La ingeniería social no es algo nuevo, desde hace décadas, los criminales han aprovechado la curiosidad, la urgencia y la confianza de las personas para obtener información sensible. Sin embargo, estos últimos años esta práctica ha evolucionado hacia lo que se podría denominar Ingeniería Social 2.0, una nueva generación de ataques mucho más sofisticados que combinan manipulación psicológica, tecnología y análisis de datos para engañar incluso a los usuarios más precavidos. Como ataques, que vamos a analizar, podemos destacar el phishing, smishing, vishing y los ataques de confianza. Pero ¿qué es cada uno de ellos?
Comencemos por el más conocido, el phishing, comenzó hace unas décadas como correos electrónicos arcaicos que imitaban a bancos o servicios de paquetería con el fin de conseguir acceso no autorizado al equipo del usuario. Hoy en día, usan diseños casi idénticos a los originales, personalizan el mensaje con datos reales de la víctima y aprovechan tendencias actuales como pagos digitales, renovaciones de suscripciones o verificaciones de identidad. Existen varios tipos de phishing, podríamos dividirlos en tres tipos según su finalidad.
El primero y más detallado es el phishing dirigido o spear phishing que estudia a la víctima en redes sociales y fuentes públicas (OSINT) para enviar un correo creíble, específico y totalmente dirigido. Otro tipo, es el phishing en plataformas de colaboración en las que los ataques se disfrazan como notificaciones de herramientas como Teams o Google Drive, simulando será ventanas emergentes verídicas. Por último, podemos destacar el phishing con IA, el más peligroso, donde encontramos los mensajes escritos sin errores gramaticales y con un tono profesional adaptado al idioma y cultura del usuario.