Los vectores de ataque en ingeniería social hacen referencia a las diferentes estrategias o métodos utilizados por un atacante para llevar a cabo un ataque o intrusión exitosa. Estos vectores de ataque en ingeniería social aprovechan la psicología humana, la confianza y las interacciones sociales para manipular a las personas y obtener acceso a información confidencial o lograr que realicen acciones perjudiciales.
A continuación, profundizamos en algunos de los vectores de ataque en ingeniería social que podemos usar en nuestros ejercicios Red Team.
Vectores de ataque en ingeniería social
Los vectores de ataque en ingeniería social se aprovechan de la confianza, la curiosidad, el miedo o la falta de conocimiento de las personas para persuadirlos y lograr que revelen información sensible o realicen acciones perjudiciales.
Como visión general, se podrían establecer los siguientes tipos de ataques basados en ingeniería social, entre los cuales destacan el robo de claves y el uso de malware:
Phishing credentials
El phishing credentials o phishing de credenciales es uno de los vectores de ataque en ingeniería social en el que los atacantes intentan engañar a las personas para que revelen información confidencial, como contraseñas, nombres de usuario o números de tarjetas de crédito. Los atacantes suelen enviar correos electrónicos falsificados que parecen provenir de organizaciones legítimas, como bancos o proveedores de servicios en línea. Estos correos electrónicos suelen contener enlaces a sitios web falsos que imitan la apariencia de los sitios legítimos. Cuando las víctimas intentan iniciar sesión en estos sitios falsos, sus credenciales se capturan y se envían al atacante.
Los mensajes de phishing de credenciales suelen ser convincentes y pueden incluir tácticas para generar urgencia o miedo en los usuarios, como advertir sobre problemas de seguridad en la cuenta o la posibilidad de perder el acceso. Los atacantes pueden personalizar los mensajes para que parezcan auténticos y utilizan técnicas de ingeniería social para aumentar las posibilidades de que las personas caigan en el engaño.
Malware por correo
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEl malware por correo es uno de los vectores de ataque en ingeniería social; aquí los atacantes envían correos electrónicos maliciosos que contienen archivos adjuntos infectados con malware. Los correos electrónicos suelen tener asuntos atractivos o urgentes para incentivar a las personas a abrir los archivos adjuntos sin sospechar. Cuando se abre el archivo adjunto, el malware se instala en el dispositivo de la víctima, lo que le permite al atacante acceder o controlar el sistema, robar información confidencial o realizar otras actividades maliciosas.
Malware en USB
El malware en USB es uno de los vectores de ataque en ingeniería social que implica la distribución de malware a través de dispositivos USB infectados. Los atacantes pueden dejar dispositivos USB maliciosos en lugares públicos o incluso en organizaciones específicas, con la esperanza de que alguien los encuentre y los conecte a su ordenador por curiosidad o conveniencia. Cuando se conecta el USB, el malware se instala en el sistema de la víctima, lo que le permite al atacante acceder o controlar el dispositivo.
Vishing
El vishing es uno de los vectores de ataque en ingeniería social en el que los atacantes utilizan técnicas de ingeniería social a través de llamadas telefónicas para obtener información confidencial de las víctimas. Los atacantes se hacen pasar por representantes de organizaciones legítimas, como bancos o empresas de servicios, y solicitan a las víctimas que proporcionen información confidencial, como números de tarjetas de crédito o contraseñas, bajo el pretexto de una supuesta emergencia o verificación de seguridad. El objetivo es engañar a las personas para que revelen información personal valiosa.
Interacción presencial
La interacción presencial es uno de los vectores de ataque en ingeniería social en el que los atacantes interactúan directamente con las personas en entornos físicos, como oficinas o instalaciones públicas, para obtener información confidencial o acceder a sistemas protegidos. Esto puede incluir tácticas como hacerse pasar por personal autorizado, buscar información sensible en escritorios o pantallas desprotegidas, o incluso utilizar dispositivos electrónicos para recopilar datos de tarjetas de crédito o contraseñas.
Ahora que hemos visto algunos vectores de ataque en ingeniería social, ¿qué te parece si seguimos aprendiendo? Si te ha gustado el tema y quieres seguir formándote, accede a nuestro Ciberseguridad Full Stack Bootcamp para convertirte en un gran profesional de la seguridad informática. Gracias a esta formación de alta intensidad, nuestros profesores expertos te enseñarán a nivel teórico y práctico para impulsar tu perfil profesional en poco tiempo. ¡Pide ya mismo más información y da el paso que te cambiará la vida!