Dependiendo del país, del sector de actividad y de las personas objetivo, la ingeniería social representa entre el 70% y el 90% de los ciberataques. Por ello queremos recordar nuevamente qué es exactamente, para que podáis estar preparados y reconozcáis a tiempo cualquier comunicación fraudulenta.
¿Qué es la ingeniería social?
Se trata de un conjunto de técnicas y métodos de ciberataque que usan los cibercriminales para engañar a los Usuarios. La más habitual es la suplantación de identidad de un contacto o entidad de confianza para nosotros (ejemplo, un directivo, una entidad bancaria, una entidad pública o cualesquiera otros de confianza). Así será más fácil que cometamos un error y le facilitemos información confidencial, datos personales o incluso vías de acceso (ejemplo, links a recursos o plataformas internas, contraseñas, documentación, etc.).
Además, al conseguir contactar el cibercriminal directamente con el Usuario (tanto en el ámbito profesional como personal) evita ser detectado por algunos software de seguridad que protegen los sistemas informáticos de las organizaciones (antivirus y firewall).
El cibercriminal que actúa por ingeniería social puede estar motivado por varios intereses:
- Hacerse fácilmente con contraseñas de acceso a plataformas, aplicaciones, buzones de correo y demás tecnologías utilizadas.
- Conseguir instalar un virus o malware a través de links o archivos adjuntos infectados, para lo cual el Usuario tiene que pinchar en ellos o descargarlos.
- Chantajear a la empresa, enviando una comunicación amenazante y pidiendo una cantidad de dinero a cambio de recuperar el control sobre la información, evitar que se filtren datos robados o que el cibercriminal no dañe los sistemas o elimine datos de los mismos.
¿Cómo podemos evitarlo? Lo iremos analizando las próximas semanas, a medida que os expliquemos las distintas técnicas que hay (Phishing, Vishing, Smishing) y os demos recomendaciones específicas para cada una de ellas.
Hasta entonces la regla general es; desconfiar de cualquier comunicación inusual y realizar una “doble comprobación”, es decir, cortar la conversación y contactar a ese supuesto remitente por otros medios que sean oficiales, para preguntar si lo que se está solicitando es real.
NOTA IMPORTANTE: Si tienes la mínima sospecha sobre una comunicación o crees que has podido ser víctima de un ciberataque, no dudes en comunicárselo a tu responsable directo, al Responsable de Seguridad CISO y al departamento de IT, para que puedan aconsejarte adecuadamente. Y a nivel personal denuncia el ciberataque ante la autoridad policial.
*Fecha de envío: 17 de marzo de 2025