Ciberseguridad: ingeniería social
La ingeniería social es solo una de las amenazas en las que está trabajando la UE para promover la ciberresiliencia y luchar contra la ciberdelincuencia.
Ingeniería social
La ingeniería social es una estrategia utilizada por personas o grupos para manipular y engañar a las personas con la intención de que revelen información delicada o lleven a cabo acciones que pongan en riesgo su seguridad. Se basa en la psicología y el comportamiento humano más que en conocimientos técnicos.
En los ataques de ingeniería social, el atacante se suele hacer pasar por una persona o fuente de confianza para ganarse a la víctima. El atacante utiliza tácticas como la suplantación de identidad, la persuasión o el engaño para extraer información valiosa, por ejemplo:
- contraseñas,
- información financiera,
- acceso a sistemas y redes.
Los ataques de ingeniería social pueden adoptar diversas formas. La estrategia consiste en aprovechar las vulnerabilidades humanas para alcanzar los objetivos del agresor, ya sea obtener acceso no autorizado o robar datos o dinero.
Las diferentes técnicas utilizadas en la ingeniería social
Phishing
Los atacantes envían correos electrónicos, mensajes o enlaces engañosos a sitios web que parecen legítimos con el fin de confundir a los destinatarios para que hagan clic y revelen información delicada, como contraseñas, números de tarjetas de crédito o datos personales.
Phishing personalizado
Parecido al phishing pero muy adaptado a cada persona. Para resultar aún más convincentes, los atacantes personalizan los mensajes basándose en información concreta sobre el objetivo.
Baiting:
Los atacantes ofrecen algo atractivo, como descargas gratuitas de software, a cambio de información personal o acceso al sistema. Esta forma de actuar puede incluir archivos o enlaces infectados.
Pretexting:
Los atacantes elaboran una historia ficticia o un pretexto para obtener información. Esto implica a menudo suplantar la identidad de alguien que inspira confianza, como un colega o un representante de un banco.
Phishing de voz
Una forma de phishing que tiene lugar mediante la comunicación por voz, habitualmente mediante una llamada telefónica. Los atacantes se hacen pasar por entidades de confianza y convencen a las víctimas de que revelen información delicada.
Suplantación
Los atacantes se hacen pasar por otra persona, ya sea en línea o en persona, para ganar confianza y manipular al objetivo de forma que revele información confidencial o haga algo concreto.
Phishing en redes sociales
Los ataques se dirigen principalmente a usuarios de redes sociales y a menudo aprovechan un tema popular o una tendencia para crear mensajes engañosos, haciendo que parezcan pertinentes y fiables.
Programas de secuestro y extorsión
Los atacantes amenazan con revelar información delicada o perturbar los sistemas a menos que se pague un rescate. Infunden miedo para coaccionar a sus víctimas.
Protección contra estos ataques
Estar alerta sirve de escudo
Esté alerta y reconozca las señales. Si hay algo extraño o demasiado bueno para ser verdad, puede ser una estafa.
Piense antes de hacer clic
Evite hacer clic en enlaces o abrir correos electrónicos de fuentes desconocidas.
Proteja los datos personales
No comparta nunca datos sensibles, como contraseñas, números de tarjetas de crédito o datos personales en mensajes ni en correos electrónicos, independientemente de quién lo solicite.
Use contraseñas seguras
Utilice contraseñas diferentes y seguras para cada cuenta.
Active la autenticación de doble factor
Siempre que sea posible, active la autenticación de doble factor: añade un nivel adicional de seguridad a sus cuentas en línea.
Verifique la identidad de la persona que llama
Si alguien que se pone en contacto con usted afirma pertenecer a una empresa u organización, pida una prueba de identidad o póngase en contacto directamente con la organización para comprobar la información.
Manténgase informado
Siga informándose sobre nuevas estafas y técnicas.
Cíñase a fuentes fiables
Utilice fuentes fiables para descargar archivos con el fin de evitar programas maliciosos.
Si es usted víctima de fraude
- notifíquelo a las autoridades locales competentes,
- cambie sus contraseñas,
- active la autenticación de doble factor,
- pase un antivirus por sus dispositivos en busca de programas maliciosos,
- alerte a amigos y compañeros de que se han vulnerado sus cuentas.
Véase también
Ciberseguridad
Cómo combate la UE la ciberdelincuencia
¿Cuáles son las mayores ciberamenazas en la UE?
Última revisión: 5 de febrero de 2025