Utilizan la interacción social con el claro objetivo de manipular a las personas. En los últimos años la ingeniería social se ha convertido en una de las herramientas más usadas por ciberdelincuentes de todo el mundo ya que es más fácil manipular a los usuarios que hallar vulnerabilidades en sistemas o redes.

Una de las principales amenazas de ingeniería social es el phishing. Los hackers envían un correo electrónico a los usuarios alertando de, por ejemplo, un error en su tarjeta de crédito que deben subsanar accediendo a la banca online.

En el e-mail hay adjunto un enlace que, supuestamente, corresponde a la banca online. Pero en realidad se trata de una web creada por los ciberdelincuentes, de forma que, cuando los usuarios introducen sus credenciales (usuario y contraseña), se hacen con ellas.

El vishing, que también recibe el nombre de phishing por voz, es un ataque muy sofisticado. Los delincuentes suplantan un número de teléfono y se hacen pasar por técnicos o personal informático para hacerse con información personal de sus víctimas.

Los ataques de ingeniería social también pueden comenzar fuera de Internet, como es el caso del baiting. Consiste básicamente en que un hacker deja un dispositivo, como por ejemplo una unidad USB, infectado con malware, en un lugar que sea fácil de encontrar. Si alguien lo encuentra y lo conecta a su equipo, éste se infectará con malware.

El pretexting es un tipo de ataque de ingeniería social en el que los atacantes suplantan la identidad de una persona para conseguir datos personales. Son los ataques más complicados de detectar.

Aunque históricamente la mayor parte de los ciberataques han estado dirigidos contra grandes compañías, el riesgo de sufrir ataque cibernético está creciendo para PYMEs y particulares.

Una de las principales consecuencias para las compañías, independientemente de su tamaño y sector de actividad, de ser víctimas de un ciberataque es el desembolso económico que conlleva su recuperación.

Hay que sumar el coste de negocio perdido, los gastos extra en personal y las mejoras de software y hardware. Sin embargo, el activo que presenta un mayor riesgo es la reputación corporativa.

Aquellas organizaciones que no saben gestionar de manera adecuada un ataque y cometen errores como el de no avisar del mismo a clientes y accionistas, corren un grave peligro de sufrir una caída de reputación y del valor de la marca.

• No existe ninguna medida 100% efectiva para evitar un ataque cibernético, pero sí hay una serie de prácticas que conviene aplicar para reducir el riesgo de sufrirlo. La formación del personal es clave ya que en la gran mayoría de casos el factor humano está detrás de las brechas de seguridad. 
• Sistemas actualizados: es requisito indispensable que todos los sistemas operativos y programas estén actualizados. Además, los equipos informáticos corporativos deben tener instaladas soluciones de protección contra ciberataques, como antivirus. 
• Contraseñas seguras: todos los empleados, y especialmente aquellos que tengan acceso a información sensible, deben tener contraseñas de acceso seguras, que incluyan letras mayúsculas y minúsculas, números y caracteres especiales. 
• Formación: todas las empresas deben invertir en la formación del personal. Los trabajadores tienen que ser capaces tanto de prevenir como de hacer frente a cualquier ataque informático.
• Correo electrónico: el correo electrónico es una de las principales vulnerabilidades, a través de la cual los hackers pueden atacar los equipos informáticos de una empresa. Es esencial mantenerse alerta ante los correos con archivos o enlaces sospechosos.
• Copia de seguridad: y, por último, para evitar la pérdida de información, hay que tener una copia de seguridad de toda la información corporativa.

En agosto de 2012 los correos electrónicos de los usuarios de Dropbox fueron expuestos, pero no fue hasta 2016 cuando Leakbase descubrió que las contraseñas también habían sido robadas.

Los hackers tuvieron acceso a las cuentas de más de 68 millones de empleados porque uno de los empleados de Dropbox utilizó su contraseña profesional en Linkedin.

En marzo de 2019, casi 419 millones de números de teléfono y de identificación de usuario en Facebook se almacenaron en un servidor online que no contaba con ningún tipo de protección. Los países más afectados fueron Reino Unido, Estados Unidos y Vietnam.

Imágenes: Unsplash y Freepik