¿Qué es la ingeniería social?

Publicado: 16/01/2007

Los delincuentes que operan en Internet pueden usar tecnología avanzada para obtener acceso a su equipo, o bien recurrir a algo más sencillo e insidioso: la ingeniería social.

La ingeniería social ofrece a los delincuentes un medio de obtener acceso a su equipo. Por lo general, la finalidad de la ingeniería social es instalar de forma secreta spyware o algún otro tipo de software malintencionado para intentar convencerle de que facilite sus contraseñas u otra información confidencial de carácter personal o financiero.

Algunos delincuentes de Internet consideran más fácil aprovecharse de la naturaleza humana que de las vulnerabilidades del software.

Tipos de ingeniería social
Hay varios tipos de ingeniería social que deben tenerse presentes:

•	Suplantación de identidad (phishing)
•	Spear phishing
•	Correo electrónico engañoso

No revele información personal por correo electrónico ni en línea a menos que sepa por qué motivo debe hacerlo y conozca a su interlocutor. Asegúrese además de que se encuentra en un entorno seguro: es esencial para ayudarle a evitar cualquier tipo de ataque.

Suplantación de identidad (phishing): mensajes de correo electrónico y sitios web fraudulentos
La forma más frecuente de ingeniería social es la estafa por phishing o suplantación de identidad. Para las estafas de phishing, se emplean mensajes de correo electrónico o sitios web fraudulentos en los que se intenta que facilite información personal.

Por ejemplo, podría recibir un mensaje de correo electrónico que parezca proceder de su banco o de otra entidad financiera en el que se le pida que actualice la información de su cuenta. El mensaje de correo electrónico incluye un vínculo que parece de un sitio legítimo, pero que, en realidad, le lleva a un sitio web falsificado.

Si indica su nombre de inicio de sesión, su contraseña u otra información confidencial, un delincuente podría usar estos datos para suplantar su identidad.

Con frecuencia, los mensajes de correo electrónico de phishing incluyen errores de ortografía o gramática, y contienen amenazas y exageraciones. Para obtener más información acerca del phishing, consulte Reconozca una estafa por suplantación de identidad (phishing) y mensajes de correo electrónico fraudulentos.

Si cree que puede haber sido víctima de un engaño de este tipo, consulte ¿Qué hacer si ha respondido a una estafa de suplantación de identidad (phishing)?
Como medida de protección frente a las estafas de phishing, pruebe el Filtro de suplantación de identidad (phishing) de Microsoft.

"Spear phishing": ataques con objetivos específicos que parecen proceder de personas conocidas
El "spear phishing" es una estafa por correo electrónico con objetivos específicos que se suele utilizar en entornos empresariales.

Los timadores de "spear phishing" envían mensajes de correo electrónico que parecen auténticos a todos los empleados o miembros de una determinada empresa, organismo, organización o grupo.

El mensaje puede parecer procedente de un compañero de trabajo o de un cargo directivo (como el responsable de recursos humanos o de TI) que podría enviar un mensaje de correo electrónico a todos los usuarios de la empresa. Podría incluir solicitudes de nombres de usuario y contraseñas, o contener software malintencionado, como troyanos o virus.

La estafa de "spear phishing" corresponde a un tipo de ingeniería social más avanzado que el "phishing", pero las técnicas que pueden usarse para evitar el engaño son las mismas.

Para obtener más información, consulte Spear phishing: Estafas dirigidas a un objetivo específico. Como medida de protección contra troyanos y virus, use software antivirus como Windows Live OneCare.

Mensajes de correo electrónico engañosos: desconfíe de las promesas de dinero fácil
Los mensajes de correo electrónico engañosos se presentan de distintos modos, desde una estafa en la que se le pide ayuda para sacar dinero de otro país (a menudo, Nigeria) hasta un aviso de que ha ganado algo en un sorteo.

El elemento en común es que normalmente se le promete una gran suma de dinero a cambio de muy poco o ningún esfuerzo por su parte.

El estafador intenta que envíe dinero o revele información financiera que pueda usarse para robarle dinero, su identidad o ambos.

Para obtener más información, consulte Identifique y evite estafas por adelanto de pago y No ha ganado la lotería de Microsoft.

Quizá también reciba mensajes de estafa enviados a través de mensajería instantánea. Para obtener más información, consulte Diez sugerencias para una mensajería instantánea más segura.

Cómo puede ayudar la tecnología

Su primer nivel de defensa debería ser la protección del equipo. Para obtener más información, consulte Proteja su equipo en cuatro pasos.

Aprender a detectar técnicas de ingeniería social es el paso siguiente, y el nuevo sistema operativo Windows Vista se lo pone más fácil:

•	Internet Explorer 7 está disponible para Windows Vista y tiene un Filtro de suplantación de identidad (phishing) integrado que examina y avisa a los usuarios acerca de sitios de phishing que podrían resultar peligrosos.
•	Los controles parentales de Windows Vista permiten evitar que los niños descarguen software no deseado.
•	Windows Defender le ayuda a evitar el spyware y otros tipos de software malintencionado que pueden formar parte de una estafa de ingeniería social. Windows Defender se incluye con Windows Vista. Si usa Windows XP SP2, puede descargar Windows Defender sin costo alguno.
•	El Control de cuentas de usuario incluido en Windows Vista requiere su consentimiento antes de permitir que se ejecute un programa potencialmente peligroso. Esto contribuye a reducir las repercusiones de los virus, el spyware y otras amenazas que pueda encontrar a través de la ingeniería social.

Principio de la página

Vínculos relacionados

•	Filtro de suplantación de identidad (phishing): protéjase de las estafas en línea
•	Windows Defender para Windows XP SP2
•	Windows Defender para Windows Vista
•	Cómo proteger a los usuarios internos de amenazas de ingeniería social