Este tipo de ataques son cada vez más sofisticados y difíciles de detectar, representando un grave riesgo para las empresas. La filtración de datos confidenciales, el daño reputacional y las posibles sanciones son algunas de sus consecuencias.

¿Cómo protegerse del spoofing? Entre otras medidas:

• Verificar remitentes antes de responder a correos o llamadas desconocidas.
• Evitar proporcionar datos sensibles a través de correos o mensajes no verificados.
• No hacer clic en enlaces sospechosos ni descargar archivos de remitentes dudosos.
• Implementar herramientas de seguridad, como cifrado de correos.
• Asegurar conexiones web con certificados SSL y revisar la URL.
• Actualizar regularmente sistemas y aplicaciones.
• Usar contraseñas seguras y activar la autenticación en dos pasos.

IMPORTANTE

Los principales tipos de spoofing son:

suplantación Web; suplantación correo electrónico (phishing); suplantación SMS (smishing); suplantación telefónica (vishing); suplantación de IP

La entrada Cómo podemos protegernos ante un ataque de Spoofing? se publicó primero en Adaptación RGPD.

Lo primero de todo, debemos saber que no difieren mucho de los timos presenciales, el ciber criminal emplea un proceso similar al del estafador en persona; primero realiza un reconocimiento, luego establece contacto, genera confianza, y finalmente manipula a su víctima para alcanzar su propósito y alejarse de la situación sin despertar sospechas.

Los atacantes usan técnicas manipulación aprovechándose de las siguientes situaciones:

• Respeto a la autoridad: el atacante se hace pasar por un organismo público o un miembro de las Fuerzas y Cuerpos de Seguridad del Estado.
• Disposición a colaborar o ayudar en los entornos laborales y comerciales.
• El miedo a perder oportunidades, como es el caso de solicitudes de pago para acceder a trabajos, premios o recompensas.
• Del ego de los individuos, mediante mensajes que notifican falsos premios o logros, instando a realizar acciones que de otro modo no se aceptarían.
• Creación de situaciones de urgencia que aprovechen la falta de experiencia, pereza o ingenuidad de las personas.

IMPORTANTE
Tras ganarse la confianza de la víctima, el atacante la manipula para obtener datos sensibles, como credenciales o información privada, para inducirla a realizar acciones como instalar software o enviar correos.

La entrada Prevención ransomware: pasos para reconocer un ataque de ingeniería social se publicó primero en Adaptación RGPD.

Existen diferentes tipos de ataques de ingeniería social, según el canal que utilicen los ciberdelincuentes y el objetivo que persigan. Algunos de los más comunes son:

Phishing: Consiste en enviar correos electrónicos falsos que suplantan la identidad de una entidad legítima (banco, empresa, red social, etc.) para inducir a la víctima a hacer clic en un enlace malicioso o descargar un archivo infectado. El objetivo puede ser robar datos personales, financieros o credenciales de acceso, o infectar el dispositivo con malware.

Vishing: Es una variante del phishing que se realiza por teléfono. El ciberdelincuente llama a la víctima haciéndose pasar por una persona o compañía de confianza y le solicita información sensible o le pide que realice alguna acción, como transferir dinero o acceder a un sitio web fraudulento.

Smishing: Es otra variante del phishing que se realiza por mensajes de texto (SMS). El ciberdelincuente envía un mensaje a la víctima con un pretexto falso y le pide que responda con datos personales o que entre en un enlace malicioso.

Baiting: Consiste en dejar un dispositivo de almacenamiento (USB, CD, etc.) con un contenido aparentemente interesante o valioso en un lugar público donde pueda ser encontrado por la víctima. Al conectar el dispositivo al ordenador, la víctima activa el malware que contiene y permite al ciberdelincuente acceder a su sistema.

Pretexting: Consiste en crear una historia falsa para ganarse la confianza de la víctima y obtener información personal o profesional. El ciberdelincuente puede hacerse pasar por un empleado, un cliente, un proveedor o cualquier otra persona relacionada con la víctima y pedirle datos como números de cuenta, contraseñas o documentos.

Scareware: Consiste en asustar a la víctima con falsas alertas de seguridad o amenazas de virus para que instale un software malicioso o pague por un servicio falso. El ciberdelincuente puede aprovecharse de la falta de conocimiento técnico o del miedo a perder datos o dinero.

Quid pro quo: Consiste en ofrecer algo a cambio de información o acceso. El ciberdelincuente puede hacerse pasar por un técnico, un investigador o cualquier otra persona que pueda ofrecer una recompensa o solución a un problema a la víctima. Por ejemplo, puede ofrecer ayuda para reparar el ordenador o participar en una encuesta.

Estos son solo algunos ejemplos de los tipos de ataques de ingeniería social que existen hoy en día. Para evitar caer en ellos, es importante estar muy alerta y desconfiar de cualquier comunicación sospechosa que nos pida información personal o nos incite a hacer clic en algún enlace o descargar algún archivo. También es recomendable utilizar herramientas de seguridad como antivirus, Antispyware, firewalls y tecnicas de cifrado, así mantener actualizados los sistemas y aplicaciones.

La entrada Que son los Ataques de ingeniería social y qué tipos existen se publicó primero en Adaptación RGPD.

El ciclo de vida de este tipo de ataque consiste en tres fases:

1ª Fase de reconocimiento: Esta fase conocida también como footprinting consiste en recabar toda la información posible de las potenciales victimas del fraude, por ejemplo, números de teléfono, nombres de dominio, correo electrónico, etc…

2ª Fase de manipulación: La manipulación psicológica es clave en este tipo de fraudes. Así por ejemplo hacer creer que existe una determinada urgencia en una operación muy importante que ha costado mucho conseguir, actuar rápidamente para no perder un servicio. Lo que trata el ciberdelincuente es establecer una relación de confianza utilizando nombres de dominios falsos o suplantando la identidad de una persona u organización conocidas.

3ª Fase final del ata      que: Una vez obtenido el objetivo el ciberdelincuente tratará que el fraude no sea descubierto, puesto que así la extorsión puede continuar durante más tiempo y el impacto será mayor para la empresa.

IMPORTANTE

La formación y el conocimiento en el funcionamiento de los distintos tipos de ataque son herramientas fundamentales para su prevención.

La entrada Las principales fases de un ataque de ingeniería social se publicó primero en Adaptación RGPD.