Quan pensem en ciberatacs, solem imaginar hackers tecnicament sofisticats que exploten vulnerabilitats de programari. Pero la realitat es que la majoria d’atacs exitosos no trenquen sistemes: manipulen persones. L’enginyeria social es l’art d’enganar persones perque realitzin accions o revelin informacio confidencial, i es la tecnica mes eficac de l’arsenal dels ciberdelinquents.
El phishing per correu electronic es la forma mes coneguda, pero nomes es la punta de l’iceberg. Existeixen moltes altres tecniques que els atacants utilitzen contra les PIMEs i que, precisament per ser menys conegudes, son mes perilloses.
Per que funciona l’enginyeria social
L’enginyeria social explota biaixos psicologics universals que tots els humans compartim:
- Autoritat: Tendim a obeir ordres de figures d’autoritat (el CEO, un policia, un tecnic d’IT).
- Urgencia: Sota pressio temporal, prenem decisions precipitades sense verificar.
- Reciprocitat: Si algu ens fa un favor, ens sentim obligats a retornar-lo.
- Prova social: Fem el que fan els altres (“tots els teus companys ja han accedit a aquest enllas”).
- Simpatia: Confiem mes en persones agradables o que s’assemblen a nosaltres.
- Escassetat: Si alguna cosa es limitada o urgent, la volem mes (“ultima oportunitat per actualitzar el teu compte”).
Estos biaixos no son defectes: son mecanismes de supervivencia. Pero els atacants els coneixen i els exploten sistematicament.
Les 7 tecniques d’enginyeria social mes perilloses
1. Vishing (Voice Phishing)
Atacs per trucada telefonica. L’atacant truca fent-se passar per un banc, un proveidor de serveis, un tecnic d’IT o una autoritat publica.
Escenari tipic contra una PIME:
El telefon sona. Una veu professional diu: “Bon dia, soc del departament de seguretat del seu banc. Hem detectat una transferencia sospitosa de 4.500 euros des del seu compte d’empresa. Per seguretat, necessitem verificar la seva identitat. Em pot confirmar el numero de targeta i el codi de seguretat?”
Sota l’estres de pensar que els estan robant, molts empleats proporcionen les dades sense pensar.
Com identificar-lo:
- Els bancs MAI demanen contrasenyes, PINs o codis de seguretat per telefon.
- Si reps una trucada sospitosa, penja i truca tu directament al numero oficial del banc.
- Desconfia de qualsevol trucada que generi urgencia o por.
Dades rellevants: El vishing va augmentar un 554% entre 2021 i 2024 segons l’informe d’Agari. A Espanya, l’INCIBE va gestionar mes de 5.000 incidents de vishing el 2024.
2. Smishing (SMS Phishing)
Atacs per missatge de text (SMS) o WhatsApp. Contenen un enllas maliciós o demanen informacio.
Exemples habituals a Espanya:
- “CORREOS: El seu paquet esta retingut a duana. Pagui 2,99 EUR de taxes per rebre’l: [enllas]”
- “BBVA: Hem detectat un acces no autoritzat al seu compte. Verifiqui la seva identitat: [enllas]”
- “AGENCIA TRIBUTARIA: Te un reemborsament pendent de 248,35 EUR. Sol.liciti’l aqui: [enllas]”
- “Hola papa/mama, tinc el mobil espatllat. Escriu-me a aquest WhatsApp: [numero]”
Per que es tan eficac:
- La taxa d’obertura dels SMS es del 98%, vs el 20% del correu electronic.
- En mobils, les URL es mostren truncades i es mes dificil verificar-les.
- Els SMS arriben amb un to d’urgencia que impulsa a actuar rapidament.
3. Pretexting (Pretext fals)
L’atacant crea una historia creible (pretext) per obtenir informacio o acces. Es mes elaborat que el phishing generic perque implica investigacio previa sobre la victima.
Escenari contra una PIME:
Un atacant truca a la recepcio dient: “Hola, soc el Marc del departament tecnic del vostre proveidor de software de facturacio. Estem migrant els servidors aquest cap de setmana i necessitem les credencials d’acces del vostre compte per assegurar que la migracio funciona correctament. Si no ho fem avui, perdreu l’acces dilluns.”
L’atacant pot haver obtingut el nom del proveidor de software des del LinkedIn de l’empresa, la web corporativa o trucades previes de reconeixement.
4. Baiting (Esquer)
L’atacant deixa un dispositiu fisic (USB, disc dur extern) en un lloc on la victima el trobi i el connecti al seu ordinador per curiositat.
Escenari:
Un USB amb l’etiqueta “Nomines 2026 - Confidencial” apareix al parking de l’empresa o a la zona de recepcio. Un empleat curios el connecta al seu ordinador per veure que conte. El USB executa automaticament malware que dona acces remot a l’atacant.
Variacio digital: Ofertes de descàrrega gratuita de programari pira (Office, Photoshop, jocs) que en realitat contenen malware.
5. Tailgating / Piggybacking
L’atacant accedeix fisicament a zones restringides seguint un empleat autoritzat. Tan senzill com portar una caixa gran i demanar amablement que et subjectin la porta.
Escenari:
Una persona amb uniforme d’empresa de missatgeria i un paquet gran espera a la porta de l’oficina. Quan un empleat obre amb la seva targeta, la persona diu: “Em pots subjectar? Porto les mans plenes.” Un cop dins, te acces fisic als ordinadors, servidors i documents.
6. Quid pro quo (Favor per favor)
L’atacant ofereix ajuda o un servei a canvi d’informacio o acces.
Escenari:
L’atacant truca a diversos empleats fent-se passar per suport tecnic: “Hola, soc del servei tecnic. Estem solucionant problemes de connexio a la xarxa. Tinc una eina que pot accelerar la teva connexio. Nomes necessito que em donis acces remot al teu ordinador un moment.” Si la persona accepta, l’atacant instal.la malware o roba credencials.
7. CEO Fraud / Business Email Compromise (BEC)
L’atacant suplanta la identitat del director general o un alt directiu per ordenar una transferencia bancaria urgent o obtenir informacio confidencial.
Escenari classic:
El comptable de la PIME rep un correu que sembla del CEO: “Hola Maria, necessito que facis una transferencia urgent de 12.000 EUR a aquest compte. Es per tancar un acord confidencial amb un nou proveidor. No en parlis amb ningu mes fins que estigui signat. Confio en tu.”
El correu pot venir d’una adreca molt similar (ceo@ernpresa.com en lloc de ceo@empresa.com) o d’un compte de correu legitim que ha estat compromes.
Dades: El FBI estima que el BEC va causar perdues de 2.700 milions de dollars el 2023 a nivell mundial.
Casos reals a Espanya
Cas 1: Estafa del CEO a una PIME de Saragossa (2024)
Una empresa de distribucio va rebre un correu aparentment del seu director general ordenant una transferencia de 45.000 EUR a un compte bancari per un “acord confidencial”. El comptable va fer la transferencia sense verificar. Quan el director general real va tornar de vacances, els diners ja havien desaparegut.
Cas 2: Vishing bancari a un autonomo de Barcelona (2023)
Un autonomo va rebre una trucada del “seu banc” alertant d’un moviment sospitos. Li van demanar les claus d’acces per “bloquejar el compte”. En 20 minuts, li van buidar el compte de 8.700 EUR.
Cas 3: Smishing de Correos massiu (2024)
Una campanya massiva de SMS suplantant Correos va afectar milers de petites empreses que esperaven paquets. L’enllas portava a una pagina de pagament falsa que capturava les dades de targeta de credit.
Com protegir la teva PIME
Mesures organitzatives
Protocol de verificacio: Mai actuar sobre sol.licituds inusuals (transferencies, canvis de compte bancari, instal.lacio de programari) sense verificar per un canal diferent (trucar directament, preguntar en persona).
Doble autoritzacio: Les transferencies bancaries superiors a un llindar (per exemple, 1.000 EUR) requereixen l’aprovacio de dues persones.
Cultura de report sense por: Els empleats han de sentir-se segurs reportant incidents sospitosos, fins i tot si han picat. Mai castigar qui reporta.
Restriccions de divulgacio: Definir quina informacio es publica i quina no. Evitar publicar a xarxes socials l’estructura interna de l’empresa, viatges del CEO, proveidors, etc.
Mesures tecniques
MFA a tot arreu: L’autenticacio multifactor evita que les credencials robades per enginyeria social siguin utils.
Filtrat de trucades: Usar aplicacions com Truecaller o el filtre de spam integrat del mobil per identificar trucades sospitoses.
Bloqueig d’USB: En entorns d’alt risc, bloquejar els ports USB dels ordinadors a nivell de politica de grup (GPO a Windows).
Verificacio de correu: Configurar SPF, DKIM i DMARC per dificultar la suplantacio del domini corporatiu.
Formacio continua
Simulacions regulars: No nomes de phishing per correu, tambe de vishing i smishing.
Escenaris reals: Formar amb exemples del sector i de l’empresa concreta.
Actualitzacio constant: Les tecniques d’enginyeria social evolucionen continuament. La formacio ha de ser regular.
Checklist anti-enginyeria social
Abans d’actuar sobre qualsevol sol.licitud inusual, pregunta’t:
- Es esperava aquesta comunicacio?
- He verificat la identitat del sol.licitant per un canal diferent?
- La sol.licitud genera una sensacio d’urgencia o por?
- Em demanen informacio que normalment no compartiria?
- El to o l’estil de comunicacio es coherent amb la persona que diu ser?
- Hi ha consequencies si espero 5 minuts a verificar?
Si la resposta a alguna d’aquestes preguntes genera dubte, VERIFICA abans d’actuar.
Conclusio
L’enginyeria social es la tecnica d’atac mes antiga i mes eficac que existeix. Cap tallafocs, antivirus o sistema de deteccio pot protegir una empresa d’un empleat que voluntariament dona les seves credencials a un atacant persuasiu.
La unica defensa real es la formacio continua, una cultura de verificacio sistematica i protocols clars per a sol.licituds inusuals. Inverteix en conscienciacio dels teus empleats: es la inversio amb millor retorn en ciberseguretat.
Aquest article es de caracter educatiu i no constitueix un servei professional de ciberseguretat. Consulteu un especialista certificat per a solucions especifiques a la vostra empresa.
