El Instituto Nacional de Ciberseguridad (INCIBE) ha lanzado una “Guía de ciberataques. Todo lo que debes saber a nivel usuario.” en la que podrás aprender cuáles son los tipos y las características de los ciberataques de los que podemos ser víctimas sólo con el simple hecho de navegar por la Red.

Ya hemos publicado un artículo sobre los ataques a contraseñas, por lo que en esta noticia trataremos otro tipo de ataques: los ataques por ingeniería social.

Los ataques por ingeniería social se basan en un conjunto de técnicas dirigidas a nosotros, los usuarios, con el objetivo de conseguir que revelemos información personal o permita al atacante tomar control de nuestros dispositivos. Existen distintos tipos de ataques basados en el engaño y la manipulación, aunque sus consecuencias pueden variar mucho, ya que suelen utilizarse como paso previo a un ataque por malware.

Hay varios subtipos de ataques dentro del denominado ataque por ingeniería social:

  • Phishing, Vishing y Smishing
  • Baiting o Gancho
  • Shoulder surfing
  • Dumpster Diving
  • Spam
  • Fraudes online

Los vemos con mayor detenimiento, definiéndolos y explicando consejos para prevenirlos.

Phishing, Vishing y Smishing.

Se tratan de tres ataques basados en ingeniería social muy similares en su ejecución. De forma general, el ciberdelincuente enviará un mensaje suplantando a una entidad legítima, como puede ser un banco, una red social, un servicio técnico o una entidad pública, con la que nos sintamos confiados, para lograr su objetivo. Estos mensajes suelen ser de carácter urgente o atractivo, para evitar que apliquen el sentido común y se lo piensen dos veces.

Phishing: Suele emplearse el correo electrónico, redes sociales o aplicaciones de mensajería instantánea.
Vishing: Se lleva a cabo mediante llamadas de teléfono.
Smishing: El canal utilizado son los SMS.

En ocasiones, traen consigo un enlace a una web fraudulenta, que ha podido ser suplantada, fingiendo ser un enlace legítimo, o bien se trata de un archivo adjunto malicioso para infectarnos con malware.

Cuando se trata de un ataque dirigido a una persona en concreto, se conoce como Spear phishing. Esta modalidad centra en una persona específica las técnicas de manipulación, recabando información sobre ella previamente para maximizar las probabilidades de éxito a la hora de hacerse con su información o dinero.

¿Cómo se propaga/infecta/extiende?

El principal medio de propagación es el correo electrónico donde, fingiendo ser una entidad de confianza, el atacante lanza un cebo. Generalmente suele ser un mensaje urgente o una promoción muy atractiva, para motivarnos a hacer clic en el enlace o archivo adjunto, o a compartir los datos que el atacante pide en su mensaje.

¿Cuál es su objetivo?

Su objetivo es obtener datos personales y/o bancarios de los usuarios, haciéndonos creer que los estamos compartido con alguien de confianza. También pueden utilizar esta técnica para que descarguemos malware con el que infectar y/o tomar control del dispositivo.

¿Cómo me protejo?

El principal consejo es ser precavido y leer el mensaje detenidamente, especialmente si se trata de entidades con peticiones urgentes, promociones o chollos demasiado atractivos. Además, otras pautas que podemos seguir para evitar ser víctima de un phishing son:

  • Detectar errores gramaticales en el mensaje. Y, si se trata de un asunto urgente o acerca de una promoción muy atractiva, es muy probable que se trate de un fraude. Revisar que el enlace coincide con la dirección a la que apunta. Y, en cualquier caso, debemos ingresar la url nosotros directamente en el navegador, sin copiar y pegar.
  • Comprobar el remitente del mensaje, o asegurarnos de que se trata de un teléfono legítimo.
  • No descargar ningún archivo adjunto y analizarlo previamente con el antivirus. En caso de vishing, no debemos descargar ningún archivo que nos haya solicitado el atacante, ni ceder el control de nuestro equipo por medio de algún software de control remoto.
  • No contestar nunca al mensaje y eliminarlo.

Baiting o Gancho

El Baiting, también conocido como “cebo”, se sirve de un medio físico y de nuestra curiosidad o avaricia. Utilizando un cebo, los atacantes consiguen que infectemos nuestros equipos o compartamos información personal.

¿Cómo se propaga/infecta/extiende?

El medio más utilizado son los dispositivos USB infectados que los atacantes colocan en sitios estratégicos, como lugares públicos con mucha afluencia de personas o en la entrada de las empresas. Otro método consiste en utilizar anuncios y webs con las que promocionar concursos y premios que nos incitan a compartir nuestros datos o descargar software malicioso.

¿Cuál es su objetivo?

Conseguir que los usuarios conectemos estos dispositivos infectados en nuestros equipos para ejecutar malware con el que robar nuestros datos personales y/o tomar control del equipo, infectar la red y llegar al resto de dispositivos.

¿Cómo me protejo?

La mejor defensa para este tipo de ataques es evitar conectar dispositivos desconocidos de almacenamiento externo o con conexión USB a nuestros equipos. Además, debemos mantener nuestro sistema actualizado y las herramientas de protección, como el antivirus, activadas y actualizadas. Finalmente, como en todos los ataques por ingeniería social, debemos desconfiar de cualquier promoción demasiado atractiva, o de promesas que provengan de webs o mensajes poco fiables.

En próximos artículos explicaremos los otros tipos de ciberataques de ingeniería social.


Puedes acceder a la guía completa en el siguiente enlace: https://www.osi.es/es/guia-ciberataques