En el ámbito de la seguridad de la información, la Ingeniería Social es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para obtener información o hacer que la víctima ejecute actividades más elaboradas.
Investigación. El ciberdelincuente investiga a la víctima recogiendo información pública sobre ella, que sea de utilidad (en redes sociales, por ejemplo).
Gancho. El atacante elabora el engaño en torno a una o varias historias; tomando un rol en estas, que eventualmente le permitan ganarse la confianza de la víctima y tomar control de la situación.
Ejecución. El atacante pone en marcha su plan intentando manipular a la víctima para que le facilite la información que necesita o para que realice las actividades que se le indican.
Salida. Una vez logrado el objetivo, el ciberdelincuente corta la interrelación con la víctima. e intenta borrar los rastros que pudiera haber dejado para no ser descubierto.
Pretexting.
Base de cualquier ataque de Ingeniería Social. Consiste en elaborar un escenario/historia ficticia donde el atacante tratará de que la víctima revele información que en circunstancias normales no revelaría.
Sextorsión.Chantaje donde amenazarán a la víctima con distribuir supuesto contenido comprometido de esta (aun cuando no exista tal contenido) si no accede a las peticiones del ciberdelincuente
Phishing / Smishing / VishingCorreo electrónico, mensajes de texto o llamadas, donde el atacante simula ser una organización o persona de confianza, para solicitar información o distribuir malware mediante archivos o links anexos
BaitingSe emplea un cebo con software malicioso a la vista de sus víctimas (una usb “olvidada” en un lugar público, por ejemplo), para que ellos mismos infecten sus dispositivos.
Shoulder SurfingConsiste en mirar por “encima del hombro”. Al atacante le basta con observar lo que escribes o tienes en pantalla para obtener información muy útil
Dumpster Diving / TrashingSe refiere al acto de “husmear en la basura” para obtener documentos con información personal o financiera
Quid pro QuoPrometen un beneficio a cambio de información personal y suelen ser compensaciones en un formato de “regalo”
Redes SocialesMediante cupones de descuento, juegos, concursos, retos o tendencias, recaban información adicional al perfil público
¿Cómo puedes protegerte?
Ten cuidado con lo que publicas y compartes física, verbal o digitalmente en redes sociales, foros, grupos, eventos o ante cualquier tipo de encuestas.
Si recibes llamadas, mensajes o visitas inesperadas, ignora, corta la conversación y si es posible bloquéala. Enso nunca te pedirá tus contraseñas para la atención de una solicitud de soporte.
Antes de hacer lo que te piden, comprueba que la persona o servicio que te visita, o está detrás de la llamada o mensaje, es realmente quien dice ser. Analiza los detalles, pregúntate si es correcto lo que te piden, y verifica con otras fuentes de confianza en caso de duda.
Si crees ser víctima de un fraude, analiza tu dispositivo con un antivirus, cambia tus contraseñas y revisa las operaciones realizadas; busca periódicamente en internet información que te identifique para evitar mal uso de tu información personal. En caso de que encuentres que están usando tu información sin tu aprobación, reportalo y levanta una denuncia ante las instancias correspondientes.
Clave de publicación: CACE-SI-28-11-2022
Enso es una marca comercial de ENSO FINVE, S.A.P.I de C.V, © 2022. TODOS LOS DERECHOS RESERVADOS.
"ENSO FINVE, S.A.P.I de C.V, (en adelante “ENSO”), se encuentra facultada para continuar realizando sus actividades términos del artículo octavo transitorio de la Ley para Regular las Instituciones de Tecnología Financiera, cuya solicitud de autorización ante la Comisión Nacional Bancaria y de Valores se encuentra en trámite, y hasta en tanto la Comisión Nacional Bancaria y de Valores resuelva su solicitud no es una actividad supervisada por las autoridades mexicanas. Ni el Gobierno Federal ni las entidades de la administración pública paraestatal podrán responsabilizarse o garantizar los recursos de los Clientes que sean utilizados en las operaciones que celebren con ENSO o frente a otros, así como tampoco asumir alguna responsabilidad por las obligaciones contraídas por ENSO o por algún Cliente frente a otro, en virtud de las operaciones que celebren."