La Ingeniería Social es el uso estratégico de la persuasión para que una persona entregue información o ejecute acciones que comprometen su seguridad.
De esta manera, los atacantes actúan con base en la urgencia, autoridad o miedo para que decidas sin verificar y, si bien en Argentina existen equipos públicos de respuesta y normativa penal, la primera barrera sos vos cuando aplicás hábitos simples y consistentes.
¿Por qué funciona la ingeniería social?
La ingeniería social funciona porque ataca sesgos cognitivos en situaciones de presión, de manera que, la urgencia corta el análisis; la autoridad falsa imita bancos o “soporte”; el miedo amenaza con bloqueos o multas; la codicia promete premios y la curiosidad ofrece “novedades”.
Para evitar terminar siendo víctima de esta, haz pausas de 10 a 30 segundos; valida el origen por un canal alterno y pide la referencia del proceso que justifica la solicitud. Si no existe, es una señal de alerta.
Tipos de ataques de ingeniería social más comunes
Los tipos de ataques de ingeniería social más comunes son los siguientes:
Phishing y Spear Phishing
El phishing es un correo masivo que imita a una entidad para robar credenciales y el spear phishing personaliza el mensaje con tu cargo, clientes o proyectos.
Las principales señales son dominios parecidos, enlaces que no coinciden con el texto y adjuntos inesperados. Verifica en otro canal antes de hacer clic o compartir archivos.
Smishing (SMS) y Quishing/QR phishing
El smishing usa SMS con enlaces abreviados que llevan a sitios falsos y el quishing aprovecha códigos QR pegados en espacios públicos para capturar datos.
De este modo, desarrolla el hábito de escribir manualmente la URL en el navegador del teléfono y evitar escanear QR de origen desconocido.
Vishing, “soporte técnico” falso y MFA fatigue
Vishing es una estafa por voz en la que un falso “soporte” te pide códigos o instalar software; “MFA” es la autenticación en 2 o más pasos, mientras que, la “fatigue” envía múltiples solicitudes para que aceptes por cansancio.
Por lo tanto, nunca dictes códigos ni apruebes solicitudes que no iniciaste.
BEC (compromiso de correo corporativo) y órdenes de pago falsas
BEC es la toma de una cuenta de correo para ordenar pagos o cambiar cuentas de cobro. Para prevenirlo, antes de transferir, verifica a través de un canal alterno, así como implementa una doble aprobación para montos altos y la lista blanca de cuentas autorizadas.
Pretexting, baiting/USB drops y quid pro quo
En el pretexting se inventa un “cuento” creíble, bien sea de un proveedor, auditoría o reparto; el baiting consiste en dejar USB “olvidados” con malware y el quid pro quo ofrece ayuda a cambio de credenciales.
Deepfakes de voz y video y ofertas laborales falsas
Los deepfakes imitan voz o rostro para urgir pagos o accesos, mientras que, en las ofertas falsas, se piden pruebas con cuentas corporativas.
Verifica la identidad con la palabra clave acordada y dominios oficiales de empleo.
SIM swapping y secuestro de WhatsApp
El atacante duplica tu línea para recibir códigos y tomar tu WhatsApp. Puedes proteger la SIM con PIN, activar protección adicional en la app y exigir la gestión en persona para cambios de línea.
5 claves para protegerte del hackeo
Algunas claves para protegerte del hackeo son las siguientes:
1. MFA fuerte siempre
Usa app autenticadora o llaves FIDO2. Los SMS son el mínimo, pero más débiles ante duplicado de SIM. Asimismo, guarda códigos de recuperación offline y rótalos si sospechas exposición.
2. Verificación por canal alterno antes de pagar o compartir datos
Antes de transferir o enviar datos sensibles, llama al contacto guardado previamente. Si cambió la cuenta de cobro, exige confirmación por contrato o ticket oficial.
3. Higiene de correo y dominios: mira el dominio, cabeceras básicas, subdominios raros
Observa el dominio exacto, no solamente el nombre mostrado. Ante dudas, revisa cabeceras básicas (SPF/DKIM) o consulta a IT. Además, desconfía de subdominios largos con marcas incrustadas.
4. Links y QR con sospecha cero: escribe la URL manualmente; no escanees QR desconocidos
Escribe la dirección en el navegador y usa buscadores para ubicar el sitio oficial. En móviles, confirma el candado y el dominio antes de ingresar datos.
5. Gestor de contraseñas con contraseñas únicas y largas
Un gestor genera y guarda claves únicas. Opta por frases de 4 o 5 palabras y cambia de inmediato si el gestor detecta filtraciones.
Reconocé los ataques de ingeniería social y cortá el fraude con hábitos simples
La ingeniería social pierde fuerza si aplicás estrategias como la pausa consciente, verificación a través de un canal alterno y MFA robusta.
Si deseás mejorar tu historial crediticio, en Scorexpress estaremos complacidos de ayudarte. Contactanos para conocer más acerca de nuestros servicios.