Presentamos Managed XDR: lléveles la delantera a los atacantes con seguridad gestionada de manera ininterrumpida

Ingeniería social

Índice

¿Qué es Social Engineering?

Social Engineering es la manipulación psicológica de las personas con el objetivo de obtener acceso a información o sistemas confidenciales. Es una forma de engaño de confianza con el propósito de recopilar información, cometer fraude o acceder al sistema.

Los ataques utilizados en la Social Engineering se pueden utilizar para robar información o datos confidenciales de los empleados y el tipo más común de Social Engineering se produce por teléfono o correo electrónico. Otros ejemplos de ataques de Social Engineering incluyen a criminales que se hacen pasar por trabajadores o técnicos de servicio para pasar desapercibidos al acceder a la sede física de una empresa.

Principios de Social Engineering

Los principales métodos que utilizan los criminales para llevar a cabo la Social Engineering han existido durante mucho tiempo. Se basan en principios psicológicos fundamentales sobre el comportamiento humano; los atacantes utilizan estos principios para obtener acceso a datos o información sensible.

  • Reciprocidad: las personas tienden a devolver un favor. Por ejemplo, si un atacante es de alguna manera generoso o considerado, la víctima puede sentirse obligada a proporcionar un acceso especial o a infringir de otro modo las normas críticas.
  • Compromiso: cuando alguien se compromete, ya sea de manera oral o escrita, a realizar algo, se muestra más dispuesto a cumplir con su compromiso, ya que lo considera una responsabilidad personal. Por ejemplo, en los sitios de subastas, las personas pueden verse atrapadas en pujas más altas de lo que inicialmente tenían pensado porque desean "ganar" el artículo en cuestión, independientemente de cuánto valga realmente el artículo.
  • Prueba social: las personas tienden a realizar acciones que observan en otras personas. Por ejemplo, un producto de software avalado por una celebridad tendrá un mayor sentido de valor para las personas, independientemente de su calidad, debido al aval.
  • Autoridad: las personas tienden a obedecer a las figuras de autoridad, incluso si se les solicita realizar actos cuestionables. En un ataque de Social Engineering, esto puede llevar a un empleado de una organización objetivo a proporcionar información a una persona que llama haciéndose pasar por un oficial de la ley.
  • Simpatía: las personas son fácilmente persuadidas por otras personas que les agradan. El simple hecho de ser agradable y amable suele ser suficiente para otorgar acceso especial a un atacante.

Principales formas de Social Engineering

Los ciberdelincuentes utilizan la Social Engineering para administrar de forma eficaz una serie de ciberataques:

  • Phishing: una técnica para obtener información privada a través de medios manipuladores. Por lo general, el phisher enviará un correo electrónico que parece provenir de una empresa legítima solicitando la autenticación de la información y advirtiendo a la víctima sobre complicaciones en caso de que no se proporcione. Esa amenaza lleva a la víctima a revelar información sensible.
  • Water holing: una estrategia de Social Engineering específica que aprovecha la confianza que los usuarios depositan en los sitios web que visitan con regularidad. La víctima se siente segura haciendo cosas que no haría en una situación diferente. El atacante entonces prepara una trampa para la víctima en la ubicación de confianza.
  • Quid pro quo: un atacante contacta a personas al azar en una empresa, alegando que llama por un motivo legítimo. Esta persona eventualmente encontrará a alguien con un problema real, quien agradezca la ayuda proactiva. Luego, intentarán obtener información confidencial de la víctima mientras le ayudan con su problema.

Defensas de Social Engineering

Hay una serie de defensas disponibles para las empresas que ayudarán a proteger a sus empleados contra los principales intentos de Social Engineering:

  • Establecimiento de un marco de confianza estándar: establecer un marco sólido de confianza a nivel de empleados/personal mediante la capacitación del personal sobre cómo debe manejarse la información sensible.
  • Revisión de la información: identificar qué información es sensible y evaluar su exposición a la Social Engineering y a los fallos en los sistemas de seguridad.
  • Siguiendo los protocolos de seguridad: establecimiento de protocolos, políticas y procedimientos de seguridad para el manejo de información sensible. Formación de empleados: formación de los empleados en protocolos de seguridad pertinentes a su puesto.
  • Pruebas periódicas: desarrollar un marco es importante, pero es igual de importante que los empleados sean evaluados para asegurarse de que están asimilando la información. Realizar pruebas para observar cómo reaccionan los empleados ante experimentos controlados de social engineering puede ayudar a ajustar la formación y las discusiones en la dirección correcta.

Por qué es importante Social Engineering

Los sistemas humanos establecidos alrededor de la tecnología son constantemente el eslabón más débil en la cadena de seguridad. La atención a los detalles al establecer la infraestructura de formación y seguridad puede ayudar a proteger a las empresas de los ciberataques y sus consecuencias.

Obtenga más información sobre Social Engineering

Términos relacionados

Cómo puede ayudar Barracuda

Barracuda Email Protection una solución integral y fácil de usar que ofrece defensa de puerta de enlace, protección contra suplantación (de identidad) y phishing basada en API, respuesta ante incidentes, protección de datos, cumplimiento normativo y Formación de Usuarios. Sus capacidades pueden prevenir ataques de Social Engineering:

Impersonation Protection  una solución de defensa de la bandeja de entrada basada en API que protege contra el compromiso del correo electrónico empresarial, la usurpación de cuentas, el spear phishing y otros fraudes cibernéticos. Combina inteligencia artificial e integración profunda con Microsoft Office 365 en una solución integral basada en la nube.

Su exclusiva arquitectura basada en API permite que el motor de IA estudie el historial de correo electrónico y aprenda los patrones de comunicación únicos de los usuarios. Bloquea los ataques de phishing que recopilan credenciales y llevan a la usurpación de cuentas, y proporciona remediación en tiempo real.

Security Awareness Training  una solución de protección del correo electrónico y simulación de phishing diseñada para proteger a su organización contra ataques de phishing dirigidos. Security Awareness Training forma a los empleados para que entiendan las últimas técnicas de phishing de Social Engineering, reconozcan las pistas sutiles de phishing y eviten el fraude por correo electrónico, la pérdida de datos y el daño a la marca. Security Awareness Training convierte a los empleados de ser un posible riesgo para la protección del correo electrónico en una poderosa línea de defensa contra los ataques de phishing perjudiciales.

Respuesta ante incidentes automatiza la respuesta a los incidentes y proporciona opciones de reparación para abordar los problemas de manera más rápida y eficiente. Los administradores pueden enviar alertas a los usuarios afectados y poner en cuarentena los correos electrónicos maliciosos directamente desde sus bandejas de entrada con un par de clics. Las lecturas sobre descubrimiento y amenazas extraídas de la plataforma de respuesta ante incidentes ayudan a identificar anomalías en los correos electrónicos entregados, ofreciendo formas más proactivas de detectar amenazas de correo electrónico.

¿Tiene más preguntas sobre Social Engineering? ¡Póngase en contacto con nosotros hoy mismo!

Obtenga ayuda de Barracuda

Navegación

Nuestros sitios web

Contacto

Legal

© 2003 – 2025 Barracuda Networks, Inc. Todos los derechos reservados.