¿Qué es la ingeniería social?

Definición de ingeniería social

La ingeniería social es una técnica de manipulación que aprovecha el error humano para obtener información privada, acceso u objetos de valor. En la ciberdelincuencia, estas estafas de “pirateo humano” tienden a atraer a usuarios desprevenidos para que expongan datos, propaguen infecciones de malware o den acceso a sistemas restringidos. Los ataques pueden producirse en línea, en persona y a través de otras interacciones.

Las estafas basadas en ingeniería social se construyen en torno a cómo piensan y actúan las personas. Por ello, los ataques de ingeniería social son especialmente útiles para manipular el comportamiento de un usuario. Una vez que un atacante comprende lo que motiva las acciones de un usuario, puede engañarlo y manipularlo con eficacia.

Además, los piratas informáticos intentan aprovecharse del desconocimiento del usuario. Gracias a la velocidad de la tecnología, muchos consumidores y empleados no son conscientes de ciertas amenazas, como las descargas no autorizadas. También es posible que los usuarios no se den cuenta del valor de los datos personales, como su número de teléfono. Como resultado, muchos usuarios no están seguros de cuál es la mejor manera de protegerse a sí mismos y a su información.

Generalmente, los atacantes de ingeniería social tienen uno de dos objetivos:

1. Sabotaje: alterar o corromper datos para causar daños o inconvenientes.
2. Robo: obtener objetos de valor como información, acceso o dinero.

Esta definición de ingeniería social puede ampliarse conociendo exactamente cómo funciona.

¿Cómo funciona la ingeniería social?

La mayoría de los ataques de ingeniería social se basan en la comunicación real entre atacantes y víctimas. El atacante tiende a motivar al usuario para que se comprometa, en lugar de utilizar métodos de fuerza bruta para violar sus datos.

El ciclo de ataque proporciona a estos delincuentes un proceso fiable para engañarle. Los pasos del ciclo de ataque de ingeniería social suelen ser los siguientes:

1. Preparación recopilando información sobre ti o sobre un grupo más amplio del que formes parte.
2. Infiltración estableciendo una relación o iniciando una interacción, comenzando por generar confianza.
3. Vulneración de la víctima una vez establecida la confianza y una debilidad para avanzar en el ataque.
4. Alejamiento una vez que el usuario haya realizado la acción deseada.

Este proceso puede tener lugar en un solo correo electrónico o a lo largo de meses en una serie de charlas en las redes sociales. Incluso podría ser una interacción cara a cara. Pero, en última instancia, concluye con una acción que tú realizas, como compartir tu información o exponerte a programas maliciosos.

Es importante tener cuidado de la ingeniería social como medio de confusión. Muchos empleados y consumidores no se dan cuenta de que unos pocos datos pueden dar a los piratas informáticos acceso a múltiples redes y cuentas.

Al hacerse pasar por usuarios legítimos ante el personal de asistencia informática, obtienen sus datos privados, como el nombre, la fecha de nacimiento o la dirección. A partir de ahí, es una simple cuestión de restablecer las contraseñas y obtener acceso casi ilimitado. Pueden robar dinero, dispersar malware de ingeniería social y mucho más.

Rasgos de los ataques de ingeniería social

Los ataques de ingeniería social se centran en el uso de la persuasión y la confianza por parte del atacante. Cuando te expones a estas tácticas, es más probable que realices acciones que de otro modo no harías.

Entre la mayoría de los ataques, te encontrarás con los siguientes comportamientos:

Emociones exacerbadas: la manipulación emocional da a los agresores ventaja en cualquier interacción. Es mucho más probable que emprendas acciones irracionales o arriesgadas cuando te encuentras en un estado emocional exacerbado. Las siguientes emociones se utilizan en igual medida para convencerte.

• Miedo
• Entusiasmo
• Curiosidad
• Ira
• Culpa
• Tristeza

Urgencia: las oportunidades o solicitudes con un tiempo fijo son otra herramienta fiable en el arsenal de un atacante. Puedes verte motivado a comprometerte bajo el pretexto de un problema grave que requiere atención inmediata. Otra posibilidad es que se te ofrezca un premio o recompensa que puede desaparecer si no actúas con rapidez. Cualquiera de los dos enfoques anula tu capacidad de pensamiento crítico.

Confianza: la credibilidad es inestimable y esencial para un ataque de ingeniería social. Dado que, en última instancia, el atacante te está mintiendo, la confianza desempeña aquí un papel importante. Han investigado lo suficiente sobre ti para elaborar una historia fácil de creer y que no levante sospechas.

Hay algunas excepciones a estos rasgos. En algunos casos, los atacantes utilizan métodos más simples de ingeniería social para obtener acceso al ordenador o a la red. Por ejemplo, un hacker podría frecuentar la zona de restauración de un gran edificio de oficinas y "espiar por encima del hombro" a los usuarios que trabajan en sus tablets o equipos portátiles. Esto puede conllevar un gran número de contraseñas y nombres de usuario, todo ello sin necesidad de enviar un correo electrónico o escribir una línea de código de virus.

Ahora que entiendes el concepto subyacente, probablemente te preguntes: “¿qué es un ataque de ingeniería social y cómo puedo detectarlo?”

Tipos de ataques de ingeniería social

Alt Text: https://www.kaspersky.com/content/en-global/images/repository/isc/2017-images/malware-img-38.jpg

Prácticamente todos los tipos de ataques de ciberseguridad contienen algún tipo de ingeniería social. Por ejemplo, las clásicas estafas por correo electrónico y virus están cargadas de connotaciones sociales.

La ingeniería social puede afectarte digitalmente a través de ataques a móviles, además de a dispositivos de sobremesa. Sin embargo, es igual de fácil enfrentarse a una amenaza en persona. Estos ataques pueden solaparse y superponerse para crear una estafa.

Estos son algunos métodos comunes utilizados por los atacantes de ingeniería social:

Ataques de phishing

Los atacantes de phishing se hacen pasar por una institución o persona de confianza en un intento de persuadirte para que expongas datos personales y otros bienes de valor.

Los ataques mediante phishing tienen dos objetivos:

1. El spam phishing, o phishing masivo, es un ataque generalizado dirigido a muchos usuarios. Estos ataques no son personalizados e intentan atrapar a cualquier persona desprevenida.
2. El spear phishing y, por extensión, el whaling, utilizan información personalizada para dirigirse a usuarios concretos. Los ataques de whaling se dirigen específicamente a objetivos de alto valor, como celebridades, altos directivos y altos cargos gubernamentales.

Ya sea una comunicación directa o a través de un formulario de un sitio web falso, todo lo que compartas va directamente al bolsillo de un estafador. Puede que incluso te engañen para que descargues un malware que contiene la siguiente fase del ataque de phishing. Los métodos utilizados en el phishing tienen cada uno modos únicos de entrega, incluyendo, entre otros:

Las llamadas telefónicas de phishing de voz (vishing) pueden ser sistemas de mensajes automatizados que graban todas tus entradas. A veces, una persona en directo puede hablar contigo para aumentar la confianza y la urgencia.

Los mensajes de texto de phishing por SMS (smishing) o los mensajes de aplicaciones móviles pueden incluir un enlace web o una solicitud de seguimiento a través de un correo electrónico o un número de teléfono fraudulentos.

El phishing por correo electrónico es el medio más tradicional de suplantación de identidad, mediante un mensaje de correo electrónico en el que se te insta a responder o a realizar un seguimiento por otros medios. Se pueden utilizar enlaces web, números de teléfono o archivos adjuntos de malware.

El phishing Angler tiene lugar en las redes sociales, donde un atacante imita al equipo de atención al cliente de una empresa de confianza. Interceptan tus comunicaciones con una marca para secuestrar y desviar tu conversación a mensajes privados, donde luego avanzan en el ataque.

El phishing en buscadores intenta colocar enlaces a sitios web falsos en la parte superior de los resultados de búsqueda. Pueden ser anuncios de pago o utilizar métodos de optimización legítimos para manipular las clasificaciones de búsqueda.

Los enlaces de phishing de URL te tientan a que visites sitios web de phishing. Estos enlaces suelen aparecer en correos electrónicos, mensajes de texto, mensajes de redes sociales y anuncios en línea. Los ataques ocultan enlaces en texto hipervinculado o botones utilizando herramientas de acortamiento de enlaces o URL con ortografía engañosa.

El phishing en sesión aparece como una interrupción de la navegación normal por la web. Por ejemplo, puedes ver ventanas emergentes de inicio de sesión falsas para las páginas que estás visitando en ese momento.

Ataques de Baiting (cebo)

El Baiting abusa de tu curiosidad natural para inducirte a exponerte a un atacante. Normalmente, la posibilidad de obtener algo gratis o exclusivo es la manipulación utilizada para aprovechar tus vulnerabilidades. El ataque suele consistir en infectarte con malware.

Entre los métodos de Baiting más utilizados se encuentran:

• Unidades USB abandonadas en espacios públicos, como bibliotecas y aparcamientos.
• Adjuntos de correo electrónico que incluyan detalles sobre una oferta gratuita, o software gratuito fraudulento.

Ataques de infracción física

Las infracciones físicas implican la aparición de atacantes en persona, haciéndose pasar por alguien legítimo para acceder a zonas o información que de otro modo no estarían autorizadas.

Los ataques de esta naturaleza son más comunes en entornos empresariales, como gobiernos, empresas u otras organizaciones. Los atacantes pueden hacerse pasar por representantes de un proveedor conocido y de confianza para la empresa. Algunos atacantes pueden ser incluso empleados despedidos recientemente con una venganza contra su antiguo empleador.

Hacen que su identidad sea oscura, pero lo suficientemente creíble como para evitar preguntas. Esto requiere un poco de investigación por parte del atacante e implica un alto riesgo. Por lo tanto, si alguien está intentando este método, ha identificado un claro potencial para obtener una recompensa muy valiosa si tiene éxito.

Ataques de pretextos

El pretexto utiliza una identidad engañosa como “pretexto” para establecer la confianza, como hacerse pasar directamente por un proveedor o un empleado de las instalaciones. Este enfoque requiere que el atacante interactúe contigo de forma más proactiva. La vulneración se produce una vez que te han convencido de que son legítimos.

Ataques de Tailgating

El tailgating, o "piggybacking", es el acto de seguir a un miembro autorizado del personal hasta una zona de acceso restringido. Los atacantes pueden jugar con la cortesía social para conseguir que les sujetes la puerta o convencerte de que ellos también están autorizados a estar en la zona. Los pretextos también pueden desempeñar un papel en este caso.

Ataques de quid pro quo

Quid pro quo es un término que significa aproximadamente "un favor por otro", que en el contexto del phishing significa un intercambio de información personal a cambio de una recompensa u otra compensación. Los sorteos o las ofertas para participar en estudios de investigación pueden exponerte a este tipo de ataque.

La vulneración consiste en entusiasmarte por algo valioso que supone una baja inversión por tu parte. Sin embargo, el atacante simplemente toma tus datos sin recompensa para ti.

Ataques de suplantación de DNS y envenenamiento de caché

La suplantación de DNS manipula el navegador y los servidores web para que redirijan a sitios web maliciosos cuando se introduce una URL legítima. Una vez infectado con este exploit, la redirección continuará a menos que los datos de enrutamiento inexactos se borren de los sistemas implicados.

Los ataques de envenenamiento de caché DNS infectan específicamente tu dispositivo con instrucciones de enrutamiento para que la URL legítima o varias URL se conecten a sitios web fraudulentos.

Ataques de Scareware

El Scareware es una forma de malware que se utiliza para asustarte y que realices una acción. Este malware engañoso utiliza advertencias alarmantes que informan de falsas infecciones de malware o afirman que una de tus cuentas se ha visto comprometida.

Como resultado, el Scareware te empuja a comprar software de ciberseguridad fraudulento o a revelar datos privados como las credenciales de tu cuenta.

Ataques de abrevadero

Los ataques abrevadero infectan páginas web populares con malware para afectar a muchos usuarios a la vez. Encontrar puntos débiles en sitios específicos requiere una planificación cuidadosa por parte del atacante. Estos buscan vulnerabilidades existentes que no se conozcan y no estén parcheadas: estas debilidades se consideran exploits de día cero.

Otras veces pueden descubrir que un sitio no ha actualizado su infraestructura para parchear los problemas conocidos. Los propietarios de sitios web pueden optar por retrasar las actualizaciones de software para mantener versiones de software que saben que son estables. Cambiarán una vez que la nueva versión tenga un historial probado de estabilidad del sistema. Los piratas informáticos abusan de este comportamiento para atacar vulnerabilidades parcheadas recientemente.

Métodos inusuales de ingeniería social

En algunos casos, los ciberdelincuentes han utilizado métodos complejos para perpetrar sus ataques cibernéticos, entre los que se incluyen los siguientes:

Phishing por fax: Los clientes de un banco recibían un correo electrónico falso supuestamente procedente del banco (solicitando al cliente que confirmara sus códigos de acceso), pero el método de confirmación no se realizaba a través de las vías habituales de correo electrónico o Internet. En su lugar, se solicitaba al cliente que imprimiera el formulario adjunto al correo electrónico, que rellenara la información y que lo enviara por fax al número de teléfono del ciberdelincuente.

Distribución de malware por correo tradicional: En Japón, los ciberdelincuentes utilizaron un servicio de entrega a domicilio para distribuir CD infectados con spyware troyano. Los discos se entregaban a los clientes de un banco japonés, cuyas direcciones ya se habían robado previamente de la base de datos del banco.

Ejemplos de ataques de ingeniería social

Alt Text: https://www.kaspersky.com/content/en-global/images/repository/isc/2017-images/malware-img-05.jpg

Los ataques de malware merecen una atención especial, ya que son frecuentes y tienen efectos prolongados.

Los creadores de malware que utilizan técnicas de ingeniería social pueden engañar a un usuario incauto para que abra un archivo infectado o un enlace a un sitio web infectado. Muchos gusanos de correo electrónico y otros tipos de malware recurren estos métodos. Sin un paquete de software de seguridad completo para tus dispositivos móviles y de sobremesa, es probable que te expongas a una infección.

Ataques de gusanos

El ciberdelincuente intentará atraer la atención del usuario hacia un enlace o archivo infectado, y conseguir que haga clic en ellos.

Algunos ejemplos de este tipo de ataque son los siguientes:

• El gusano LoveLetter, que sobrecargó los servidores de correo electrónico de muchas empresas en el año 2000. Las víctimas recibían un correo electrónico en el que se les invitaba a abrir la carta de amor adjunta. Cuando abrían el archivo adjunto, el gusano se copiaba a sí mismo en todos los contactos de la libreta de direcciones de la víctima. Este gusano sigue considerándose uno de los más devastadores por el daño financiero que causó.
• El gusano de correo electrónico Mydoom, que apareció en Internet en enero de 2004, utilizaba textos que imitaban los mensajes técnicos emitidos por el servidor de correo electrónico.
• El gusano Swen se transmitía a través de un mensaje enviado por Microsoft. Sostenía que el archivo adjunto era un parche que eliminaría las vulnerabilidades de Windows. No es sorprendente que muchas personas se tomaran en serio esta afirmación y que intentaran instalar el parche de seguridad falso, aunque en realidad se trataba de un gusano.

Canales de propagación de los enlaces de malware

Los enlaces a sitios infectados pueden enviarse por correo electrónico, ICQ y otros sistemas de mensajería instantánea, incluso a través de salas de chat de Internet IRC. Los virus de móviles a menudo se propagan a través de mensajes SMS.

Cualquiera que sea el método de propagación, el mensaje normalmente incluirá palabras que atraigan la atención de los usuarios ingenuos y les animen a hacer clic en el enlace. Este método de entrada en un sistema puede permitir que el malware burle los filtros antivirus del servidor de correo electrónico.

Ataques a redes de igual a igual (P2P)

Las redes P2P también se utilizan para distribuir malware. Los virus de gusanos o troyanos se camuflan en la red P2P con nombres que probablemente atraigan la atención y hagan que los usuarios descarguen e inicien el archivo. Por ejemplo:

• AIM & AOL Password Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• Play Station emulator crack.exe

Avergonzar a los usuarios infectados para que no denuncien un ataque

En algunos casos, los creadores y distribuidores de malware pueden adoptar medidas para reducir las posibilidades de que las víctimas denuncien una infección:

Las víctimas pueden responder a la oferta falsa de una herramienta o guía gratuita que promete beneficios ilegales como:

• Acceso gratuito a comunicaciones por Internet o móvil.
• La oportunidad de descargar un generador de números de tarjetas de crédito.
• Un método para aumentar el saldo de la cuenta online de la víctima.

En estos casos, cuando la descarga resulta ser un virus troyano, la víctima habitualmente prefiere no revelar sus propias intenciones ilegales. Por lo tanto, es muy probable que la víctima no denuncie la infección ante los organismos encargados de hacer cumplir la ley.

Un ejemplo de esta técnica es el virus troyano que se enviaba a las direcciones de correo electrónico recopiladas de un sitio web de contratación. Las personas que se registraban en el sitio web recibían ofertas de empleo falsas y estas incluían un virus troyano. El ataque se dirigía principalmente a direcciones de correo electrónico de empresas. Los ciberdelincuentes sabían que los empleados que recibían el troyano no comunicarían a sus jefes que habían sido infectados mientras buscaban otro empleo.

Cómo detectar ataques de ingeniería social

Para defenderse de la ingeniería social es necesario ser consciente de uno mismo. Ve siempre más despacio y piensa antes de hacer algo o responder.

Los atacantes esperan que actúes antes de considerar los riesgos, lo que significa que debes hacer lo contrario. Para ayudarte, aquí tienes algunas preguntas que debes hacerte si sospechas de un ataque:

• ¿Se agudizan mis emociones? Cuando sientes especial curiosidad, miedo o excitación, es menos probable que evalúes las consecuencias de tus actos. De hecho, es probable que no consideres la legitimidad de la situación que se te presenta. Considéralo una señal de alarma si tu estado emocional es elevado.
• ¿Este mensaje procede de un remitente legítimo? Inspecciona cuidadosamente las direcciones de correo electrónico y los perfiles en las redes sociales cuando recibas un mensaje sospechoso. Puede haber personajes que imiten a otros, como “torn@example.com” en lugar de “tom@example.com.” También son frecuentes los perfiles falsos en redes sociales que duplican la foto y otros datos de tus amigos.
• ¿Me ha enviado mi amigo realmente este mensaje? Siempre es bueno preguntar al remitente si era el verdadero emisor del mensaje en cuestión. Ya sea un compañero de trabajo u otra persona de tu vida, pregúntale en persona o por teléfono si es posible. Pueden haber sido pirateados y no saberlo, o alguien puede estar suplantando sus cuentas.
• ¿El sitio web en el que estoy tiene detalles extraños? Irregularidades en la URL, imágenes de mala calidad, logotipos de empresa antiguos o incorrectos y errores tipográficos en la página web pueden ser señales de alarma de un sitio web fraudulento. Si entras en un sitio web falsificado, asegúrate de salir inmediatamente.
• ¿Te parece esta oferta demasiado buena para ser verdad? En el caso de los sorteos u otros métodos de captación, las ofertas son una fuerte motivación para impulsar un ataque de ingeniería social. Deberías plantearte por qué alguien te ofrece algo de valor a cambio de poco beneficio por su parte. Ten cuidado en todo momento, porque incluso datos básicos como tu dirección de correo electrónico pueden ser recogidos y vendidos a anunciantes poco recomendables.
• ¿Archivos adjuntos o enlaces sospechosos? Si un enlace o el nombre de un archivo parecen imprecisos o extraños en un mensaje, reconsidera la autenticidad de toda la comunicación. Considera también si el mensaje se envió en un contexto o momento extraño, o si presenta alguna otra señal de alarma.
• ¿Puede esta persona demostrar su identidad? Si no puedes conseguir que esta persona verifique su identidad con la organización de la que dice formar parte, no le permitas el acceso que solicita. Esto se aplica tanto en persona como en línea, ya que las infracciones físicas requieren que pases por alto la identidad del atacante.

Cómo prevenir ataques de ingeniería social

Más allá de detectar un ataque, también puedes ser proactivo con respecto a tu privacidad y seguridad. Saber cómo prevenir los ataques de ingeniería social es increíblemente importante para todos los usuarios de móviles y ordenadores.

He aquí algunas formas importantes de protegerte contra todo tipo de ciberataques:

Hábitos seguros de comunicación y gestión de cuentas

La comunicación en línea es donde eres especialmente vulnerable. Las redes sociales, el correo electrónico y los mensajes de texto son objetivos comunes, pero también querrás tener en cuenta las interacciones en persona.

Nunca hagas clic en enlaces de correos electrónicos o mensajes. Siempre es recomendable escribir manualmente una URL en tu barra de direcciones, independientemente del remitente. Sin embargo, da el paso adicional de investigar para encontrar una versión oficial de la URL en cuestión. Nunca te comprometas con ninguna URL que no hayas verificado como oficial o legítima.

Usa la autenticación multifactor. Las cuentas en línea son mucho más seguras cuando se utiliza algo más que una contraseña para protegerlas. La autenticación multifactor añade capas adicionales para verificar tu identidad al iniciar sesión en la cuenta. Estos “factores” pueden incluir datos biométricos, como huellas dactilares o reconocimiento facial, o contraseñas temporales enviadas por SMS.

Utilizar contraseñas seguras (y un administrador de contraseñas). Cada una de tus contraseñas debe ser única y compleja. Intenta utilizar distintos tipos de caracteres, como mayúsculas, números y símbolos. Además, probablemente te convendrá optar por contraseñas más largas siempre que sea posible. Para ayudarte a gestionar todas tus contraseñas personalizadas, puedes utilizar un gestor de contraseñas para almacenarlas y recordarlas de forma segura.

Evita compartir los nombres de tus colegios, mascotas, lugar de nacimiento u otros datos personales. Podrías estar exponiendo sin saberlo respuestas a tus preguntas de seguridad o partes de tu contraseña. Si configuras tus preguntas de seguridad para que sean memorables, pero imprecisas, harás más difícil que un delincuente descifre tu cuenta. Si tu primer coche fue un “Toyota”, escribir una mentira como “coche de payasos” podría despistar por completo a cualquier pirata indiscreto.

Sé muy prudente a la hora de entablar amistades únicamente en línea. Aunque Internet puede ser una forma estupenda de conectar con personas de todo el mundo, se trata de un método habitual para los ataques de ingeniería social. Permanece atento a las señales de alarma que indiquen manipulación o un claro abuso de confianza.

Hábitos de uso seguro de la red

Las redes en línea comprometidas pueden ser otro punto de vulnerabilidad explotado para la investigación de antecedentes. Para evitar que utilicen tus datos en tu contra, toma medidas de protección para cualquier red a la que estés conectado.

Nunca dejes que extraños se conecten a tu red Wi-Fi principal. En casa o en el lugar de trabajo, debe facilitarse el acceso a una conexión Wi-Fi para invitados. Esto permite que tu conexión principal cifrada y protegida por contraseña permanezca segura y libre de interceptaciones. Si alguien decide “espiar” para obtener información, no podrá acceder a la actividad que tú y otros queréis mantener en privado.

Utiliza una VPN. En caso de que alguien en tu red principal —cableada, inalámbrica o incluso móvil— encuentre una forma de interceptar el tráfico, una red privada virtual (VPN) puede mantenerlos alejados. Las VPN son servicios que te proporcionan un “túnel” privado y cifrado en cualquier conexión a Internet que utilices. Tu conexión no solo está protegida de miradas indeseadas, sino que tus datos se anonimizan para que no puedan ser rastreados hasta ti a través de cookies u otros medios.

Mantén seguros todos los dispositivos y servicios conectados a la red. Mucha gente conoce las prácticas de seguridad en Internet para dispositivos móviles y ordenadores tradicionales. Sin embargo, proteger la propia red, además de los dispositivos inteligentes y los servicios en la nube, es igual de importante. Asegúrate de proteger los dispositivos que suelen pasarse por alto, como los sistemas de infoentretenimiento de los coches y los routers de las redes domésticas. Las filtraciones de datos en estos dispositivos podrían facilitar la personalización para una estafa de ingeniería social.

Hábitos de uso seguro de los dispositivos

La conservación de los dispositivos es tan importante como el resto de comportamientos digitales. Protege tu teléfono móvil, tableta y otros dispositivos informáticos siguiendo estos consejos:

Utiliza un software completo de seguridad para Internet. En caso de que las tácticas sociales tengan éxito, las infecciones por malware son un resultado común. Para combatir rootkits, troyanos y otros bots, es fundamental utilizar  soluciones de seguridad en Internet de alta calidad que puedan eliminar las infecciones y ayudar a rastrear su fuente.

No dejes nunca tus dispositivos desprotegidos en público. Bloquea siempre el ordenador y los dispositivos móviles, especialmente en el trabajo. Cuando utilices tus dispositivos en espacios públicos como aeropuertos y cafeterías, tenlos siempre a mano.

Mantén todo tu software actualizado tan pronto como esté disponible. Las actualizaciones inmediatas proporcionan a tu software correcciones de seguridad esenciales. Cuando te saltas o retrasas las actualizaciones de tu sistema operativo o de tus aplicaciones, dejas al descubierto agujeros de seguridad conocidos que los hackers pueden atacar. Como saben que este es un comportamiento de muchos usuarios de ordenadores y móviles, te conviertes en un objetivo principal para los ataques de malware de ingeniería social.

Comprueba si se han producido violaciones de datos conocidas en tus cuentas en línea. Servicios como Kaspersky Premium supervisan activamente las violaciones de datos nuevas y existentes para tus direcciones de correo electrónico. Si tus cuentas están incluidas en los datos comprometidos, recibirás una notificación junto con consejos sobre cómo tomar medidas.

La protección contra la ingeniería social empieza por la educación. Si todos los usuarios son conscientes de las amenazas, mejorará nuestra seguridad como sociedad colectiva. Asegúrate de aumentar la concienciación sobre estos riesgos compartiendo lo que has aprendido con tus compañeros de trabajo, familiares y amigos.

Artículos relacionados:

• Los 10 principales piratas más relevantes de todos los tiempos
• ¡Amenazas de malware móvil a las que hay que prestar atención!
• Técnicas de implementación de malware
• Detección de malware y exploits
• Elección de una solución antivirus
• Clasificaciones de malware