Es un vector de ataque que se basa en gran medida en la interacción humana para manipular a las personas y que divulguen información sensible o concedan acceso a redes o ubicaciones físicas con fines maliciosos. Los actores de amenazas utilizan diversas técnicas para engañar a las personas, a menudo presentándose como fuentes de confianza para influir o engañar a los usuarios y hacer que liberen datos confidenciales.
Esta forma de ataque explota vulnerabilidades humanas, como la disposición a ayudar o el miedo a las consecuencias, lo que facilita a los atacantes violar los sistemas de seguridad.
Los ataques de ingeniería social abarcan una variedad de tácticas, incluidas el phishing, vishing, baiting, pretexting, scareware, ataques de watering hole, robo por desvío, quid pro quo, trampas de miel, tailgating, software de seguridad fraudulento y buceo en contenedores. Estos métodos tienen como objetivo engañar a las personas a través de correos electrónicos, llamadas telefónicas, dispositivos físicos o interacciones en persona para obtener acceso a información o sistemas sensibles.
Las estrategias de prevención contra ataques de ingeniería social incluyen evitar archivos adjuntos sospechosos en correos electrónicos, usar autenticación de múltiples factores, ser cauteloso con ofertas tentadoras, limpiar perfiles de redes sociales, instalar y actualizar software antivirus, hacer copias de seguridad de datos regularmente y abstenerse de conectar dispositivos USB desconocidos a las computadoras.