What is Social Engineering
Tutoriales

Ataques de ingeniería social y cómo evitarlos

Las estafas y actividades fraudulentas son muy comunes en el ciberespacio. Una de estas formas es la ingeniería social, un ataque que puede tener graves consecuencias si no se toma en serio. Tanto tu información confidencial como tus criptomoendas pueden ponerse en juego, un tipo de riesgo que no quieres correr.

Por eso, queremos que entiendas mejor qué es la ingeniería social, sus formas de ataque, algunos ejemplos y cómo puedes evitar convertirte en una víctima.

¿Qué es la ingeniería social?

En el sector de la ciberseguridad, la ingeniería social se refiere al acto de engañar o manipular a las personas para que tomen decisiones equivocadas.

El objetivo principal es tomar ventaja de las posibles víctimas, manipulándolas psicológicamente con sus respuestas emocionales y tendencias naturales. Los estafadores utilizan la curiosidad, el miedo, el egoísmo y el deseo de ayudar a otros, para engañar a sus víctimas y hacerlas cometer actos ilícitos.

Un estafador que practica la ingeniería social puede ejecutar un ataque en pasos similares a estos:

  1. Preparación del ataque. La preparación incluye la identificación cuidadosa de la posible víctima, la recopilación de información necesaria para parecer menos sospechoso durante el ataque y la elección de un método de ataque.
  2. Engaño a la víctima. El estafador entablará una conversación con la víctima o le enviará mensajes que suelen incluir historias falsas para ganarse su confianza.
  3. Obtención de la información personal y confidencial de la víctima. Después de manipular cuidadosamente a la víctima para ganarse su confianza, el estafador puede obtener información y datos confidenciales.
  4. Fin de la interacción. El estafador terminará la interacción con la víctima de una manera precavida y natural, sin dejar rastros de su intención maliciosa.

Los ataques de ingeniería social más comunes

Ahora que sabemos lo que es la ingeniería social, veamos las técnicas de ataque o cómo los delincuentes cibernéticos suelen llevar a cabo sus intenciones maliciosas.

Phishing

El phishing es la forma más común de actividad fraudulenta y de ataque de ingeniería social y se implementa a través de correos electrónicos, mensajes de texto o llamadas telefónicas maliciosas. El estafador engaña a sus víctimas pretendiendo ser un proveedor legítimo de correo electrónico o un representante de una empresa o institución, como bancos, tiendas y corporaciones conocidas.

Este un ejemplo de cómo puede verse:

Phishing attempt

Los mensajes de phishing generalmente requieren una acción inmediata relacionada con una cuenta de la víctima. Los estafadores suelen enviar mensajes informando sobre una actualización necesaria, alguna actividad sospechosa o la necesidad de confirmar la identidad de la víctima, para luego solicitar su información personal.

En otros casos, pedirán que se haga clic en un enlace malicioso. Esto también sucede en las plataformas de redes sociales, donde los estafadores engañan a la gente con estafas de phishing relacionadas a bitcoin.

Este es un ejemplo de una estafa de phishing hecha a través de Twitter:

A Twitter thread of a user posing as an admin of Paxful and trying to scam people

En este ejemplo, el estafador se hace pasar por alguien de Paxful y pide a sus posibles víctimas que hagan clic en un enlace para reportar problemas relacionados a sus cuentas. Cuando se hace clic en este enlace malicioso, el estafador obtiene toda la información necesaria y confidencial, en este caso, las direcciones de los monederos de bitcoin de sus víctimas.

Spear Phishing

Este es un tipo de estafa de phishing, pero más específico. En el “spear phishing”, los estafadores eligen cuidadosamente a determinadas personas o empresas como objetivo. Para que el ataque sea más difícil de detectar, adaptan los mensajes en función de los correos electrónicos o conversaciones de sus víctimas.

Suele ocurrir así: el estafador se hace pasar por alguien que la víctima conoce y le pide información confidencial, como los detalles de una cuenta, para acceder a los archivos confidenciales una la empresa.

Los correos electrónicos y todos los demás mensajes pueden parecer legítimos, pero la verdad es que todos están infectados con malware. Por lo general, hay un enlace que redirige a la víctima a la página maliciosa que recopila datos de acceso y otra información.

Tan pronto la víctima haga clic en este enlace, el estafador tendrá aceso a sus credenciales y a datos importantes de la empresa.

Baiting

Este método de ingeniería social utiliza una especie de “anzuelo” para atraer a las posibles víctimas hacia artículos o productos atractivos infectados por malware. Los estafadores suelen hacerlo a través de sitios web o enlaces en los que se puede hacer clic y que ofrecen algo gratis, como una película, un libro, música y otros archivos digitales.

El hacker puede pedirle a la víctima que cree una cuenta o simplemente que haga clic y descargue el archivo malicioso inmediatamente, lo cual infecta automáticamente su computadora con malware.

El baiting también puede ocurrir en forma física, cuando los estafadores dejan una memoria USB o un disco duro malicioso en un área pública, esperando a que los curiosos lo conecten a su computadora y comprueben lo que hay dentro. Al conectarlo a un dispositivo, este se infecta con malware.

Scareware

Seguramente alguna vez has visto un mensaje emergente en un sitio web que dice: “Tu computadora está infectada. Haz clic aquí para eliminar el malware” o “¡Advertencia! 74 infecciones encontradas.” Si nunca has visto un mensaje como este, ¡tienes mucha suerte! Normalmente estos mensajes lucen así:

Esperamos que no hayas hecho clic en estos mensajes emergentes aparentemente legítimos, porque pueden dañar gravemente tu dispositivo.

Este tipo de ataque de ingeniería social utiliza tácticas de miedo para difundir malware, asustando a sus posibles víctimas. Pueden pedirte que hagas clic en un enlace infectado o que descargues software malicioso. Hacer cualquiera de estas cosas puede poner tu computadora en peligro.

Además de los engañosos pop-ups y banners, el scareware también puede ser distribuido a través de correos electrónicos, generalmente con advertencias y ofertas falsas.

Pretexting

Aquí, el estafador pretende ser alguien a quien se le permite conocer cierta información importante. Puede ser un banco o representantes de una empresa, la policía, o incluso compañeros de trabajo, por nombrar algunos.

En este ataque, los estafadores suelen hacer preguntas para reunir datos importantes. Como los esquemas de ingeniería social que mencionamos anteriormente, una vez que el estafador se gana la confianza de su víctima, puede obtener al instante información sensible como un número de teléfono, direcciones residenciales, números de documentos personales y otros más.

Cinco maneras de protegerte de los esquemas de ingeniería social

Ahora que hemos terminado de definir las técnicas de ataque y cómo ocurre cada una de ellas mediante algunos ejemplos de ingeniería social, vamos a ver algunos consejos y trucos sobre cómo puedes alejarte de ellas y mantener tus bitcoins seguros.

1. Pon atención y ten cuidado con los enlaces y archivos adjuntos enviados por correo electrónico.

Siempre ten cuidado al abrir los correos electrónicos, especialmente esos que tienen un asunto o mensaje sospechoso. No abras ningún archivo adjunto o enlace sin antes comprobarlo. Verifica si el correo electrónico, el disco duro o la fuente del enlace es fiable y legítimo antes de hacer clic.

Recuerda, los anuncios emergentes, los banners y los sitios web desconocidos forman parte de esta lista. Por lo tanto, mantente siempre alerta y protege tu monedero de bitcoin, tu cuenta de Paxful y cualquier otra información confidencial de los ataques de ciberseguridad e ingeniería social.

2. Instala un antivirus confiable.

Instala un antivirus seguro y confiable en tus dispositivos para tener una capa adicional de seguridad. También es crucial mantener actualizado el sistema operativo y los antivirus de tu computadora y otros dispositivos personales.

3. Utiliza soluciones de seguridad sólidas para tus cuentas.

Usa combinaciones fuertes para las contraseñas de tus cuentas. No compartas tus contraseñas con nadie, porque se trata de información confidencial, a diferencia de tu nombre de usuario. Si utilizas contraseñas generadas por un sistema que pueden ser difíciles de recordar, un software de almacenamiento de contraseñas puede ser tu mejor aliado.

Otras opciones más fuertes de seguridad para tus cuentas incluyen la habilitación de la autenticación de dos factores (A2F). Si aún no has activado esta opción en tu cuenta de Paxful, ¡hazte un favor y dirígete a la configuración de seguridad de tu cuenta lo antes posible!

4. Ten cuidado con las ofertas tentadoras.

Si ves una oferta tentadora, piénsalo dos veces o más antes de hacer clic en ella. Hacer esto puede mantenerte alejado de las peligrosas trampas de los esquemas de ingeniería social. Si la oferta parece demasiado buena para ser verdad, hay una alta probabilidad de que lo sea. Si bien esa afirmación no siempre es cierta, es esencial desconfiar de tales ofertas y tratar de buscarlas en Internet antes de proceder.

5. Edúcate y lee noticias sobre ataques de ingeniería social.

Puede que te preguntes: “¿Cuál es la principal medida contra la ingeniería social?” Esta es la respuesta a esa pregunta: investiga y comparte lo que has aprendido sobre ataques de ingeniería social con tus amigos, familia y colegas. Estas técnicas convencionales son a veces difíciles de detectar, por lo que enseñar a otros sobre estos esquemas puede ser muy útil.

¡Asegura tu información personal y tu monedero ya mismo!

Es crucial mantenerse siempre alerta ante los posibles fraudes y esquemas en el espacio cibernético. Los estafadores siempre buscan formas de comprometer la información confidencial de sus potenciales víctimas. Esto incluye las cuentas de bitcoin y los monederos, ya que el mundo de las criptomonedas es uno de los principales objetivos de los delincuentes cibernéticos.

El mantenerte actualizado sobre las últimas actividades maliciosas y ataques en línea te salvará de graves consecuencias. Intenta explorar los sitios de noticias relacionadas a las criptomonedas o el blog de tu antivirus favorito, en caso de que tengas alguno.

Los proveedores de soluciones de seguridad, como Kaspersky, Bitdefender y otros, comparten información extremadamente útil sobre las tendencias de seguridad cibernética, protección y defensa contra malware y mucho más. Si deseas ampliar aún más tus conocimientos y habilidades para evitar el malware, también puedes buscar empresas en línea que ofrezcan formación en gestión de amenazas.

¡Nunca bajes la guardia cuando se trate de seguridad cibernética! Mantén tus bitcoins a salvo y seguros siguiendo los consejos que hemos mencionado. De nuevo, este es un recordatorio para que actives la A2F en tu cuenta de Paxful, si aún no lo has hecho.

Patch de Leon

Patch is a broadcast journalism graduate who explores the fascinating world of crypto. She enjoys writing research-based pieces and creative features but never without a cup of coffee and her loose hoodie. You can find her scrolling through Spotify, streaming dark thriller shows, or starting books she’s never finished.

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *