Blog
Gestión del fraude

Comprender los trucos de ingeniería social y cómo prevenirlos

Este artículo profundiza en las crecientes amenazas de la ingeniería social y la suplantación de identidad, destacando tácticas sofisticadas como el vishing y el smishing junto con ejemplos de estafas del mundo real. Destaca el papel crucial de las estrategias integrales de ciberseguridad y aboga por una protección sólida tanto a nivel del usuario como del dispositivo para combatir estas amenazas generalizadas.
May 16, 2024
6 minutos
Yuqi Chen

En la era digital, la ingeniería social y la suplantación de identidad representan amenazas importantes para la seguridad y la privacidad, y afectan a una variedad de plataformas digitales, desde las redes sociales y las aplicaciones de mensajería hasta el comercio digital, las empresas de pago y la banca en línea. Las estadísticas recientes indican una tendencia al alza en los casos de ingeniería social, con importantes pérdidas financieras cada año. Comprender estas amenazas es crucial para proteger el ecosistema y garantizar la seguridad de todas las partes interesadas involucradas.

¿Qué son la suplantación de identidad y la ingeniería social?

La suplantación de identidad y la ingeniería social son formas sofisticadas de ciberataques que manipulan a las personas en lugar de explotar las vulnerabilidades del software. Cada año, el 58% de los usuarios de sistemas corporativos que emprendieron acciones arriesgadas adoptaron comportamientos que los habrían hecho vulnerables a las tácticas habituales de ingeniería social. Estas tácticas han evolucionado con el tiempo hasta volverse más complejas, adaptándose a los avances en las medidas de ciberseguridad.

Definición y tipos

La ingeniería social implica la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o revelen información confidencial. La suplantación de identidad es una táctica de ingeniería social en la que los atacantes se hacen pasar por entidades de confianza para extraer datos confidenciales como el nombre, la dirección, los datos bancarios y los detalles de las tarjetas de crédito. Esto incluye varios métodos, como la suplantación de identidad por correo electrónico, el vishing (suplantación de identidad por voz), el smishing (suplantación de identidad por SMS), la suplantación de identidad con arpón y la caza de ballenas. Este tipo específico se dirige a la alta dirección para obtener el control del sistema interno y acceder a datos privilegiados. Veamos algunos ejemplos de la vida real:

  • Promociones de marcas falsas: Los atacantes crean anuncios falsificados que ofrecen descuentos poco realistas en productos populares para incitar a los consumidores a proporcionar datos personales.
La policía de Singapur ha emitido advertencias sobre la creciente tendencia de estafas en las que los delincuentes se hacen pasar por bancos por SMS y ofrecen planes de depósito fijo con intereses elevados para atraer a las víctimas a realizar transacciones fraudulentas, lo que ha provocado que al menos 12 víctimas pierdan un total de 650 000 dólares singapurenses desde enero de 2024 (CAN).
  • Estafa de impostores del gobierno: los estafadores se hacen pasar por el gobierno y crean sitios web para recopilar información personal. Este método aprovecha la confianza que las personas depositan en las comunicaciones oficiales para engañarlas y hacerlas proporcionar datos confidenciales.
La policía de Singapur ha emitido una advertencia sobre una nueva estafa de suplantación de identidad que incluye infografías fraudulentas del Presupuesto 2024 distribuidas a través de Telegram. En estas infografías se afirma falsamente que provienen del Ministerio de Hacienda y se engaña a las víctimas para que hagan clic en un enlace que lleva a un sitio web falso, supuestamente para comprobar si cumplen los requisitos para recibir desembolsos en efectivo del gobierno. A las víctimas se les piden datos personales, lo que da lugar a intentos no autorizados de iniciar sesión en sus cuentas de Telegram (CAN).
  • Suplantación de identidad del servicio de atención al cliente: Los suplantadores de identidad imitan el servicio de atención al cliente legítimo para engañar a los clientes y dirigirlos a sitios maliciosos con el pretexto de resolver problemas.
  • Fraude de CEO: También conocido como Business Email Compromise (BEC). Es una estafa en la que los ciberdelincuentes se hacen pasar por el ejecutivo de una empresa para engañar a los empleados para que envíen dinero o información confidencial. Este tipo de fraude se basa en la autoridad percibida del ejecutivo y, a menudo, implica solicitudes urgentes y engañosas.
Jaime Ondarza, director ejecutivo de Fremantle para el sur de Europa, ha dimitido tras enviar por error casi 940.000 euros a ciberdelincuentes en una estafa de fraude a directores ejecutivos. Los estafadores, haciéndose pasar por altos ejecutivos, convencieron a Ondarza de que transfiriera fondos para la adquisición de una empresa ficticia en Asia. (Visión TBI)
  • Ataques de apropiación de cuentas: Los atacantes obtienen acceso a cuentas auténticas de redes sociales y las utilizan para enviar enlaces de suplantación de identidad o solicitudes de datos a contactos de confianza, explotando la confianza y la credibilidad establecidas.

¿Por qué los empleados toman medidas arriesgadas?

Para entender las razones detrás de las acciones que llevan a las personas a ser víctimas de suplantación de identidad, primero debemos reconocer las emociones que guían estas decisiones. Adu-Manu y otros (2022) identifican emociones como la codicia, el miedo, la curiosidad, la hipnotización y la empatía como factores emocionales clave que contribuyen a los ataques de suplantación de identidad. Los estafadores suelen manipular estos sentimientos para incitar a los usuarios a tomar medidas arriesgadas, como hacer clic en correos electrónicos de suplantación de identidad o aceptar ofertas engañosas que parecen inofensivas. Además, los factores intencionales, como la conveniencia de ahorrar tiempo, cumplir los plazos o los objetivos y ahorrar dinero, también desempeñan un papel importante a la hora de hacer que estas decisiones arriesgadas sean más atractivas.

Tácticas comunes y emergentes en la suplantación de identidad y la ingeniería social

Las tácticas de suplantación de identidad e ingeniería social evolucionan continuamente a medida que los ciberdelincuentes emplean métodos cada vez más sofisticados para eludir las medidas de seguridad y aprovechar las vulnerabilidades humanas. A continuación se detallan algunas de las técnicas más utilizadas en estos ataques:

  • Intervenciones humanas: En el centro de la ingeniería social se encuentra la manipulación de las emociones y los comportamientos humanos. Los ciberdelincuentes utilizan tácticas engañosas que requieren contramedidas sólidas, como la educación continua y la aplicación estricta de políticas para proteger a las personas.
  • Lista negra/Lista blanca/Lista de bloqueo/Phishtank: Los atacantes navegan con destreza o imitan la apariencia de los sitios en las listas de seguridad, lo que presenta importantes desafíos para las defensas tradicionales que se basan en estos repositorios para identificar las amenazas.
  • Coincidencia de estructura web/contenido: Una estrategia común consiste en clonar la estructura y el contenido de los sitios web legítimos. Esta táctica engaña a las víctimas haciéndoles creer que están interactuando con sitios auténticos, lo que aumenta la probabilidad de divulgar información confidencial.
  • Similitud de URL: Los estafadores crean URL que se parecen mucho a las de los sitios legítimos, un método diseñado para engañar a los usuarios explotando su familiaridad y confianza en las direcciones web conocidas.
  • Coincidencia de registros de acceso web: Al acceder a los registros de tráfico web y analizarlos, los atacantes pueden crear sitios de suplantación de identidad convincentes que imitan las actividades de los usuarios legítimos, lo que hace que estos sitios parezcan más creíbles y, por lo tanto, engañan incluso a los usuarios más atentos.
  • Técnicas multicapa: Para mejorar su tasa de éxito, los atacantes suelen combinar varias técnicas engañosas. Este enfoque de varios niveles aumenta la complejidad de los ataques, lo que dificulta que las medidas de seguridad estándar los detecten y bloqueen.

Protección de su plataforma digital

Ya se trate de redes sociales, aplicaciones de mensajería, comercio digital, empresas de pago o banca en línea, tener la capacidad de identificar y prevenir las actividades de suplantación de identidad debería ser el nuevo punto de referencia de todas las plataformas digitales para garantizar la inclusión digital de los usuarios finales.

Intervenciones a nivel de usuario

  • Educación y formación: Los programas de educación y capacitación continuos son vitales. Ayudan a las personas a reconocer y responder a los intentos de suplantación de identidad, especialmente aquellos que utilizan tácticas sofisticadas de ingeniería social. Las sesiones de formación periódicas pueden mejorar significativamente la concienciación y la preparación de los usuarios contra estas amenazas.
  • Políticas de ciberseguridad: Las políticas sólidas de ciberseguridad son la columna vertebral de cualquier organización segura. Estas políticas guían el comportamiento de los usuarios y garantizan el cumplimiento, lo que reduce significativamente la vulnerabilidad a la suplantación de identidad y otros ciberataques. Es fundamental que las organizaciones desarrollen directrices claras que se actualicen periódicamente para reflejar las nuevas amenazas a la ciberseguridad.
  • Protección de la privacidad personal: Educar al personal y a los usuarios sobre la importancia de proteger la información personal es crucial. Esta educación puede evitar que los atacantes recopilen datos críticos mediante interacciones aparentemente inocuas o solicitudes engañosas.
  • Soluciones legales: La implementación de medidas legales puede reforzar el marco de seguridad general de una plataforma, disuadiendo a los ciberdelincuentes al aumentar las posibles consecuencias de sus acciones.

Intervenciones a nivel de dispositivo

  • Lista negra de dominios: Utilizar listas negras para bloquear dominios maliciosos conocidos es una forma sencilla pero eficaz de impedir el acceso a sitios web dañinos. Esta estrategia reduce el riesgo de ataques de suplantación de identidad al impedir que los usuarios accedan inadvertidamente a sitios peligrosos.
  • Aprendizaje automático: Los algoritmos de aprendizaje automático pueden desempeñar un papel fundamental en la mejora de las medidas de seguridad. Estas tecnologías detectan el comportamiento inusual del sitio o los patrones de datos anómalos, que son indicativos de intentos de suplantación de identidad sofisticados y previamente desconocidos.
  • Similitud de URL: Las herramientas que comparan las URL visitadas por los usuarios con una lista de sitios de suplantación de identidad conocidos pueden bloquear los intentos engañosos que imitan sitios web legítimos. Esto es crucial para evitar que los usuarios sean víctimas de sitios con un aspecto similar al de aquellos en los que confían.
  • Estructura web/similitud de contenido: Analizar la estructura y el contenido de los sitios web para identificar copias o casi duplicados de sitios legítimos es un método eficaz para detectar y prevenir los intentos de suplantación de identidad. Este análisis ayuda a identificar los sitios diseñados para engañar a los usuarios imitando la apariencia de sitios confiables.
  • Registros de acceso web: La supervisión de los registros de acceso a la web proporciona información sobre patrones inusuales que pueden indicar actividades de suplantación de identidad. Las respuestas rápidas a estos indicadores pueden mitigar las posibles amenazas antes de que causen daño.
  • Integración con PhishTank: La incorporación de datos de fuentes como PhishTank en los protocolos de seguridad garantiza que las organizaciones estén continuamente actualizadas sobre las amenazas de suplantación de identidad nuevas y emergentes. Esta integración mejora las defensas proactivas, manteniendo las medidas de seguridad un paso por delante de las de los ciberdelincuentes.

En pocas palabras

La incesante evolución de la ingeniería social y la suplantación de identidad requiere un enfoque vigilante y de varios niveles para la ciberseguridad en todas las plataformas digitales. A medida que estas amenazas evolucionan y se vuelven más sofisticadas, no se puede exagerar la importancia de implementar una intervención sólida a nivel de usuario y dispositivo. Al educar a los usuarios, aplicar políticas sólidas de ciberseguridad y utilizar medidas tecnológicas avanzadas, las organizaciones pueden mejorar significativamente sus defensas contra estas tácticas engañosas. En última instancia, mantener un entorno digital seguro no consiste solo en proteger los datos, sino en salvaguardar la confianza y el bienestar de todos los usuarios del ecosistema digital.

Referencia

Sarpong Adu-Manu, K., Kwasi Ahiable, R., Kwame Appati, J. y Essel Mensah, E. (2022). Ataques de suplantación de identidad en ingeniería social: una revisión. Revista de ciberseguridad, 4(4), 239—267. https://doi.org/10.32604/jcs.2023.041095

Now available on
Watch on YouTube
Listen on Spotify
Download the White Paper
Tabla de contenido

Publicaciones relacionadas

Ver todos
See All
See All
See All
Blog
Gestión del fraude

Cómo detectar el fraude con tarjetas de crédito: un enfoque comparativo

January 16, 2026
8 minutos
Blog
Tecnología financiera
Gestión del fraude

Fraude de identidad sintética: cómo afecta a las empresas en la era digital

November 4, 2025
5 minutos
Blog
Gestión del fraude

Gestión del fraude empresarial: amenazas y soluciones para industrias

September 30, 2025
7 minutos
Blog
Banca
Gestión del fraude

Gestión avanzada del fraude en el comercio electrónico: defensa basada en inteligencia artificial contra las amenazas

September 10, 2025
5 minutos
Blog
Tecnología financiera
Gestión del fraude

AFASA en Filipinas: qué es y qué se necesita para que las FIs la cumplan

December 12, 2024
6 minutos
Política de privacidad
Derechos de autor © 2026 TrustDecision. Todos los derechos reservados
Volver al principio