Artículo de blog
- 4 minutos de lectura
- Sendmarc
Evita los ataques de ingeniería social en tu bandeja de entrada: cómo reconocerlos y evitarlos
Los ataques de ingeniería social son cada vez más sofisticados, ya que los ciberdelincuentes intentan engañar a los empleados para que compartan sus datos. Conoce los tipos más comunes y la mejor forma de proteger tu bandeja de entrada.
En su Informe sobre costo de las filtraciones de datos de 2022, IBM señalaba que el costo medio de una filtración de datos cuyo vector inicial era la ingeniería social superaba los 4 millones de dólares. El informe también mostraba que las empresas tardaban casi nueve meses en identificar (201 días de media) y contener (60 días de media) las filtraciones de datos por ingeniería social.
¿Qué es un ataque de ingeniería social?
Un ataque de ingeniería social se produce cuando los ciberdelincuentes intentan piratear tu empleados, en lugar de tu red técnica, para intentar robar información confidencial. Dado que los ataques de ingeniería social pretenden explotar las debilidades humanas y las motivaciones psicológicas, a veces se denominan "hacking humano".
Los ataques de ingeniería social se basan en la manipulación psicológica para engañar a los empleados con el fin de que divulguen información o realicen una acción determinada, como descargar programas maliciosos camuflados como software o visitar sitios web que no deberían, o incluso dar acceso a los atacantes a los sistemas confidenciales de tu organización.
Aunque los ataques de ingeniería social se llevan a cabo a través de diversos medios, lo más habitual es que se produzcan a través de la comunicación por correo electrónico, lo que convierte la bandeja de entrada de cada empleado en una amenaza potencial para la seguridad de la organización.
En los casos más graves, la ingeniería social suele ser solo la primera etapa de lo que se convierte en un ciberataque a gran escala.
Tipos comunes de ataques de ingeniería social
Los ataques de ingeniería social funcionan porque se basan en la ciencia de la motivación humana. Los ciberdelincuentes emplean diversos métodos para manipular las emociones y los instintos de la víctima con el fin de inducirla a tomar medidas que no redundan en su propio beneficio ni en el de la organización.
Estas son algunas de las tácticas más comunes empleadas en los ataques de ingeniería social:
- Hacerse pasar por una figura de autoridad. Estos ataques se basan en la psicología de que la gente tiende a confiar, respetar y, a veces, temer a quienes ocupan puestos de autoridad. Esto reduce las posibilidades de que la persona haga preguntas o se piense dos veces las instrucciones que se le dan. Algunos correos electrónicos que emplean esta táctica se envían para que se perciba que proceden de una agencia gubernamental, una figura política o pública o, a veces, incluso una celebridad.
- Inducir miedo. El miedo puede inspirar a la gente a actuar sin pensar o interrogarse plenamente sobre los posibles riesgos asociados a las acciones que se están llevando a cabo. Los ataques de ingeniería social recurren a una variedad de métodos diferentes para inducir el miedo en sus objetivos, como un correo electrónico reporte de una transacción bancaria potencialmente fraudulenta, o de que una imagen que han utilizado viola los derechos de autor, o de que un virus ha infectado su dispositivo. El miedo unido a la sensación de urgencia es el arma psicológica perfecta para que los ciberdelincuentes encuentren su camino.
- Apelar a la compasión. Algunos ataques de ingeniería social apelan a la bondad del objetivo, inspirándose en un correo electrónico que parece enviado por un amigo o una organización benéfica que necesita ayuda. Este tipo de ataques también se aprovechan de nuestra innata capacidad de curiosidad, con solicitudes de participación en una encuesta (con la posibilidad de ganar) o un enlace que lleva al objetivo a un sitio web para reclamar su premio, lo que efectivamente da lugar al suministro de información privada o a la descarga de malware.
- Hacerse pasar por una marca o empresa de confianza. Los ciberdelincuentes suelen suplantar a empresas que resultan familiares a sus objetivos, así como a aquellas con las que pueden haber hecho negocios anteriormente. Esta falsa familiaridad es una mina de oro para los ciberdelincuentes, ya que calma inmediatamente cualquier posible sospecha de que las cosas pueden no ser lo que parecen.
Aumenta la seguridad de tu bandeja de entrada
Sin excepción, cada empleado de cada organización que hace uso de la comunicación por correo electrónico es un punto débil potencial para los ciberdelincuentes. Si bien la educación de los empleados es imprescindible cuando se trata de mantener a raya las amenazas de la ciberdelincuencia, la rápida evolución de la sofisticación de los ataques de ingeniería social hace necesarias múltiples capas de protección.
Cuando se trata de evitar que los ciberdelincuentes secuestren tu dominio y envíen correos electrónicos fraudulentos en un intento de llevar a cabo un posible ataque de ingeniería social, DMARC es el único mecanismo que puede dar a su organización un control total sobre su nombre de dominio. DMARC, un estándar de seguridad global, es el método más utilizado en el sector para proteger tu organización, tus empleados y tus datos de infracciones costosas y perjudiciales.
Para medir el grado de riesgo de tu nombre de dominio, realiza nuestro test rápido de puntuación de seguridad online. Conocer tu puntuación significa que comprenderás mejor si existe una amenaza para tu dominio y tu organización, lo que le permitirá disponer de los conocimientos necesarios para tomar medidas con el fin de prevenir de forma proactiva los ataques de ingeniería social y las suplantaciones de identidad por correo electrónico, manteniendo en última instancia la seguridad de tu organización, tu reputación y tu información privada.
