La ingeniería social es un término que abarca un amplio espectro de actividades maliciosas. Estas actividades o técnicas son utilizadas para engañar a los usuarios, con el objetivo de conseguir información personal o permita tomar el control de sus dispositivos.
Todos conocemos al atacante que aprovecha su experiencia técnica para infiltrarse en sistemas informáticos protegidos y comprometer datos confidenciales.
Este tipo de atacantes, termina, en las noticias, todo el tiempo. Pero no son los únicos que aparecen en los titulares. También lo son los “ingenieros sociales”, personas que usan llamadas telefónicas y otros medios para explotar la psicología humana y engañar a las personas para que entreguen el acceso a la información confidencial de la organización.
En este artículo, nos centramos en los principales tipos de ataques o técnicas, más comunes, que utilizan los ingenieros sociales para atacar a sus víctimas. Estos son: phishing, pretexting, baiting, quid pro quo, tailgating, entre otros.
El uso de pretextos es otra forma de ingeniería social en la que los atacantes se enfocan en crear un pretexto, o un escenario fabricado, que pueden usar para robar la información personal de alguien. En este tipo de ataques, el estafador generalmente se hace pasar por una entidad/individuo de confianza y dice que necesita ciertos detalles de un usuario para confirmar su identidad. Si la víctima cumple, los atacantes cometen robo de identidad o usan los datos para realizar otras actividades maliciosas.
Los pretextos más avanzados implican engañar a las víctimas para que hagan algo que eluda las políticas de seguridad de la organización. Por ejemplo, un atacante podría decir que es un auditor externo de servicios de TI para que el equipo de seguridad física de la organización lo deje entrar al edificio.
Mientras que el phishing utiliza el miedo y la urgencia a su favor, el pretexto se basa en generar una falsa sensación de confianza en la víctima. Esto requiere construir una historia creíble que deje poco lugar a dudas en la mente de su objetivo. También implica elegir un disfraz adecuado.
Como tal, el pretexto puede tomar y toma varias formas. Muchos actores de amenazas que se involucran en el pretexto se hacen pasar por personal de recursos humanos o empleados de finanzas para intentar atacar a los ejecutivos de nivel C. Según lo informado por KrebsOnSecurity, otros falsifican bancos y usan mensajes de texto basados en SMS sobre transferencias sospechosas para llamar y estafar a cualquiera que responda.
El término sextorsión se refiere a amenazas recibidas por un cibercriminal, respecto a revelar nuestra información íntima en medios sociales o con nuestros conocidos, a menos que cumpla con las condiciones que le determina. Los delincuentes suelen pedir dinero, pero a veces buscan material más comprometedor (envía más o divulgaremos sus secretos).
¿Cómo roban su información?
El phishing es el tipo más común de ataque de ingeniería social. En un nivel alto, la mayoría de las estafas de phishing tienen como objetivo lograr tres cosas:
No hay dos correos electrónicos de phishing iguales. Hay al menos seis subcategorías diferentes de ataques de phishing. Más allá de eso, todos sabemos que los phishers invierten distintas cantidades de tiempo en la elaboración de sus ataques. Por eso hay tantos mensajes de phishing con errores ortográficos y gramaticales.
Una campaña de phishing reciente usó la marca de LinkedIn para engañar a los buscadores de empleo, haciéndoles creer que personas de compañías conocidas como American Express y CVS Carepoint les habían enviado un mensaje o los habían buscado usando la red social, escribió ThreatPost. Si hacían clic en los enlaces de correo electrónico, los destinatarios se encontraban redirigidos a páginas diseñadas para robar sus credenciales de LinkedIn.
Técnicas de Phishing
Si bien el enfoque es diferente, todo el phishing se basa en algún tipo de disfraz. En general, el tipo de ataque de phishing utilizado dependerá de cómo el phisher haya elegido su(s) objetivo(s).
Baiting es en muchos aspectos como el phishing. La diferencia es que el cebo usa la promesa de un artículo o bien para atraer a las víctimas. Los ataques de cebo pueden aprovechar la oferta de descargas gratuitas de música o películas para engañar a los usuarios para que entreguen sus credenciales de inicio de sesión, por ejemplo. Alternativamente, pueden intentar explotar la curiosidad humana mediante el uso de medios físicos.
En julio de 2018, por ejemplo, KrebsOnSecurity informó sobre un ataque dirigido a agencias gubernamentales estatales y locales en los Estados Unidos. La operación envió sobres chinos con matasellos que incluían una carta confusa junto con un CD. El objetivo era despertar la curiosidad de los destinatarios para que cargaran el CD e infectaran sus computadoras sin darse cuenta con malware.
Al igual que los cebos, los ataques quid pro quo prometen algo a cambio de información. Este beneficio suele asumir la forma de un servicio, mientras que el cebo suele adoptar la forma de un bien.
Uno de los tipos más comunes de ataques quid pro quo es cuando los estafadores se hacen pasar por la Administración de la Seguridad Social (SSA) de EE. UU. Este personal falso de la SSA contacta a personas aleatorias y les pide que confirmen su Número de Seguro Social, lo que les permite robar las identidades de sus víctimas. En otros casos detectados por la Comisión Federal de Comercio (FTC), los actores malintencionados crearon sitios web falsos de la SSA diseñados para robar la información personal de esas personas.
Sin embargo, es importante tener en cuenta que los atacantes pueden usar ofertas quid pro quo que son aún menos sofisticadas. Ataques anteriores han demostrado que los trabajadores de oficina están más que dispuestos a regalar sus contraseñas a cambio de un bolígrafo barato o incluso una barra de chocolate.
Nuestro último tipo de ataque de ingeniería social se conoce como “tailgating”. En este tipo de ataques, alguien sin la autenticación adecuada sigue a un empleado autenticado a un área restringida. El atacante podría hacerse pasar por un repartidor y esperar afuera de un edificio para comenzar. Cuando un empleado obtiene la aprobación de seguridad y abre la puerta, el atacante le pide al empleado que sostenga la puerta, y así obtener acceso al edificio.
Tailgating no funciona en presencia de ciertas medidas de seguridad, como un sistema de tarjeta de acceso. Sin embargo, en las organizaciones que carecen de estas funciones, los atacantes pueden entablar conversaciones con los empleados y usar esta demostración de familiaridad para pasar por la recepción.
De hecho, Colin Greenless, consultor de seguridad de Siemens Enterprise Communications, usó estas tácticas para obtener acceso a varios pisos y la data room de una empresa financiera que cotiza en el FTSE. Incluso pudo instalarse en una sala de reuniones del tercer piso y trabajar allí durante varios días.
Como ilustran los ataques discutidos anteriormente, la ingeniería social implica aprovecharse de la psicología humana y la curiosidad para comprometer la información de las víctimas. Teniendo en cuenta este enfoque centrado en el ser humano, las organizaciones deben ayudar a sus empleados a contrarrestar este tipo de ataques. Pueden hacerlo incorporando los siguientes consejos en sus programas de capacitación de concientización sobre seguridad.
Soluciones de seguridad para evitar técnicas de ingeniería social.
En COINTIC contamos con soluciones de Seguridad Informática que te ayudarán a detectar y mitigar este tipo de ataques como los Firewalls UTM, AntiSpam y soluciones de protección EndPoint. Estas soluciones combinadas con cursos de Ingeniería Social para los empleados de las organizaciones y público en general ayudarán a reducir la probabilidad de que estos ataques lleguen a materializarse.
Más información en: Seguridad informática
