🚨 La NIS2 ya está en vigor. La sensibilización en materia de seguridad es ahora una obligación legal en la UE.

Comprobar el cumplimiento
Comience su prueba gratuita
Volver al Centro de recursos

¿Qué es el «baiting» en ciberseguridad? Cómo funcionan los ataques de cebo en Internet

El «baiting» es una de las técnicas de ingeniería social más antiguas y eficaces en el ámbito de la ciberseguridad, y una de las menos comentadas. Mientras que el phishing se aprovecha de la urgencia y el vishing, de la confianza, el baiting se aprovecha de algo aún más fundamental: la curiosidad. Un atacante coloca algo atractivo en el camino de una víctima potencial y espera a que la naturaleza humana haga el resto. Comprender qué es el baiting, cómo funciona tanto en línea como físicamente, y por qué sigue funcionando a pesar de la amplia concienciación sobre las amenazas cibernéticas es el primer paso para proteger a su organización contra él.

¿Qué es el «baiting»?

El «baiting» es un ataque de ingeniería social en el que un atacante utiliza un señuelo tentador o que despierta la curiosidad, el «cebo», para engañar a una víctima y que esta realice una acción que ponga en peligro su seguridad o la de su organización. El cebo puede ser digital o físico, y el objetivo es siempre el mismo: conseguir que la víctima haga algo que, de otro modo, no haría.

El término proviene de la idea de la pesca: colocar el cebo en el anzuelo y esperar. En ciberseguridad, el anzuelo es el malware, una página diseñada para robar credenciales o un punto de acceso a una red. El cebo es aquello que el atacante cree que resultará irresistible para la víctima: software gratuito, una memoria USB encontrada, un enlace de descarga «exclusivo» o una notificación de premio.

Lo que distingue al baiting de otros ataques de ingeniería social es que no requiere contacto directo entre el atacante y la víctima. El atacante tiende la trampa y espera. Esto lo hace escalable —un cebo bien colocado puede llegar a cientos de personas— y más difícil de atribuir que el phishing o el vishing.

El cebo en Internet: cómo funciona el cebo en línea

Las estafas en Internet adoptan muchas formas. Lo que todas tienen en común es que ofrecen algo que la víctima desea y, a cambio, le entregan algo que no ha solicitado. Entre las formas más comunes de estafa en Internet se incluyen:

  • Descargas gratuitas de software o archivos multimedia. Una página web ofrece una versión gratuita de un programa de pago, una película, un juego o una herramienta. La descarga contiene malware incluido junto con el contenido prometido o en su lugar. La víctima lo instala voluntariamente.
  • Notificaciones de premios o recompensas. Aparecen ventanas emergentes o se envían correos electrónicos en los que se anuncia que el usuario ha ganado un premio, tiene derecho a un reembolso o es el visitante número mil. Al hacer clic, se accede a una página destinada a robar credenciales o se activa la descarga de malware.
  • Ofertas de empleo o oportunidades profesionales falsas. Dirigidas a profesionales, sobre todo a través de LinkedIn o por correo electrónico, estas estafas prometen oportunidades a cambio de hacer clic en un enlace, abrir un archivo adjunto o rellenar un formulario, con el fin de obtener datos de acceso personales o corporativos.
  • Enlaces que despiertan la curiosidad. Un enlace compartido por correo electrónico, mensajería o redes sociales que promete algo llamativo, exclusivo o de interés personal. «Se ha compartido tu foto», «Mira quién ha visitado tu perfil», «Documento filtrado sobre [tu empresa]». El destinatario hace clic porque la curiosidad se impone a la precaución.
  • Alertas de seguridad falsas. Una ventana emergente advierte de que el dispositivo está infectado y le indica al usuario que descargue una «herramienta de reparación». Esa herramienta es, en realidad, el malware.

Las estrategias de captación en Internet funcionan porque llegan al público objetivo allí donde ya se encuentra —navegando, desplazándose por la pantalla o descargando archivos— y le ofrecen algo que se percibe como una recompensa, no como un riesgo.

Cebos físicos: el USB y más allá

No todos los ataques de cebo se producen en Internet. El cebo físico, que consiste en dejar dispositivos o soportes infectados en lugares donde las víctimas puedan encontrarlos, es una técnica de ataque bien documentada y que resulta eficaz en todo momento. La forma más habitual es la colocación de dispositivos USB.

Un atacante deja una o varias memorias USB en un lugar donde es probable que los empleados de la organización objetivo las encuentren: un aparcamiento, un mostrador de recepción, una sala de reuniones o un baño. A menudo, la memoria lleva una etiqueta para despertar la curiosidad, como «Datos salariales del tercer trimestre», «Confidencial» o «Fotos de la fiesta». Un empleado la encuentra, la conecta a un dispositivo del trabajo para ver qué contiene y ejecuta la carga maliciosa del atacante.

Varios estudios han demostrado en repetidas ocasiones que una proporción significativa de personas que encuentran una memoria USB desconocida la conectan. La etiqueta aumenta aún más esa probabilidad. El cebo físico es eficaz precisamente porque elude todos los controles de seguridad del correo electrónico, los filtros web y los controles de los dispositivos finales en los que ha invertido una organización, y se basa únicamente en que una persona haga lo que suele hacerse cuando se encuentra algo que podría resultar interesante.

El baiting, el phishing y otras técnicas de ingeniería social: diferencias clave

Técnica Desencadenante principal Es necesario ponerse en contacto Canal
Cebado Curiosidad, codicia, interés propio No, el atacante tiende una trampa y espera En línea (descarga, enlace) o en formato físico (USB)
Phishing Urgencia, miedo, autoridad Indirecto (correo electrónico enviado al destinatario) Correo electrónico, mensajería
Vishing Confianza, autoridad, urgencia Sí, llamada telefónica en directo Voz / teléfono
Pretextos Confianza en una identidad falsa Sí, interacción directa Por correo electrónico, por teléfono o en persona
Cambio de favores Reciprocidad: algo a cambio de algo Sí, el atacante inicia la oferta Teléfono, correo electrónico

Para obtener una visión general de los distintos tipos de ataques de phishing, consulta «Diferentes tipos de ataques de phishing».

Cómo proteger a tu organización contra el «baiting»

Las medidas técnicas ayudan —como desactivar la ejecución automática de dispositivos USB, bloquear fuentes de descarga no fiables o aplicar filtros web—, pero solo abordan una parte del problema. La esencia del «baiting» reside en una decisión humana: cogerlo, hacer clic o conectarlo. La única protección fiable contra esa decisión es un empleado que se lo piense dos veces antes de actuar.

Esa pausa es un comportamiento adquirido. La formación en concienciación sobre seguridad que aborda situaciones de señuelo proporciona a los empleados el marco mental necesario para reconocer un señuelo, ya sea en línea o físico, y cuestionarlo en lugar de actuar por impulso. Hábitos clave que hay que desarrollar:

  • Nunca conectes un dispositivo USB desconocido. No importa dónde lo hayas encontrado ni qué haya escrito en la etiqueta. Entrégaselo al departamento de informática.
  • Las ofertas en línea que parecen «demasiado buenas para ser verdad». El software gratuito, las notificaciones de premios inesperados y las descargas exclusivas son señales claras de que se trata de una trampa.
  • Compruébalo antes de descargar. Los empleados que comprueban el origen de una descarga con una lista de confianza son mucho menos propensos a instalar malware a través de técnicas de cebo.
  • Denúncialo, no lo ignores. Vale la pena informar si encuentras una memoria USB o si aparece un mensaje de descarga sospechoso. Normalizar esta práctica proporciona a los equipos de seguridad una alerta temprana.

El «baiting» aprovecha lo que hace que las personas sean eficaces en otros contextos: la curiosidad, la apertura y la disposición a ayudar. El entrenamiento en conciencia no pretende eliminar esos rasgos, sino enseñar a las personas cuándo deben aplicar una dosis extra de escepticismo antes de actuar en consecuencia.

Formar a los empleados para que sepan identificar el cebo

Antes de que la curiosidad se convierta en una brecha.

Solicitar una demostración
Dinela Lokvancic
Dinela Lokvancic Especialista en marketing Dinela se encarga de mantener actualizada la presencia online de Guardey. Crea contenidos que hacen accesibles temas complejos relacionados con la ciberseguridad y ayuda a las organizaciones a comprender por qué la formación en materia de seguridad es importante para sus equipos.
¿LISTO PARA EMPEZAR?

Únete a las más de 500 empresas que ya protegen a sus equipos con Guardey

Empieza tu prueba gratuita de 14 días
14 días gratis · Sin tarjeta de crédito · Acceso completo · Configuración en 5 minutos
O bien, solicita una demostración personalizada