- Quieren mantener el tema del asunto “secreto” o “privado”, porque cualquier intento por tu parte de verificar la autenticidad de la solicitud expondría fácilmente la auténtica naturaleza del ataque.

3.- Quieren que tu acción sea inmediata. Metiéndote prisa pretenden que no tengas tiempo para reaccionar, limitando tu capacidad natural para detectar cuando algo no es correcto o no está bien.

4.- Se acercan a ti desde una posición de autoridad. No es raro que no discutamos o cuestionemos la autoridad, por eso los atacantes utilizan esta ventaja, asumiendo roles como:

Agentes de la autoridad
Directores de empresas
Miembros del sistema legal
Fabricantes de software
Organismos públicos

Ejemplos de ataques de ingeniería social

A continuación mostramos algunos ejemplos recientes de ataques en los que se ha utilizado algunas de las tácticas más comunes mencionadas:

Un correo de un directivo de la empresa pidiéndole que realizara en secreto, una transferencia de fondos personales a una cuenta offshore.
Una llamada de un funcionario amenazando con acciones legales si no se le facilitaba cierta información bancaria para clarificar un asunto financiero.
Un mensaje desde el departamento de atención al cliente de una empresa solicitando que se le facilitara el código de acceso a una cuenta o perdería acceso al sistema.

¿Qué debemos hacer si somos objetivo de un ataque?

• En persona: SI nos sentimos inseguros o amenazados, lo que debemos hacer es romper el contacto y notificarlo a las autoridades

• Por escrito o en las redes sociales: Tenemos que ignorarlo y borrarlo. Si el ataque se produce utilizando el nombre de alguien que conocemos, debemos contactar con él y averiguar si la petición es legítima.

• Por teléfono: Colgad inmediatamente. Si el llamante es persistente, pedidle un número directo al que se le pueda llamar.

• Por correo electrónico: Contactemos con el remitente mediante otro medio, normalmente mediante una llamada de teléfono para confirmar si su correo es legítimo.

Los ataques utilizando ingeniería social son tremendamente efectivos porque aprovechan en su beneficio de las características que nos hacen humanos. Hay que estar alerta todo el tiempo y buscar estos cuatro signos característicos que antes hemos examinado. Haciéndolo, podremos identificar más fácilmente los ataques con ingeniería social cuando ocurren y evitaremos acabar siendo víctimas.

Qué hacer ante los ataques de ingeniería social

Otras noticias de interés

Digitalización en el alquiler de vehículos

Vodafone amplía su huella de fibra de alta velocidad de 1Gbps en 559 municipios

Notable incremento de los incidentes de ciberseguridad en España

Más perdidos que declarando lo de Wallapop o Vinted

Nombramientos

Elisabete Mleczak

Ángel Arenillas

Pilar Roch