¿Qué es la ingeniería social?

La ingeniería social es una actividad malintencionada que utiliza interacciones humanas para engañar a los usuarios para que cometan errores que comprometan su información confidencial o simplemente la revelen. Dado que se utiliza para robar identidades en línea, los ingenieros sociales a menudo se denominan «ciberdelincuentes». Los ciberdelincuentes han utilizado la ingeniería social durante años para obtener información personal de usuarios vulnerables de Internet que carecen de información relacionada con la seguridad de Internet. Dado que la mayoría de los usuarios de Internet prefieren no utilizar aplicaciones antivirus e ignoran las reglas de seguridad para evitar ataques, un gran número de usuarios son víctimas de este tipo de actividades delictivas.

Aunque existen varias otras técnicas de explotación, la ingeniería social se basa en el error humano, lo que dificulta su identificación. Los errores cometidos por usuarios legítimos pueden ser mucho más impredecibles que las intrusiones basadas en malware que dependen en gran medida de las vulnerabilidades del software y los sistemas operativos. La ingeniería social brinda a los ciberdelincuentes una mejor oportunidad de superar las medidas de seguridad simplemente porque los errores humanos son inevitables.

La ingeniería social se puede comparar con un juego de ajedrez, excepto que en lugar de usar piezas en un tablero, los criminales están tratando de usar las emociones de las personas. Hay diferentes tipos de ataques, incluidos cebos que implican atraer a los usuarios con algo que quieren y luego quitárselo una vez que han bajado la guardia. Otros tipos incluyen scareware que implica fingir como si algo hubiera salido mal cuando todo está bien; pretextando donde alguien se hace pasar por otra persona en línea. Otros notables son suplantación de identidad y spear phishing. Todos estos ataques se basan inicialmente en generar confianza, crear un sentido de urgencia y luego aumentar las emociones para manipular al usuario para que cometa un error, de modo que el ciberdelincuente que lanza el ataque pueda robar la identidad del usuario.

Un ciclo de ataque de ingeniería social es una forma sistemática de obtener acceso e información confidencial de los usuarios, utilizando su vulnerabilidad. Estos criminales tienden a no usar fuerza bruta métodos porque les ayuda a mantener un registro de lo que los usuarios están haciendo en su computadora o teléfono sin ser detectados por los programas antivirus.