Análisis en profundidad

Baiting: Qué es y cómo funciona este ataque

El “baiting” es una técnica de ingeniería social que, aprovechando la curiosidad de la gente, permite a los hackers criminales lanzar un ataque contra una empresa utilizando un dispositivo de almacenamiento infectado, como una memoria USB “abandonada” en lugares estratégicos. Aquí están los detalles y cómo defenderse

Publicado el 25 Ene 2023

Redacción InnovaciónDigital360

Baiting.

El “baiting” es una técnica especial de ingeniería social que consiste en utilizar un dispositivo de almacenamiento infectado, como una memoria USB con malware, para lanzar un ciberataque contra una empresa.

La técnica es muy sencilla. El dispositivo infectado, convenientemente camuflado por el ciberdelincuente, se deja desatendido en un lugar estratégico cerca o dentro de la empresa objetivo, donde es probable que uno o varios empleados se fijen en él, despertando su interés e induciéndoles a explorar su contenido en el ordenador de la empresa.

En este punto, el daño está hecho: en cuanto el dispositivo se conecte al ordenador, de hecho, el programa malicioso se ejecutará en este último, infectándolo y entregándolo directamente a las manos del ciberdelincuente, que entonces será libre de moverse sin ser molestado dentro de la red de la empresa y perseguir sus propios objetivos ilícitos.

Lo que hace que el “baiting” sea una de las ciberamenazas más arteras y peligrosas es precisamente el aspecto psicológico específico que los atacantes tratan de aprovechar: la curiosidad. Se trata de un instinto innato, fuertemente arraigado en la naturaleza humana, cuyos impulsos pueden ser muy difíciles de controlar para muchos de nosotros.

Un ejemplo de Baiting

Intentemos ponernos en el escenario más clásico de un ataque de cebo.

Imaginemos, por ejemplo, que un ciberdelincuente ha colocado una memoria USB con malware en el estacionamiento de una empresa. Supongamos además que el atacante ha personalizado la memoria USB fijándola a un llavero con el logotipo de la empresa y pegando una pegatina con las palabras “Nómina de empleados” o quizás “Despidos 2020”.

¿Cómo se comportaría entonces un hipotético empleado que pasara por el lugar y se percatara del objeto desatendido? ¿Cuántos renunciarían a la posibilidad de echar un vistazo a los sueldos de sus colegas o de averiguar si su nombre aparece en el expediente de futuros despidos? Y sobre todo, ¿cuántos asociarían ese objeto de aspecto familiar con una amenaza que podría comprometer seriamente la seguridad informática de su empresa?

Muy pocos, objetivamente hablando.

La triste realidad es que la inmensa mayoría de los individuos, ante el escenario que acabamos de describir, tomarían la decisión equivocada al llevarse la unidad flash, conectarla a su PC y abrir así las puertas de su empresa a los ciberdelincuentes, con una reverencia de bienvenida.

Un estudio realizado sobre el tema por el Departamento de Seguridad Nacional de EE.UU. llegó a constatar que alrededor del 90% de las personas conectarían una unidad USB desconocida a su ordenador simplemente porque aparecía un logotipo de aspecto oficial en ella.

Son cifras alarmantes, plenamente confirmadas por la reciente propagación de esta amenaza.

Las variables de un ataque de Baiting

Organizar un ataque de cebo, en definitiva, es relativamente sencillo y las variables que un atacante debe mantener bajo control son esencialmente tres:

Legitimidad

Es esencial que el cebo no despierte una sensación de peligro en la víctima. Pegar una pegatina con el logotipo de la empresa en el dispositivo infectado es una estratagema sencilla, eficaz y muy utilizada para que resulte familiar a los ojos de la víctima.

Curiosidad

Obviamente es necesario que el cebo estimule la curiosidad de la víctima. La forma más fácil (y preferida por los ciberdelincuentes) de hacerlo es colocar una etiqueta en el dispositivo infectado con frases o lemas, como “Confidencial” o “Confidencial”, para despertar el interés inmediato de la víctima;

Posicionamiento

La elección de dónde colocar el cebo es crucial. Un ejemplo de posicionamiento estratégico podría ser el aparcamiento de la empresa, tal vez cerca del coche de un determinado empleado para aumentar la probabilidad de que se fije en él. El estacionamiento es también un lugar en el que la víctima, al estar alejada de las miradas indiscretas, podría estar más inclinada a satisfacer su curiosidad a expensas del sentido común. Por las mismas razones, otros lugares estratégicos podrían ser los baños de la empresa o los ascensores.

Cuando la amenaza viene de dentro

En los últimos años, dada la extrema facilidad con la que es posible fabricar u obtener un dispositivo de almacenamiento infectado, los casos de cebo desde dentro de las empresas han aumentado considerablemente.

Se trata de ataques extremadamente selectivos, llevados a cabo por uno o varios empleados con los fines más diversos, como perjudicar a un colega con el que se compite, vengarse de un superior por un agravio sufrido, recoger información confidencial sobre la empresa y venderla después a la competencia, dañar la reputación de la marca de la empresa, etc.

Estos ataques, si lo pensamos bien, pueden ser incluso más precisos y letales que los lanzados por los ciberdelincuentes externos. Los que lanzan un ataque de cebo dentro de su propia empresa, de hecho, al estar familiarizados con el lugar de trabajo y conocer los movimientos rutinarios de sus compañeros, podrán evaluar el lugar perfecto donde colocar su “cebo”, maximizando la probabilidad de atraer la atención de su víctima elegida.

Además, el agresor, conociendo el carácter y la sensibilidad de la víctima, podrá jugar con su psicología y emotividad, y podrá estimular su curiosidad con relativa facilidad. Un ataque de cebo interno bien diseñado, en definitiva, tendrá una probabilidad de éxito extremadamente alta.

Cómo defenderse del Baiting

El “baiting” es una ciberamenaza especialmente efectiva que no implica un contacto directo con la víctima y contra la que las medidas de seguridad habituales, como los cortafuegos, la autenticación fuerte y también la gran mayoría de los programas antivirus, son simplemente ineficaces.

¿Cómo, entonces, evitar ser víctima de estos ataques?

En cuanto a las medidas técnicas de seguridad, algunos programas antivirus (ciertamente escasos) permiten controlar las conexiones USB y, por lo tanto, pueden ser útiles para evitar la propagación del malware contenido en dichos dispositivos.

Sin embargo, en el caso de los cebos, las medidas de seguridad más eficaces son las organizativas, como la formación y la concienciación, incluso mejor si se apoyan en una o varias políticas o procedimientos específicos.

De hecho, lo primero que debe hacer la empresa es concienciar a los empleados de la amenaza de los cebos y, en general, de todas las amenazas relacionadas con la ingeniería social. Además de la concienciación, es importante que los empleados sean conscientes de que sus elecciones y su comportamiento pueden comprometer seriamente la seguridad de la empresa. Por ello, es importante que cada empleado se sienta parte activa en la ciberdefensa de su empresa.

Por último, regular con una política específica el uso de soportes extraíbles en la empresa, tanto internos como externos, y en particular el procedimiento a seguir en caso de que se encuentre un dispositivo desconocido puede marcar la diferencia. La práctica, en estos casos, debería ser no conectar el dispositivo, aunque sea aparentemente legítimo, a las redes de la empresa, sino entregarlo directamente en manos del departamento de seguridad de la información o de TI, para que personal cualificado pueda evaluar y, posiblemente, confirmar su fiabilidad.

Por Luigi Gobbi

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Temas

Canales

Artículos relacionados

  • Análisis en profundidad

    Sistemas operativos: la base de tu ecosistema digital, adentrate en su funcionamiento

    07 Ago 2024

    Compartir

Siguiente

Sistemas operativos: la base de tu ecosistema digital, adentrate en su funcionamiento

Artículo 1 de 2