La ingeniería social: ¿qué es y cómo podemos protegernos de esta amenaza?

Una llamada telefónica de tu supuesto banco prometiéndote un nuevo producto, un correo electrónico de una entidad financiera informándote de que tienes una factura pendiente de pago, un SMS alertándote de un problema en tu cuenta bancaria. Estas situaciones, si bien pueden parecer reales, no son más que ejemplos de lo que se conoce como ingeniería social, un tipo de ciberataque en el que los delincuentes suplantan la identidad de un organismo o entidad con fines maliciosos. Este tipo de ataques utilizan técnicas de engaño y manipulación psicológica para conseguir que sus víctimas les proporcionen datos personales e información confidencial o realicen acciones que puedan comprometer su seguridad pero ¿en qué consiste exactamente? ¿Y cómo podemos protegernos de estos ataques? 

¿Qué es la ingeniería social?

El término ingeniería social hace referencia al conjunto de tácticas y estrategias desarrolladas por grupos o personas con el objetivo de manipular a otras personas para que compartan información personal o confidencial o realicen acciones que puedan vulnerar su seguridad. Este tipo de ataques se basan en el estudio del comportamiento humano y en la aplicación de técnicas de persuasión y manipulación psicológica para engañar a las víctimas, lo que los convierte en una amenaza compleja, ya que, en lugar de surgir por un fallo del sistema, nacen de un fallo humano. 

En los ataques de ingeniería social, los ciberdelincuentes suelen hacerse pasar por entidades financieras, empresas y organismos oficiales para a través de una llamada telefónica, correo electrónico o SMS engañar a sus víctimas. Estos ataques pueden llevar a las víctimas a compartir información confidencial, a acceder a sitios webs maliciosos en los que se les robará la información o a descargar software dañino con el que infectar o tomar el control de sus equipos, entre otros. Generalmente, el objetivo de estos delincuentes es conseguir datos para suplantar a la víctima y obtener rédito económico, ya sea sustrayendo sus ahorros o pidiendo préstamos en su nombre, aunque puede darse el caso de que estos ataques formen parte de un engaño mayor con el que se busque vulnerar la seguridad de alguna empresa o entidad.

Técnicas de la ingeniería social

Los ataques de ingeniería social se basan en conseguir la confianza de las víctimas. Por ello, y pese a que los ciberdelincuentes pueden utilizar distintas tácticas, es habitual que estos ataques sigan una serie de principios básicos para manipular a las víctimas: 

• Sensación de urgencia y miedo: las personas suelen actuar de forma impulsiva cuando tienen miedo o prisa. Por ello, es habitual que en los ataques de ingeniería social los ciberdelincuentes busquen crear estas sensaciones en sus víctimas, por ejemplo, haciéndoles creer que se ha producido un acceso no autorizado en alguna de sus cuentas, que tienen facturas pendientes de pago o que una transacción bancaria no fue aprobada, entre otros.
• Respeto a la autoridad: las personas suelen respetar la autoridad de aquellos a quienes consideran superiores, como pueden ser las entidades y organismos públicos. Por ello, es habitual que los estafadores suplanten sus identidades, a fin de engañar a las víctimas. De igual manera, las personas también solemos confiar en las empresas con las que hemos suscrito algún acuerdo con éxito, como puede ser un banco, o a las que acudimos con frecuencia, motivo por el que los estafadores también suelen hacerse pasar por ellas. 
• Gratuidad: los estafadores que emplean ataques de ingeniería social también pueden apelar a sus víctimas fingiendo ofrecerles productos y servicios de forma gratuita.
• Respeto social: los ciberatacantes también pueden basar sus ataques de ingeniería social para apelar al miedo que siente el ser humano al rechazo o a perder su reputación. En este caso, pueden amenazar con difundir vídeos privados que en realidad no existen para incitar a sus víctimas a darles cierta cantidad de dinero. 
• Voluntad de ayudar: los ataques de ingeniería social también pueden apelar a la bondad y voluntad de ayudar de las personas. Por ejemplo, los estafadores pueden hacerse pasar por un trabajador de la misma empresa de sus víctimas que necesita ayuda para una tarea concreta, por un amigo que se encuentra en un problema o por una persona que necesita ayuda para completar una encuesta o realizar determinadas actividades.

Tipos de ataques de ingeniería social

Aunque los ataques de ingeniería social se sustentan sobre una misma base, en función de cómo se realicen y los objetivos del ciberdelincuente se pueden identificar distintos tipos de amenazas.

Phishing

Son ataques en los que los ciberdelincuentes envían mensajes a las víctimas haciéndose pasar por una empresa, entidad u organismo legítimos. Estos ataques suelen realizarse por correo electrónico, redes sociales o aplicaciones de mensajería instantánea, en los que los atacantes envían enlaces o archivos maliciosos pero aparentemente seguros que capturarán la información confidencial de los usuarios.

Vishing

Es un tipo de  ataque semejante al phishing, con la particularidad de que se realiza mediante una llamada telefónica. En ella, los ciberdelincuentes se hacen pasar por empresas o entidades legítimas para convencer a las víctimas de compartir sus datos personales.

Smishing

Es un ataque semejante al phishing o al vishing, pero con la particularidad de que se realiza mediante SMS, en los que los ciberdelincuentes fingen ser una entidad o empresa para convencer a las víctimas a clicar en un enlace malicioso y compartir sus datos personales.

Baiting

También conocido como cebo, es un tipo de ataque en el que los ciberdelincuentes emplean señuelos, por ejemplo, un dispositivo USB, una descarga de software gratuito, un anuncio falso o un regalo o promoción, para infectar los dispositivos de sus víctimas con programas o archivos maliciosos que puedan robar sus datos.

Shoulder surfing 

Es una técnica por la que los ciberdelincuentes consiguen información confidencial de sus víctimas mirando sus dispositivos ‘por encima del hombro’ y desde una posición cercana para conseguir sus claves y contraseñas. Este tipo de ataques ocurren en espacios públicos, sin que la víctima se percate.

Dumpster diving

Es un proceso por el que los delincuentes rebuscan entre la basura de las personas o empresas con el objetivo de encontrar información confidencial que pueda ser usada en contra de las víctimas. Suele dirigirse a grandes corporaciones o individuos concretos de los que se podría extraer información sensible.

Pretexting

Es un ataque en el que el delincuente se inventa un escenario o historia con el objetivo de que la víctima revele información confidencial. Suele dirigirse a empresas y organizaciones que almacenan datos de clientes y, por norma general, se realiza mediante llamadas telefónicas.

Tailgating

También conocido como Piggybacking, se trata de un ataque en el que el delincuente sigue a un trabajador a una zona restringida de su compañía, llegando a acceder a ella aprovechando que el empleado la abre. En este caso, no interviene ninguna tecnología, ya que el delincuente se limita a seguir los pasos del empleado autorizado. 

Cómo protegerte frente a los ataques de ingeniería social

La ingeniería social representa una importante amenaza tanto para las personas como para las empresas y organizaciones. Pero aunque no hay forma de evitar que seamos objetivo de algún ciberdelincuente, hay ciertos consejos que podemos aplicar para evitar caer en sus trampas:

• Evita abrir correos o hacer click en enlaces que provengan de personas desconocidas y no descargues archivos adjuntos si no conoces al destinatario. A la hora de revisar tu correo o tus mensajes, fíjate bien en la dirección del remitente y, si detectas algún error o tienes alguna sospecha, no interactúes con él.
• No compartas tu información personal o financiera en llamadas, SMS o correos electrónicos, independientemente del remitente. Generalmente, ninguna compañía ni organismo público te solicitará información confidencial mediante estas vías.
• Desconfía de las llamadas, correos y mensajes que tengan un tono urgente y de aquellos que prometen grandes promociones o recompensas. Si recibes una llamada de una empresa conocida, por ejemplo, un banco, ofreciéndote algún producto, no realices ninguna acción y, en su lugar, llama tú mismo a la compañía, con el número que aparezca en su página web, para asegurarte de que se trata de una promoción válida. 
• Utiliza contraseñas distintas para cada una de tus cuentas en internet. Además, intenta que sean complejas, con distintos tipos de carácteres, y no emplees palabras comunes.
• Activa la autenticación en dos pasos siempre que sea posible: de esta forma, añadirás una capa de seguridad extra a tus cuentas.
• Mantén actualizados los sistemas operativos de tus dispositivos e instala un antivirus con el que realizar exámenes periódicos. 

Los ataques de ingeniería social pueden ser complejos y difíciles de detectar. Comprender qué son y estar preparado para hacer frente a una posible situación de estafa será clave para evitar caer en las trampas de los delincuentes y mantener nuestra información a salvo.

Tu seguridad en XTB

En XTB, queremos proteger a nuestros usuarios de posibles estafas y amenazas. Por eso, disponemos de varios procedimientos para garantizar la seguridad de todos los datos de nuestros usuarios:

• Conexiones cifradas: todas las conexiones entre los servidores de XTB y la aplicación móvil de su dispositivo están completamente cifradas para garantizar el más alto nivel de seguridad. 
• Autorización de acceso: la aplicación de XTB permite la autorización mediante contraseña, huella digital o código. 
• Autenticación multifactor: los cambios de clave (es decir, cambio de contraseña) o de información siempre se confirman mediante diferentes métodos de contacto (teléfono, correo electrónico, SMS). 
• Infraestructura de red avanzada: desarrollamos constantemente nuestra infraestructura invirtiendo en las tecnologías más punteras para garantizar la seguridad de sus inversiones. 
• Monitoreo de ciberseguridad: nuestros equipos recopilan y analizan constantemente información para detectar comportamientos sospechosos, cualquier acceso no autorizado o cambios en nuestra red. 

A la hora de invertir en XTB, además, nuestros usuarios deberán tener en cuenta que nuestros gestores jamás les pedirán sus códigos SMS o contraseñas y que los datos para realizar ingresos son exclusivos de su cuenta de valores, por lo que solo podrán verlos dentro de la XTB App o web oficial. Si reciben un enlace por email o SMS para acceder a su cuenta, deberán ignorarlo, ya que podrían ser objeto de una estafa. En caso de necesitar más información o asistencia adicional, recomendamos a nuestros usuarios que se pongan en contacto con nuestro equipo de atención al cliente, ya sea mediante el número de teléfono 915 706 705 o a través de la dirección de correo support@xtb.es.