Ingeniería social: ¿Qué es? ¿Qué tipos hay? ¿Cómo identificarlos? ¿Cómo protegernos?

    Cuando la mayoría de gente oye la palabra "ciberamenaza" se imagina algún tipo de malware o a un ciberdelincuente que busca aprovecharse de las vulnerabilidades de un software. Sin embargo, en la actualidad, los seres humanos son el punto débil de cualquier estrategia de ciberseguridad, y es precisamente de esta vulnerabilidad de la que se aprovecha la ingeniería social.



    
    En una amenaza de este tipo, el atacante utiliza las emociones humanas para convencer al objetivo de que haga una acción, como enviar dinero, divulgar información confidencial o compartir credenciales. Hoy en día, la ingeniería social forma parte del 98% de los ciberataques, siendo el robo de identidad mediante campañas de phishing su forma más habitual.

    La ingeniería social lleva siendo un método de ataque desde los años 90, por lo que engañar a los usuarios de esta manera no es nada nuevo en el mundo de la ciberseguridad. Sin embargo, las técnicas para conseguirlo sí que han ido evolucionando.

    En la actualidad, los ataques son mucho más sofisticados: los ciberdelincuentes adaptan las historias utilizadas para obtener información de su objetivo y su contexto e incorporan otras amenazas como el phishing en sus campañas. Los ataques de estos grupos organizados pueden conseguir beneficios mucho mayores, por ejemplo, engañando al empleado de una empresa para que envíe millones de euros a cuentas en el extranjero.

    A menudo, estos ataques utilizan la manipulación y la persuasión para que las víctimas infrinjan los procedimientos de seguridad habituales. Son tan eficaces, porque se basan en la tendencia de las personas a confiar en los demás o explotan su curiosidad por ofertas o nuevas informaciones que actúan como cebo.



Tipos de ataques de ingeniería social

   
     Existen varios tipos de ataques de ingeniería social. Por este motivo, es importante entender bien la definición de ingeniería social, además de cómo funciona. Una vez comprendido el modus operandi básico, resulta mucho más fácil detectar ataques de ingeniería social.


Baiting o «anzuelo»

    El baiting consiste en tender una trampa, como puede ser dejar al alcance una memoria USB cargada con malware. Si la recoge alguien que siente curiosidad por saber lo que contiene y la conecta a su unidad USB, su sistema quedará infectado. De hecho, hay una memoria USB que es capaz de destruir ordenadores: se carga con la energía del dispositivo USB y luego la libera con una subida de potencia tan fuerte que daña el dispositivo al cual está conectada.


Pretextos

    Este ataque utiliza un pretexto para captar la atención y hacer que la víctima pique el anzuelo y proporcione información. Por ejemplo, una encuesta en Internet puede antojarse inofensiva a primera vista y luego solicitar los datos bancarios. O puede presentarse alguien con un portapapeles y anunciarte que están realizando una auditoría de los sistemas internos, pero tal vez esa persona no sea quien dice ser y te sustraiga información valiosa.

Phishing

    Los ataques de phishing consisten en enviar un mensaje de correo electrónico o de texto que finge ser de una fuente fiable y en el cual se solicita información. Una variante muy conocida de este tipo de ataques son los mensajes de correo electrónico que fingen proceder de un banco y solicitan a sus clientes que confirme su información de seguridad, cuando, en realidad, lo que hacen es redirigirlos a una página web fraudulenta donde se registran sus credenciales de inicio de sesión. El "spear phising" pone la diana en una única persona de una empresa, a quien supuestamente un ejecutivo de rango superior le envía un mensaje de correo electrónico en el que le solicita información confidencial.

Vishing y smishing

    Estos tipos de ataque de ingeniería social son variantes del phishing: el "vishing" o "voice fishing" consiste, simplemente, en llamar por teléfono a alguien y solicitarle datos. El delincuente puede hacerse pasar por un colega del trabajo, por ejemplo, puede fingir ser del departamento de informática y solicitar la información de inicio de sesión. Por su parte, el smishing utiliza mensajes SMS para intentar obtener esta información.

Quid pro quo

    Dicen que "un intercambio justo no es un robo", pero, en este caso, sí que lo es. Muchos ataques de ingeniería social convencen a las víctimas de que obtendrán algo a cambio de los datos o el acceso que proporcionan. El scareware funciona de esta manera y promete a los usuarios de ordenadores una actualización para lidiar con un problema de seguridad urgente cuando, en realidad, es el propio scareware lo que representa esa amenaza maliciosa a la seguridad.

Spam a contactos y hackeo del correo electrónico

    Este tipo de ataque comporta hackear las cuentas de correo electrónico o redes sociales de una persona para acceder a sus contactos. A continuación, se les comunica a los contactos que la persona ha sufrido un robo o ha perdido todas sus tarjetas de crédito y se les solicita que transfieran dinero a una cuenta. Otra táctica es que un supuesto «amigo» te envíe un «vídeo que no puedes perderte» que incluya malware o un troyano keylogger.

Diferencia entre farming y hunting

    Por último, cabe tener presente que algunos ataques de ingeniería social son mucho más sofisticados. La mayoría de los planteamientos sencillos que hemos descrito son una forma de "hunting". Básicamente, se trata de entrar, hacerse con la información y largarse.

    No obstante, algunos tipos de ataques de ingeniería social implican entablar una relación con la persona objetivo para extraerle información en el transcurso de un período más dilatado. Esta táctica se conoce como "farming" y es más arriesgada para el atacante, porque tiene más probabilidades de ser descubierto. Sin embargo, si la infiltración es fructífera, puede sustraer mucha más información.



Cómo identificar un ataque que utiliza ingeniería social

    
    Independientemente de los objetivos del atacante, hay algunas señales claras que ayudan a identificar si se está siendo víctima de un engaño de este tipo:

        • Sensación de urgencia: para jugar con el miedo de la víctima, se le presiona para que realice una acción urgentemente. Por ejemplo, pueden exigir dinero o conseguir que un usuario comparta su contraseña ante la amenaza de poder perder su cuenta.
        • Dirección falsificada: es habitual que el atacante utilice un dominio similar al oficial para intentar que el objetivo no se dé cuenta. Un sistema de protección del correo electrónico impedirá que los remitentes falsos accedan a la bandeja de entrada de un usuario objetivo. En su ausencia, es importante buscar errores ortográficos.
        • Solicitudes de amistad extrañas: no es raro que un atacante comprometa una cuenta de correo electrónico y envíe mensajes a la lista de contactos de la víctima. Los mensajes suelen ser breves y no están personalizados, por lo que hay que dudar a la hora de hacer clic en enlaces de amigos si el mensaje no parece propio de esa persona.
         • Enlaces a webs falsas: es común que se utilicen enlaces de phishing para que los usuarios divulguen información confidencial. Hay que evitar introducir credenciales en un sitio web directamente desde el enlace de un correo electrónico, incluso si parece una página legítima.
         • Demasiado bueno para ser verdad: los estafadores suelen prometer dinero o algo valioso a cambio de una compensación económica. Por ejemplo, el mensaje promete a la víctima un iPhone gratis si paga los gastos de envío. Si la oferta parece demasiado buena para ser cierta, seguramente se trate de una estafa.
        • Archivos adjuntos sospechosos: los ataques más sofisticados pueden intentar instalar malware en los dispositivos del objetivo mediante adjuntos de correo electrónico. No se deben ejecutar nunca macros o archivos ejecutables directamente desde un email, aunque sea aparentemente inofensivo.
         • Remitente dudoso: muchas técnicas de ingeniería social están diseñadas para imitar a una fuente conocida, como un amigo o un compañero de trabajo. En el caso de recibir un correo electrónico sospechoso, es mejor ponerse en contacto con la persona real a través de una llamada telefónica o un mensaje de WhatsApp para ver si se trata de una suplantación de identidad.
        • No tengas prisa



Cómo evitar ser una víctima de estos ciberataques

   
    Los usuarios informados pueden identificar las técnicas de ingeniería social y evitar caer en sus trampas. Es importante seguir estos consejos para no convertirse en una víctima:

          • Informarse sobre los ataques más habituales o recientes de ingeniería social.
          • No interactuar con webs directamente desde enlaces. En su lugar, escribir el dominio en el buscador.
          • Identificar la información confidencial y ser consciente de qué datos se están divulgando, por ejemplo, en redes sociales. En general, evitar compartir demasiada información personal en Internet.
          • Utilizar contraseñas únicas con diversos tipos de caracteres puede hacerlas más difíciles de descifrar.             
           • Un gestor de contraseñas fiable puede ayudar a gestionarlas de forma segura.
           • Mantener los dispositivos vigilados para evitar robos. En sitios públicos, como aeropuertos o cafeterías, hay que bloquearlos para evitar accesos indeseados.
          • Actualizar los softwares antimalware para que detecten amenazas recientes.
          • Desconfiar de cualquier solicitud de datos o dinero. Antes de actuar, hacer preguntas y verificar la identidad del remitente.
         • Verifica la fuente: Plantéate un momento de dónde procede la comunicación, en lugar de confiar en ella a ciegas. Una memoria USB aparece de la nada en tu mesa de trabajo, ¿y no sabes qué es? ¿Recibes porque sí una llamada de teléfono diciéndote que has heredado cinco millones de dólares? ¿El director ejecutivo de tu empresa te envía un correo electrónico solicitándote un montón de información de empleados concretos? Todos estos ejemplos suenan sospechosos y deberían tratarse como tales.
         • ¿Qué saben?: ¿A la fuente le faltan datos que pensabas que ya tenía, como tu nombre completo, etc.? Recuerda: si te llaman del banco, deberían tener todos esos datos delante y siempre te formularán preguntas de seguridad antes de permitirte realizar cambios en tu cuenta. De no ser así, la posibilidad de que se trate de un correo electrónico/llamada/mensaje fraudulento es mucho más alta y más vale que receles.
         • Rompe el bucle: La ingeniería social suele depender de una cierta sensación de urgencia. Los atacantes esperan que sus objetivos no reflexionen demasiado sobre lo que está sucediendo. Por eso, el mero hecho de tomarte un momento para pensar puede desalentar estos ataques y demostrar exactamente lo que son: timos. Llama al número oficial o visita la URL oficial, en lugar de facilitar tus datos por teléfono o hacer clic en un enlace. Utiliza un método de comunicación distinto para comprobar la credibilidad de la fuente. Por ejemplo, si recibes un correo electrónico de un amigo solicitándote que le envíes dinero por transferencia, mándale un mensaje al móvil o llámalo para comprobar que realmente se trata de él.
         • Solicita identificación: Uno de los ataques de ingeniería social más sencillos consiste en saltarse los controles de seguridad de entrada a un edificio portando una caja grande o un fajo de carpetas bajo el brazo. Al fin y al cabo, siempre habrá alguna persona amable que nos abrirá la puerta para facilitarnos el paso. No caigas en la trampa. Pide siempre la identificación.
        • Usa un buen filtro antispam: Si tu programa de correo electrónico no filtra bien el spam ni marca los mensajes como sospechosos, tal vez te convenga cambiar la configuración. Los filtros de spam óptimos utilizan información de distinta índole para determinar qué mensajes pueden ser correo no deseado. Pueden detectar archivos o enlaces sospechosos, tener una lista negra de direcciones IP o remitentes sospechosos o incluso analizar el contenido de los mensajes para determinar si es probable que sean falsos.

    La ingeniería social es tan popular entre los estafadores porque funciona. Debido a su éxito, los ataques basados en el phishing y el robo de identidad se han quintuplicado en los últimos años. Mediante la formación en ciberseguridad, las personas pueden tomar un papel activo en la defensa de su información y dispositivos.

    Todos debemos saber cómo podemos ser manipulados y por qué podríamos ser objetivo de ciberdelincuentes. Por este motivo, la ingeniería social es un tema fundamental para la concienciación de los usuarios.

No hay comentarios:

Publicar un comentario