Aprovechando el eslabón más débil de la cadena de seguridad, las personas, la ingeniería social se ha convertido en una de las principales vías para llevar a cabo diferentes tipos de ciberataques. En este artículo te explicamos qué es la ingeniería social, cómo funciona, qué consecuencias tienen estos ataques y cómo evitarlos.
En este artículo hablamos de:
La ingeniería social es una técnica o conjunto de técnicas de manipulación psicológica a través de la cual los ciberdelincuentes pueden obtener información confidencial de sus víctimas.
Cabe señalar que los orígenes del concepto de ingeniería social los encontramos en la filosofía, acuñado por Karl Popper en 1945, con el fin de usar elementos sociológicos y psicológicos para mejorar las estructuras sociales. Sin embargo, actualmente, asociamos el término de ingeniería social a la ciberseguridad, puesto que sus técnicas se emplean para conseguir que las personas hagan contrario a lo que deberían hacer, sea divulgar información personal como credenciales de acceso, pulsar en un enlace que no debería o hacer una transferencia de dinero a quien no debe.
Los ataques de ingeniería social, como veremos más adelante, pueden adoptar diferentes modalidades y objetivos, pero todos tienen un denominador común, manipular a las personas para conseguir el objetivo deseado.
En los últimos años, la ingeniería social se ha convertido en el método de ataque favorito de los cibercriminales, ya que gracias a ella no necesitan recurrir a medios técnicos para introducirse en una red corporativa o acceder a la cuenta bancaria de sus víctimas.
La ingeniería social funciona manipulando las emociones de las víctimas, esto se logra empleando técnicas basadas en la ciencia de la motivación humana y haciéndose pasar por una entidad de confianza (puede ser un individuo o una organización) o que genere confianza y que apela a unas emociones básicas; algunos estudios han revelado que las más habituales son el miedo, la codicia y la curiosidad.
En muchas ocasiones, los ataques de ingeniería social usan información que conocen de las víctimas para poder explotar más aún esa «confianza». Esta información pueden recabarla de las redes sociales y otros sitios online en los que tengamos presencia y compartamos información.
El objetivo final del ataque de ingeniería social, como decíamos, puede variar entre (por citar algunos de ellos):
- Conseguir datos personales de la víctima para acceder a sus cuentas de usuario, incluida la cuenta corporativa, para acceder a la red interna de la empresa.
- Conseguir que la víctima pulse en un enlace, descargue un archivo o visite un sitio desde el que se descargará algún tipo de malware, con el que llevar a cabo otro ataque.
- Conseguir que la víctima le transfiera dinero al atacante (habitual en las estafas amorosas online).
Se emplee el ataque que se emplee, la ingeniería social sigue la siguiente metodología:
- Fase de aproximación, en la que se busca ganarse la confianza del objetivo.
- Fase de alerta, en la que el atacante presenta una serie de opciones para observar y medir la respuesta del objetivo bajo presión. En esta etapa, el grado de interacción del atacante cambia de pasivo a activo para enviar proposiciones sueltas aquí y allá; todo especialmente diseñado para asegurar la confianza inicialmente establecida.
- Fase de distracción, en la que se ha ganado la confianza del objetivo y el atacante domina toda la interacción, consiguiendo los datos confidenciales del objetivo.
Cabe señalar, que también se recurre a la ingeniería social en el hacking ético, puesto que sirve para demostrar, precisamente, la vulnerabilidad del componente humano en lo que respecta ciberseguridad de una organización.
Las consecuencias de la ingeniería son negativas tanto para usuarios particulares como para las organizaciones. Para los primeros, puede suponer la pérdida de dinero y/o de cuentas de usuario, por no mencionar los problemas psicológicos derivados de este tipo de ataque, como la pérdida de confianza o el sentimiento de culpabilidad y vergüenza que genera el ser víctima de algunos tipos de ingeniería social.
Para las organizaciones, puede suponer sufrir otro tipo de ciberataques, como ransomware, puesto que los cibercriminales ganan acceso a la red interna de la organización, desde la que pueden llevar a cabo diferentes acciones, incluido el robo de información confidencial, la destrucción de información crítica o el robo de dinero. Esto supone no solo los posibles costes económicos derivados del robo, sino también de posibles extorsiones para no revelar la información robada y de las posibles sanciones por pérdida de datos personales, así como los daños a la imagen y reputación de la empresa.
Si bien la ingeniería social a menudo se basa en un ataque dirigido y específico, estos se incluyen en algunas técnicas comunes. Estos son los tipos de ataques de ingeniería social que debemos conocer:
Baiting
El baiting es una de las principales técnicas de ingeniería social. Puede tomar diferentes formas, pero normalmente apela a la curiosidad de las personas o a su bolsillo. La cuestión es tentar a la víctima.
Una de esas formas es a través del envío de correos con promesas de software gratuito. El software que se descarga en realidad podría ser algo que está disponible de forma gratuita. Sin embargo, los riesgos surgen al visitar el sitio web dañino, lo que podría provocar que el usuario descargue software infectado o comprometido.
Otra forma es dejar «olvidado» o «perdido» un dispositivo de almacenamiento externo, como un pendrive, en un sitio visible. Este pendrive estará infectado con malware, que probablemente le pase desapercibido a la víctima que lo conecta a su ordenador para usarlo o ver qué contiene.
Quid pro quo
Similar al baiting, la técnica quid pro quo se basa en un intercambio, sin embargo, esto también implica un elemento de falsa suplantación. Generalmente, consiste en ofrecer un servicio o un bien a cambio de información confidencial de la víctima.
Uno de los tipos más comunes de quid pro quo involucra a un criminal que se hace pasar por un empleado de servicios de TI. Llamarán spam a tantos números directos que pertenezcan a la empresa a la que desean dirigirse. El atacante ofrecerá asistencia de TI a cada víctima, una vez que la víctima esté de acuerdo, se le pedirá que desactive su programa AV. Esto es así para que el «asistente de TI» ahora tenga acceso administrativo para instalar cualquier software malicioso que elija.
Suplantación de identidad
El phishing es quizás el delito cibernético más conocido, pero de hecho tiene cada vez más éxito. El phishing es el uso del correo electrónico para que un objetivo ingrese su información privada o haga clic en un enlace que lo exponga a malware. La efectividad de esta táctica de ingeniería social se basa en que el criminal investiga a sus objetivos que desean suplantar o atacar.
Los constantes avances del phishing son una de las muchas razones por las que todavía tienen éxito y lo seguirán siendo hasta que todos entiendan cómo detectarlos. A continuación se enumeran tres ejemplos de los ataques de phishing más sofisticados:
- Spear-phishing: este tipo de amenaza de ingeniería social se dirige a un individuo específico, como un CEO o un gerente de TI. Luego usan su información para personalizar el ataque por correo electrónico, lo que aumenta su legitimidad. La mayoría de las veces, las víctimas no piensan en ello y le dan al delincuente acceso a sus datos. Como los phishers solo se dirigen a un individuo, pueden dedicar su tiempo a investigar a la víctima, utilizando su presencia digital en su contra.
- Whaling: A diferencia de su phishing tradicional, whaling, es una forma de ataque mucho más dirigida, tiene un objetivo más específico. La caza de ballenas se dirige a empleados de alto nivel, como ejecutivos y directores generales, prácticamente a cualquier persona que tenga acceso a datos valiosos. Al apuntar al miembro de alto valor de una organización, es probable que el hacker obtenga acceso a toda la información de la empresa, así como la capacidad de hacerse pasar por los miembros más legítimos de la empresa.
- Phishing de correo de voz y vishing: este es otro tipo de phishing, sin embargo, la estafa se realiza por teléfono. Un estafador llamará al objetivo por teléfono pretendiendo ser de su banco o incluso de una agencia gubernamental. Pescarán información, con el objetivo de recuperar su información personal para robar dinero o datos.
Las señales de alerta típicas de los ataques de phishing serán un correo electrónico con un enlace sospechoso, un correo electrónico en busca de información bancaria o de inicio de sesión, un correo electrónico de un «empleado» del que no tiene conocimiento.
Conocer las señales reveladoras y marcar los correos electrónicos sospechosos lo antes posible ayudará a reducir el riesgo inmediato para la empresa.
Watering hole
Este es un método de ingeniería social que involucra un sitio web legítimo o conocido. En primer lugar, el delincuente seleccionará a sus objetivos, como los empleados de la empresa que desea atacar. Luego, determinan qué sitios web visitan con frecuencia estos empleados.
El hacker infectará el «abrevadero» con malware. Este código redirigirá su objetivo elegido a un sitio web separado, donde se aloja el malware, el sitio web comprometido ahora está listo para infectar los objetivos con malware en su acceso.
Pretexting
Pretextar es quizás el «truco de confianza» más flagrante de la ingeniería social. Es una forma de suplantación de identidad que se basa en la falta de capacidad del usuario final para distinguir si es una fuente legítima. Esto generalmente toma la forma de suplantación de identidad por teléfono, donde un actor malintencionado puede, por ejemplo, pretender ser un cliente que requiere acceso a la información privada del usuario final.
La utilización de una identidad falsa se ha vuelto mucho más fácil para estos actores maliciosos con el advenimiento de más medios digitales de comunicación, se vuelve más difícil reconocer un perfil social legítimo, una persona que llama o una dirección de correo electrónico. Por lo tanto, siempre es importante asegurarse de saber con quién te estás comunicando antes de enviar cualquier información confidencial.
Identidades falsas
Hay una multitud de otras formas en que un estafador puede fingir ser legítimo para intentar engañar al usuario final para que revele información privada. Hay varias técnicas comunes que se utilizan, incluidas las siguientes:
- Solicitar un cambio de contraseña: un truco común utilizado por los piratas informáticos es un correo electrónico que le pide al empleado que restablezca o cambie su contraseña. Luego, estos datos se ingresan en un dominio falso visible para el pirata informático, lo que les da acceso a su cuenta.
- Soporte de TI falso: suplantando al administrador de TI, similar a lo anterior, un estafador puede solicitar acceso a su cuenta para, por ejemplo, instalar nuevo software. Asegúrese siempre de que estas solicitudes provengan de un miembro genuino de su equipo.
- Perfiles falsos de LinkedIn: un estafador puede hacerse pasar por miembro de su organización y solicitar un amigo como miembros legítimos de la organización. Una vez conectados, pueden comenzar a enviar mensajes a los empleados para intentar obtener información ilícita.
- Nombre-Drop: Otra táctica conocida de ingeniería social es buscar en la red de alguien (a menudo encontrada a través de las redes sociales) y solicitar información haciéndose pasar por una fuente confiable. Tan pronto como se solicite información privada, se debe marcar.
- Amenaza interna: incluso existe la posibilidad de que un miembro de la empresa lance un ataque de ingeniería social, utilizando su conocimiento interno para obtener acceso a datos que no debería tener.
El primer paso para evitar ser víctima de ataques de ingeniería social ya lo has dado, que es conocer los tipos de ataques más habituados, lo que te ayudará a reconocer sus señales.
Además de este conocimiento, también existe otras soluciones con las que se pueden prevenir este tipo de ataques y ciberamenazas en las empresas y organizaciones, que suelen ser uno de los principales objetivos de los cibercriminales que recurren a la ingeniería social
Entrenamiento de conciencia de seguridad
La forma más sencilla y eficaz de combatir la amenaza de la ingeniería social en tu empresa es la concienciación de los empleados. Si los empleados están capacitados y son conscientes de los tipos de estafas de ingeniería social discutidos anteriormente, son mucho menos susceptibles a caer en ellos.
La capacitación en concientización sobre ciberseguridad para tu equipo reducirá drásticamente la susceptibilidad de tu empresa a la ingeniería social. Al promover una cultura de concienciación y formación, el riesgo de manipulación y las consecuencias se reducen drásticamente.
Política de seguridad cibernética
Los empleados de todos los niveles de la empresa deben contar con un conjunto de directrices claras que especifiquen cómo prevenir los ciberataques y qué hacer si se encuentran con uno. La política también debe incluir las mejores prácticas de seguridad y otras formas de esfuerzos de seguridad.
Simulaciones regulares de phishing
El phishing es el tipo de delito cibernético más común y exitoso. Ha existido durante mucho tiempo y todavía engaña a la gente todos los días. La realización periódica de simulaciones de phishing en el lugar de trabajo educa a los empleados sin el riesgo de perder datos valiosos. Te permite ver si hay tendencias y qué empleados están cayendo en los ataques de phishing.
Finalmente, vamos a ver algunos ejemplos de ataques de ingeniería social reales:
- Twitter se convirtió en 2020 en una plataforma para un ataque de ingeniería social, cuando las cuentas de personalidades como Obama, Bill Gates o Elon Musk fueron pirateadas para pedir bitcoins a sus seguidores, de los que consiguieron cerca de 120.000 dólares.
- La estafa de la novia rusa: Un fraude dirigido a hombres solteros en Europa occidental y central, consistía en enviar correos masivos en los que una supuesta joven mujer rusa atraía a sus víctimas para comenzar una «relación a distancia» y conseguir que le enviarán dinero para arreglar papeles, comprar ropa o viajar al país de la víctima para reunirse. Evidentemente, la mujer no existía y lo que había detrás era un estafador o una red de estafadores (este tipo de ataque de ingeniería social es muy típico y se sigue llevando a cabo de diferentes formas y a través de diferentes plataformas, incluidas apps para encontrar pareja).
- Los empleados de Facebook y Google también fueron víctimas entre 2013 y 2015 de un ataque de ingeniería social, en el que grupo detrás del ataque se hizo pasar por un proveedor de ordenadores que utilizaban ambas compañías, creando para ello enviaban a los empleados facturas falsas muy similares a las legítimas y, que además, hacían referencia a artículos y servicios que la empresa legítima había prestado. Sin embargo, el dinero era transferido a una cuenta controlada por los cibercriminales, que consiguieron robar a las compañías 100 millones de dólares.
- En España también hemos tenido recientemente un ataque de ingeniería social dirigido a pensionistas (además, es un ataque que se repite cada cierto tiempo). En este caso, el medio usado no es un correo electrónico, sino un correo postal de la Seguridad Social, en la que se pide a las víctimas que envíen documentación personal a una dirección de email que imita (o intenta imitar) la del organismo. Los datos que se solicitan son imágenes del DNI por delante y por detrás y una imagen de un extracto bancario, el objetivo es hacerse con estos datos para usarlos en su beneficio. El gancho suele ser autorizar un incremento de pensión o, al contrario, indicar que los datos se han perdido y que son necesarios para poder seguir cobrando la pensión.