Los humanos somos seres propensos a cometer errores, de hecho, es nuestra capacidad de fallo lo que plantea un reto tan escabroso para los expertos de seguridad en todo el mundo. Incluso con herramientas de seguridad sofisticadas a nuestra disposición, los seres humanos somos el eslabón débil de cualquier estructura de protección, lo cual le da la oportunidad a los actores maliciosos de explotar nuestras vulnerabilidades, manipulandonos para revelar credenciales y otros datos de índole confidencial.
Es cierto que todos los seres vivos cometemos errores, pero igual tenemos el poder de esforzarnos y dar un paso adelante frente a estos atacantes y así identificar y negar múltiples tipos de estafas que tienen el potencial de victimizarnos. Ya es bien sabido que la mejor forma de evitar ser blanco fácil de la ingeniería social es entender cómo esta funciona.
Antes de detallar cómo funciona la ingeniería social, hablemos de su definición.
Definición
En el ámbito de la seguridad cibernética, la ingeniería social es una forma de obtener acceso a datos confidenciales mediante manipulación psicológica humana en vez de usar técnicas de hackeo sofisticadas. La ingeniería social no busca explotar la vulnerabilidad de un sistema, el atacante se vale de llamadas o correos electrónicos phishing dirigidos a un empleado, haciéndose pasar por una fuente legítima.
El término “ingeniería social” fue creado en los años 90 gracias a Kelvin Mitnick, quien fuese el hacker más famoso del mundo para la época, tal como fue descrito por CNN y Fox News, a pesar de este hito, el concepto de la ingeniería social ha existido durante muchas décadas.
Cómo funciona la ingeniería social
Al igual que otras amenazas en línea, los ataques de ingeniería social adoptan diversas formas, por lo mejor que podemos hacer para prevenirlos es comprender cómo funcionan y así mitigar riesgos. Es necesario tener presente que los ingenieros sociales conocen múltiples formas de explotar la debilidad humana.
Un actor malicioso puede engañarte para que dejes un pasaje abierto a tu sistema o para que lleves a cabo una descarga de contenido malicioso que deja en evidencia los recursos de tu red; ten presente que un ataque de ingeniería social exitoso sigue cuatro pasos básicos:
- Preparación: durante esta etapa, los ingenieros sociales recopilan toda la información posible sobre su objetivo, desde sus redes sociales, hasta las llamadas que este recibe, así como también su cuenta de correo electrónico y los mensajes de texto.
- Infiltración: durante la etapa de infiltración, los piratas informáticos se acercan más a sus objetivos, ya sea haciéndose pasar por una fuente legítima de comunicación de la cual han compilado datos para hacerse ver más auténticos.
- Explotación: en esta etapa, los atacantes ya pueden empezar a manipular a sus víctimas para que revelen información confidencial, tales como credenciales de inicio de sesión, detalles de ingreso a cuentas, información de contacto, métodos de pago y más que pueden ser usados para llevar a cabo sus ataques.
- Desvinculación: En la etapa final, el ingeniero social deja de comunicarse con su víctima, ejecuta el ataque y desaparece sin dejar rastro.
El tiempo que lleva planificar un complot de este tipo depende de su nivel de complejidad, por lo que este podría durar días, incluso meses. Sin importar el alcance estimado del atacante, está en nuestras posibilidades saber lo que quieren los ingenieros sociales y aprender sobre las tácticas que usan para prevenir sus incursiones e intentos.
¿Qué es lo que quieren los ingenieros sociales?
Con el concepto de ingeniería social ya aclarado, podemos profundizar acerca de la mente y proceso creativo de un ingeniero social. En primera instancia es necesario saber que estos piratas informáticos tienen como único objetivo la obtención de información que puedan usar para robar una identidad, acceder a fondos financieros e incluso para llevar a cabo un ataque más complejo; para esto usan la táctica común de instalar múltiples programas maliciosos para poder acceder a diversos sistemas, o cuentas de datos personales.
La información valiosa para los ingenieros sociales incluye:
- Números de cuenta
- Información de registro
- Información personal identificable (PII)
- Tarjetas de acceso o gafetes de identidad
- Información del sistema interno de la compañía
- Información de los servidores y la red de la empresa
¿Cómo afecta la ingeniería social a una empresa u organización?
El impacto de un ataque de ingeniería social en una empresa u organización puede ser devastador, ya que puede dañar tu reputación, y dañar las relaciones profesionales con tus clientes o socios, lo cual también conlleva a la pérdida de confianza por parte de tus clientes.
Además, los ataques de ingeniería social tienen la capacidad de generar graves pérdidas financieras, y afectar a tu negocio a través de la interrupción en las operaciones, lo cual se traduce en una disminución de productividad a nivel institucional. Con conocimiento pleno de estos potenciales efectos catastróficos que atentan contra la continuidad de tu negocio, es vital saber identificar, prevenir y contrarrestar los ataques de ingeniería social. La implementación un buen sistema de seguridad para la entrada y salida de tu infraestructura interna es el primer paso para monitorear el tráfico de tu compañía, además de permitirte buscar actividad sospechosa por parte de los usuarios, dominios y correos que sean inusuales, además de ofrecerte una mejor visión del flujo de movimiento de datos confidenciales.
Tácticas de ingeniería social que debemos tener en cuenta
Existen varias tácticas de manipulación usadas por los ingenieros sociales para alcanzar sus pecaminosos objetivos, tener conocimiento de estas técnicas es fundamental para evitar que tu información caiga en las manos equivocadas. A continuación, te presentamos algunas de las tácticas más comunes usadas por los ingenieros sociales:
- Conexión a nivel emocional: los humanos son seres emocionales, y sienten lástima cuando alguien cuenta una historia conmovedora; como es de esperarse, los ingenieros sociales crean con frecuencia historias o escenarios para convencer a sus víctimas y obtener información valiosa de estas.
- Uso de razonamiento que conlleva al engaño: Alguien te dice “necesito entrar al edificio porque necesito encontrarme con Jon”, lo cual suena perfectamente válido al principio, ¿correcto? Si lo consideras con un poco de atención, no significa nada, ya que, si a la persona no se le permite ingresar a las premisas, la excusa de que su necesidad de reunión con Jon no es más que una mentira, sin embargo, la palabra «porque» hace que la razón de su ingreso parezca válida.
- Obsequios y favores: a todo el mundo le encantan los obsequios, de hecho, es parte de la naturaleza humana corresponder a este tipo de muestra de amabilidad. Un atacante puede aprovechar este escenario para tener acceso a información confidencial o para ingresar a las instalaciones de la empresa; recuerda: cualquier cosa gratis es parte del cebo.
- Reciprocidad y simpatía: los ingenieros sociales hacen lo que sea por parecer agradables, una vez que establecen un lazo de reciprocidad con su víctima, es más fácil lograr que su objetivo corresponda ampliamente a su «amabilidad».
- Compromiso y consistencia: muchos seres humanos se esfuerzan por mostrar su compromiso con las relaciones que establecen, por lo que los ingenieros sociales pueden aprovecharse de este lado de nuestra naturaleza creando una relación de compromiso (que no necesariamente es románticos); el solo ofrecer tu nombre puede percibirse como un elemento de consistencia.
- Autoridad y aprobación social: todo el mundo admira a alguien; por ejemplo, si un blogger de belleza dice que una crema para los ojos le ayuda a verse o sentirse bien, lo más seguro es que la compres, ¿verdad? Por otra parte, muchas personas en la red buscan su sentido de pertenencia; por lo que una vez que los criminales informáticos saben de estas vulnerabilidades, se pueden aprovechar de ambas para establecerse como una figura de autoridad ante los ojos de la víctima.
- Creación de sentido de escasez y urgencia: los ingenieros sociales son maestros en la creación del sentido de urgencia para que sus víctimas no tengan tiempo de detenerse a pensar un minuto el escenario que está enfrentando. Si recibes un correo que te solicita llevar a cabo una acción urgente, es mejor analizar la situación con mucho cuidado; lo más recomendable es confirmar por vías alternas con alguien de autoridad para confirmar si dicha acción es realmente necesaria.
Tipos de ataques de ingeniería social
Existen varias tácticas de ingeniería social, cada una adaptada al medio del ataque; para evitar los ataques de ingeniería social, empresas y organizaciones deben aprender qué son y cómo pueden enfrentarlos. A continuación, te mostramos algunos de los tipos más comunes de ataques de ingeniería social:
Phishing
El phishing es la táctica de ingeniería social más famosa usada por los piratas informáticos, con esta el hacker crea un portal de soporte falso o un sitio web de una empresa de confianza, para enviar los enlaces a sus objetivos vía correo electrónico y así obtener información confidencial.
Angler Phishing
El angler phishing es un subconjunto del phishing dirigido a cuentas de redes sociales; bajo esta modalidad los atacantes falsifican cuentas de atención al cliente de varias empresas para engañar y convencer a los usuarios de la legitimidad de sus servicios y así obtener datos tales como credenciales de inicio de sesión y otros tipos de información crítica.
Spear-phishing
El spear-phishing es un ataque de ingeniería social dirigido a empresas o individuos específicos dentro de estas; bajo esta modalidad el atacante se toma su tiempo para ir recopilando información sobre su objetivo y hacer que su estafa sea genuina, ya que su objetivo final es obtener la mayor cantidad de datos confidenciales.
Fraude whaling/CEO
Los fraudes whaling o ataques CEO es una forma de phishing dirigida específicamente a altos ejecutivos o empleados de alto nivel dentro de las empresas y agencias gubernamentales; bajo esta modalidad el atacante falsifica una dirección de correo electrónico, haciéndose pasar por el director ejecutivo de la empresa para luego enviar un mensaje a un empleado específico solicitando una transferencia urgente o información de índole confidencial.
Estafa 419/Príncipe Nigeriano/Estafas de pagos adelantados
Las estafas 419, del príncipe nigeriano, o de pagos adelantados son tácticas de ingeniería social usada por los hackers para engañar a sus víctimas y hacer que éstas envíen pagos por adelantado a cambio de un pago masivo o porcentaje de unos fondos que no existen.
Scareware
El scareware es un software malicioso que engaña a los usuarios para que visiten sitios web infectados con malware; este tipo de ataque se presenta en forma de anuncios o ventanas emergentes de compañías antivirus legítimas avisando que tu computadora está infectada con un virus, lo cual asusta a los usuarios y los coerce a pagar para resolver el problema de seguridad que creen tener.
Tabnabbing/Tabulación inversa
El tabnabbing es una práctica de ingeniería social mediante la cual los atacantes manipulan páginas web inactivas; esta modalidad le permite al atacante usar una página web legítima para redirigir al usuario a una página configurada por el atacante, similar a otras tácticas de ingeniería social, el objetivo es engañar a la mayor cantidad de víctimas posibles para acumular sus credenciales de ingreso a una página determinada, tal como un banco o sitios de compras en línea.
Correos Spam
El correo spam se define como los mensajes no deseados que reciben miles de usuarios de forma masiva; la mayoría de estos mensajes tienen fines publicitarios. Sin embargo, los piratas informáticos aprovechan estos flujos de correo para enviar mensajes con enlaces, incentivos u ofertas fraudulentas. En ocasiones el solo abrir dicho correo electrónico puede infectar tu sistema o provocar la descarga de ransomware en tu computadora.
Honeytrap
Una honeytrap es una modalidad de estafa que se vale de las necesidades de relaciones románticas o intimidad para obtener beneficios personales o financieros; en la mayoría de los casos, este ataque se lleva a cabo en sitios o aplicaciones de citas para encontrar víctimas, robar su dinero y acceder a su información confidencial.
BEC (Accesos a correos electrónicos empresariales)
Los accesos a correos electrónicos empresariales (o BEC según sus siglas en inglés) son un esquema de phishing usado por piratas informáticos, valiéndose de cuentas comerciales reales o falsificadas con el fin de defraudar a una empresa. El atacante se hace pasar por una fuente confiable o una figura de autoridad, tal como el CEO de una empresa, para engañar a sus empleados y hacer que estos realicen grandes transferencias de fondos o hacer que proporcionen datos relevantes al funcionamiento de la organización para ser usado en futuros ataques.
Pharming
El pharming, una combinación de las palabras en inglés “phishing” y “farming”, es una táctica de ingeniería social que redirige a los usuarios de un sitio web específico a una versión maliciosa falseada con el objetivo de que estos entreguen sus credenciales de inicio de sesión.
Hackeo de correo electrónico
La piratería o secuestro de correos electrónicos es una amenaza usada por actores maliciosos para obtener acceso a cuentas de correo electrónico de forma no autorizada. El objetivo de este ataque es robar información para cometer fraude, ya que con esta modalidad los atacantes pueden enviar correos maliciosos a todos sus contactos; este tipo de ataque se caracteriza por ser el punto de partida para otros tipos de ataques, tales como suplantación de identidad o apropiación de cuentas.
Acceso Tailgating
La diversidad de tácticas de ingeniería social es amplia, pero ¿es posible ser víctima de ataques de ingeniería social en persona? El tailgating es una técnica usada por los actores maliciosos para acceder a áreas restringidas dentro de un edificio; bajo esta modalidad los atacantes se valen de diferentes tácticas para ejecutar su ataque, como pedir a alguien que sostenga la puerta, o usar pretextos para obtener acceso.
Baiting
El baiting es un proceso de ingeniería social mediante el cual los estafadores engañan a sus víctimas haciéndoles revelar información personal y financiera a cambio de algo; bajo esta modalidad lo más común es recibir un mensaje de correo que ofrece una giftcard a cambio de hacer clic en un enlace para completar un formulario de encuesta.
Suplantación de DNS
La suplantación del DNS es un ataque que altera el registro del nombre de un dominio para redirigir a los usuarios a un sitio web fraudulento que luce exactamente igual al destino previsto, en el cual el atacante solicita a la víctima que inicie sesión, lo que le da la oportunidad de robar sus datos o credenciales de acceso.
Pretexto
El pretexting es un ataque de ingeniería social que engaña a las víctimas haciendo que divulgue datos confidenciales; bajo esta forma de ataque se crea un escenario fabricado en el que el pirata informático finge ser una fuente legítima o conocida. Esta modalidad permite un acceso más directo a los datos de la víctima ya que se vale del medio físico, mientras el atacante se hace pasar por un vendedor o repartidor.
Ingresos físicos
Los ingresos no autorizados conllevan al robo físico de documentos confidenciales, así como otros objetos de valor, como unidades USB y computadoras; esta clase de ataques físicos son causadas por accesos no autorizados a las instalaciones de la empresa.
Ataques de abrevadero
Un ataque abrevadero es una amenaza mediante la cual un atacante se dirige a un grupo de usuarios para infectar el sitio donde hacen vida los miembros del grupo. La finalidad del atacante es infectar las computadoras de las víctimas y acceder a sus recursos en la red.
Quid pro quo
El Quid Pro Quo es una técnica de ingeniería social mediante la cual lo los atacantes hacen falsas promesas para atraer a sus víctimas y hacer que estas divulguen datos confidenciales; por ejemplo, puedes recibir una llamada de alguien haciéndose pasar por un representante de ventas o un proveedor de servicios de confianza.
Robo con desvío
Los robos con desvío son ataques que se llevan a cabo en el mundo real, que han hecho su transición a las modalidades en línea; con esta táctica los atacantes secuestran entregas y las desvían a una ubicación distinta de su destino original. Los estafadores también se valen de esta táctica para atraer a sus víctimas y hacer que revelen información confidencial.
El efecto de la ingeniería social en una empresa u organización plantea una seria interrogante: ¿Cómo podemos prevenir y evitar este tipo de ataques?
Cómo prevenir ataques de ingeniería social
La ingeniería social es algo de lo que cualquiera puede ser víctima, por lo que es necesario que la mayor cantidad posible de gente aprenda a evitar este tipo de estafas. La ingeniería social también representa un peligro para la seguridad empresarial, por lo que es vital priorizar métodos de prevención como componente central de tu plan de seguridad cibernética.
Empresas y organizaciones necesitan adoptar un enfoque holístico que combine herramientas de seguridad sólidas y sofisticadas, junto a protocolos y capacitación periódica para crear conciencia cibernética en todo el personal y los ejecutivos. A continuación, te mostramos las medidas más eficientes que puedes implementar para contrarrestar los riesgos de ingeniería social.
Políticas y Protocolos de Seguridad
Las políticas y protocolos de seguridad deben ser parte integral de tu plan de seguridad cibernética, ya que estas medidas dictan a tus empleados cómo acceder y tratar de forma segura los recursos de la organización, tales como el correo electrónico, los dispositivos móviles de la empresa y las contraseñas de acceso a los sistemas; vale tener en consideración las siguientes prácticas:
Cumplimiento de Autenticación de 2 factores o Autenticación Multifactor
Las políticas y protocolos de seguridad sólidos de una empresa u organización empiezan con la aplicación de sistemas de autenticación de dos o múltiples factores, ya que estas fortalecen la seguridad de tu organización al solicitar inicios de sesión con algo más que un nombre de usuario y contraseña a todos tus empleados; con 2FA o MFA, los atacantes de ingeniería social no pueden acceder a las cuentas de su empresa, incluso si tienen los detalles de inicio de sesión principal.
Cambios de contraseña frecuentes e higiene de contraseñas
Practicar higiene de contraseñas debería ser obligatorio en todo lugar de trabajo respetable; te recomendamos establecer una política que obligue a tus empleados a cambiar sus contraseñas con frecuencia. Estos deben recibir instrucciones para establecer una contraseña segura que sea difícil de adivinar para cualquier atacante. Ten presente que una contraseña segura abarca letras mayúsculas y minúsculas, números y símbolos especiales, está de más resaltar que es necesario que todas las contraseñas para cuentas esenciales deben ser diferentes.
Pruebas de ataques de infiltración
Las pruebas regulares de ataques de infiltración son una parte clave para la defensa de tu seguridad general, ya que te permite encontrar brechas o debilidades en este; estos escenarios incluso te permiten simular un ataque del mundo real para evaluar el comportamiento de tus empleados antes estos, mientras visualizas tu red en busca de vulnerabilidades. Esto te permite, eventualmente, adoptar un enfoque proactivo para evaluar y mejorar tu red e infraestructura IT.
Formación de los empleados
Ya hemos mencionado como la ingeniería social se aprovecha del error humano para comprometer las redes de cualquier empresa, esto hace que sea esencial incluir a tus empleados en su plan de seguridad, ya que ellos son la primera línea de defensa. La capacitación en defensa contra la ingeniería social debe ofrecer a tu personal todas las herramientas relevantes que les permitan identificar amenazas informáticas, para protegerse y salvaguardar los intereses de la organización. Siempre es recomendable programar reuniones mensuales donde se discutan técnicas de ingeniería social con sus empleados con la presencia de un experto en seguridad.
Gestión de dispositivos
La gestión adecuada de dispositivos móviles es un componente vital de las medidas de prevención contra la ingeniería social. Los empleados que usen dispositivos móviles de la empresa deben usar contraseñas seguras y mantener un software antivirus instalado y actualizado en todo momento.
También te recomendamos implementar estrictas políticas BYOD (traiga su dispositivo) que estipulen la forma en la que tus empleados usen sus dispositivos en la oficina o cuando trabajan desde casa.
Marco de gestión de riesgos de terceros
Las organizaciones que dependen de proveedores externos pueden sufrir daños a su reputación derivadas de las acciones de terceros; aunque no es reglamentario, las organizaciones necesitan un marco de gestión de terceros. Plantea esta iniciativa en tu plan de seguridad, ya que esto te ayudará a tener mayor control sobre tus flujos de comunicación y te permite obtener información valiosa sobre la mitigación de los riesgos que surgen de las relaciones comerciales externas.
Detección de filtraciones de datos
Las filtraciones de datos exponen información confidencial de tu compañía, tales como detalles de inicio de sesión, información de tarjetas de crédito y direcciones de correo; ten presente que los ingenieros sociales pueden comprar esta información de la dark web para llevar a cabo sus ataques de phishing u otros tipos de intrusiones por correo electrónico. Por ese motivo las organizaciones deben implementar una solución para la prevención de pérdida de datos (DLP, según sus siglas en inglés) y así evitar que los dispositivos filtren datos confidenciales.
Conclusión
La ingeniería social es uno de los ataques cibernéticos más frecuentes que amenazan la seguridad de empresas y organizaciones, por lo que estás junto a sus empleados deben mantenerse al corriente y entender el impacto negativo de los ataques exitosos. Ten presente que esto puede ir más allá de la pérdida de datos, ya que también puedes enfrentar efectos agravantes, tales como pérdidas financieras e incluso daños que afecten la continuidad de tu negocio.
Comprender cómo trabajan los ingenieros sociales y que es lo que quieren, es el primer paso para la prevención de la ingeniería social; asegúrate de implementar políticas de seguridad estrictas y educa a tu personal para que sepan cómo identificar técnicas de ingeniería social, y así prevenir este tipo de ataques. Tu plan de seguridad en línea también debe incluir pruebas de infiltración frecuentes y planes de gestión de riesgos de terceros.