Los ciberdelincuentes – en lugar de tratar de encontrar y explotar las vulnerabilidades relacionadas con el sistema y que podrían requerir recursos significativos – disfrutan cada vez más las tendencias humanas naturales como la codicia, la confianza, el miedo, etc. para robar fácilmente credenciales, datos e informaciones críticas. Es así que se producen los ataques de ingeniería social.
Índice de temas
¿Qué es la ingeniería social y cómo reconocer los ataques?
Los ataques de ingeniería social se refieren al uso de técnicas y artes engañosas por parte de los ciberdelincuentes para infiltrarse en las redes corporativas, acceder a valiosos recursos de información, robar credenciales de ejecutivos de alto nivel o incluso transferir fondos a sí mismos. Cabe recordar que un ataque de ingeniería social exitoso requiere tanto habilidades técnicas (i.e. la creación de un correo electrónico de phishing, SMS, etc.) como habilidades blandas (i.e. generar confianza con el objetivo y bajar su atención).
Normalmente, este tipo de ciberdelito consta de cuatro fases, y precisamente:
Fase 1: Recopilación de información sobre la víctima
Los ciberdelincuentes recopilan información sobre las víctimas de diferentes fuentes, como datos disponibles públicamente en sitios de redes sociales, directorios en línea o a través de fuentes de información OSINT.
Fase 2: Construcción de una relación con la víctima
Los ciberdelincuentes se ganan la confianza de la víctima, utilizando la información recopilada previamente y, luego, aplican principios de manipulación psicológica para influir en la víctima para que tome una acción particular, i.e. la divulgación de información confidencial o de las credenciales de inicio de sesión.
Fase 3: Explotación de la relación
Los ciberdelincuentes emplean su experiencia técnica para crear un correo electrónico de phishing, la clonación de un sitio web legítimo o persuadir a la víctima para que abra un archivo adjunto de malware.
Fase 4: Paso de “salida”
Este paso implica eliminar toda la evidencia que pueda haber quedado después del ataque para que los ciberdelincuentes no puedan ser identificados. Además, se trata de ocultar que se ha producido un ataque por los ciberdelincuentes ya que les permite infiltrarse libremente en los sistemas sin ser atrapados.
Categorías de ataques de ingeniería social
Tres son las macro categorías de ataques de ingeniería social:
- Mobile-based attack: Los ataques de ingeniería social que se propagan a través de dispositivos móviles (tabletas, teléfonos inteligentes) y generalmente llevan malware.
- Computer-based: se trata de una técnica que involucra herramientas y habilidades IT más articuladas que van más allá del simple envío de correos electrónicos y SMS.
- Human based: campañas de ingeniería social basadas en el contacto directo entre el atacante y la víctima.
Técnicas de ataques de ingeniería social
Entre las técnicas de ataques de ingeniería social más conocidas se encuentran:
- Pretexting – Literalmente estafa o engaño con pretexto. Esta técnica consiste precisamente en crear un entorno digital que, de alguna manera, pueda engañar al usuario y obligarle a liberar datos o a cometer acciones que haría normalmente en un contexto más seguro. El objetivo del hacker es recopilar información sobre el usuario simulando el comportamiento de una autoridad importante (i.e. policía, organismo gubernamental, oficina de correos, institución bancaria) para que responda, sin dudarlo, a todas las preguntas que se le hagan.
- Phishing – Esta técnica consiste en disfrazar las comunicaciones por correos electrónicos para que parezcan proceder de una fuente de confianza (i.e. un amigo, un familiar, etc.) y engañar a las víctimas para conseguir una información personal o financiera.
- Spear-phishing – Se trata de un ataque de ingeniería social bien estudiado y disfrazado de forma insidiosa, lo que dificulta su detección y dirigido a pequeños grupos o personas con poder (i.e. ejecutivos de empresas y celebridades).
- Vishing – Un ataque de phishing telefónico que suele falsificar un número de teléfono para que parezca legítimo. De hecho, los atacantes pueden presentarse como técnicos, compañeros de trabajo o banqueros y llegar a utilizar cambiadores de voz para ocultar aún más su identidad.
- Smishing – Los atacantes envían el phishing en forma de mensaje de texto o SMS, transmitiendo una sensación de urgencia a la víctima para que actúe rápidamente y caiga en la trampa a través de enlaces maliciosos en los que hay que hacer clic o números de teléfono a los que hay que llamar.
- Whaling – Un ataque conocido también come el «fraude de los directores generales». Es dirigido a un objetivo de alto valor (i.e. CEO, Top Management, etc.) y más difíciles de identificar que otros ataques de phishing, ya que los atacantes adoptan un tono de voz apropiado para los negocios y usan el conocimiento interno de la industria.
- Baiting – Un tipo extremadamente específico de ingeniería social dirigida a la víctima a ser golpeada por su curiosidad. De hecho, el ciberdelincuente deja deliberadamente desatendido un objeto -i.e. una memoria USB o un disco duro que contiene malware- como si se hubiera perdido contando con la curiosidad de la víctima que, seguramente, se sentirá atraído por su contenido potencial y, por lo tanto, querrá verlo a través de su computadora personal.
- Dumpster diving – A través de esta técnica, los ciberdelincuentes adquieren información hurgando en la basura (generalmente en la de las empresas).
Cómo protegerse de la ingeniería social
Una cultura de ciberseguridad y un enfoque científico basado en la duda son, hoy en día, cada vez más necesarios para favorecer la prevención de la ingeniería social. Tenemos que adoptar comportamientos basados sobre la razón crítica, es decir:
- Comprobar la fuente.
- Consultar el origen de los dominios, la gramática de los mensajes y, en caso de duda, contactar con el servicio de atención al cliente de la empresa en cuestión.
- Desarrollar un mayor sentido crítico.
Además, las empresas, para garantizar la máxima protección frente a las técnicas más extendidas de la ingeniería social, deben:
- Implementar antimalware y antivirus y actualizarlos continuamente.
- Actualizar regularmente software y firmware.
- Evitar utilizar un teléfono rooteado o su propia computadora con el rol de administrador.
- Acceder a varias cuentas con diferentes contraseñas y, en el caso de cuentas críticas, usar la autenticación de dos factores.
Además, en caso de sospecha de estafa, es crucial cambiar inmediatamente las credenciales de inicio de sesión y notificarla inmediatamente a los administradores de red de la organización y si las cuentas bancarias corporativas han estado involucradas, se debe contactar de inmediato el servicio de atención al cliente del banco. Resulta también fundamental estar siempre al día sobre la evolución de las estafas online, consultando blogs de ciberseguridad.
Escenario de ataques ingeniería social en España
El último Informe sobre el multi-phishing & el hacking humano publicado por la empresa americana SlashNext revela que los ataques de ingeniería social, a nivel global, han aumentado en un 270% en 2021. Además, según el informe de la empresa ESET, España también fue muy afectada en 2021, colocándose en el segundo lugar del ranking de países que han sufrido un mayor número de ataques de phishing.
En 2022 el phishing está todavía a la orden del día en la península ibérica y muchos son los casos en los que los atacantes han usurpado identidades de organismos oficiales del Estado. En las últimas semanas SEPE (Servicio Público de Empleo Estatal) ha sido víctima de una campana de phishing que utiliza la técnica de la suplantación de identidad de este organismo para conseguir datos personales o credenciales de acceso.
Además, en estos primeros nueves meses de 2022 – como revela la empresa española Iterbel, especializada en la protección contra Spam, phishing y virus para el correo – las amenazas de phishing han aumentado de un 161% en España.
Resulta que los ciber atacantes, disfrutando la disponibilidad de los números de teléfono móvil, están usando, día tras día, mensajes de texto para implementar ataques de smishing. El aumento del smishing se debe sobre todo a los minoristas y a las empresas de servicios que emplean los mensajes de texto para avisos de ventas y entregas. El atacante – a través de SMS – logra transmitir un aviso de envío falso y hace que un usuario haga clic en una URL abreviada.
Seguramente los delincuentes siguieran mejorando aún más sus acercamientos y buscaran nuevas maneras de pillar datos críticos e informaciones a la gente desprevenida; por lo tanto, resulta fundamental evitar el error humano y garantizar una capacitación constante, un monitoreo efectivo y más control para mitigar las brechas de ciberseguridad.
Conclusiones
Es cada día mas necesario desarrollar la cultura de la ciberseguridad, ya que, como decía Benjamín Franklin, “invertir en conocimientos produce siempre los mejores beneficios”.
Tenemos que formar nuestros empleados para que se conviertan en una medida de protección eficaz contra las ciber-amenazas actuales y cada vez más sofisticadas. De hecho, se trata siempre de una cuestión de conocimiento para adquirir conciencia del peligro y “anticipar” las amenazas de ingeniería social. El entrenamiento del personal – utilizando las técnicas de engaño más comunes – es importante para que la organización pueda ejercitarse a enfrentar los varios tipos de ataques de ingeniería social. Se trata de construir el así llamado “firewall humano” que tendrá que mantenerse siempre informado y disfrutar su razón crítica. ¡No bajamos la guardia!
Prohibida su reproducción total o parcial.