Los ataques de ingeniería social son el delito más común en esta era digital. Desafortunadamente la falta de educación y la desinformación sobre este tipo de ataques también es masivamente común. En la actualidad es más importante que nunca estar informado sobre estos ataques si deseas proteger tu información personal. ¿Qué medidas puedes tomar para protegerte? ¿Cuáles son las señales de advertencia que sugieren que eres un blanco fácil para los piratas cibernéticos? ¡Sigue leyendo y aprenderás todo lo que necesitas saber sobre ingeniería social!
¿Qué es la Ingeniería Social?
La ingeniería social es un conjunto de acciones llevadas a cabo por atacantes cibernéticos con la finalidad de afectar el funcionamiento de una empresa o impactar de forma negativa a un individuo. Estas acciones maliciosas se llevan a cabo por parte de estafadores y piratas en línea. Toda víctima de ataques de ingeniería social son personas que han sido manipuladas psicológica y emocionalmente para revelar múltiples datos e información personal que los colocan en una posición riesgosa.
Los ingenieros sociales son actores maliciosos que investigan a fondo a sus víctimas para recopilar toda la información posible sobre sus hábitos en línea y los protocolos de seguridad que aplican con sus datos para encontrar puntos débiles y puntos de entrada. Las razones más comunes detrás de los ataques de ingeniería social son la interrupción y corrupción de datos con el único fin de causar caos, obtener información confidencial y beneficios financieros.
Estos ataques explotan repetidamente la confianza de sus víctimas, así como su ingenuidad y su desconocimiento del manejo apropiado de información confidencial. Los ataques de ingeniería social tienen un poderoso componente psicológico, por lo tanto es muy importante evitar debilidades conductuales y tener cuidado al recibir mensajes de índole sospechosa, ya sean correos electrónicos, mensajes de texto o llamadas telefónicas.
Las 5 mejores tácticas de ingeniería social
Los estafadores en línea y demás tipos de piratas informáticos siempre están a la vanguardia con nuevas y mejoradas técnicas de ataque para aprovecharse de víctimas inocentes y explotarlas para sus agendas personales. A pesar de las numerosas técnicas de ingeniería social que existen, cinco de ellas se destacan por ser muy comunes en la actualidad.
Las cinco técnicas principales de ingeniería social son:
- La suplantación de identidad
- El abrevadero
- Los ataque tipo ballena
- Pre-textos
- Ataques de cebo y quid-pro-quo
La suplantación de identidad
Los ataques de phishing usualmente se llevan a cabo a través de mensajes SMS, redes sociales, o correos electrónicos. Estos ataques engañan a las víctimas para que accedan a un sitio web con un enlace falso con el fin de obtener información o datos personales. Posteriormente los atacantes se aprovechan de sus víctimas a través de manipulación emocional, ya sea pidiendo ayuda, o a través de la extorsión.
Un método común de ataque a través de la suplantación de identidad es ganarse la confianza de la víctima haciéndose pasar por una organización establecida mediante el uso de sus logotipos, diseños y estructuras de los correos, imágenes, dominios y estilos de redacción. Este método de ataque es la forma de ingeniería social más explotada por los atacantes.
Las técnicas de phishing que usan para ingeniería social son altamente efectivas, ya que los atacantes cibernéticos envían mensajes fraudulentos usando direcciones de correo electrónico que parecen ser del mismo nombre del dominio de la entidad por la que se hacen pasar. El vacío legal que utilizan es fácil de explotar, por lo que miles de empresas se ven afectadas cada año ya que no son capaces de autenticar el origen de sus correos electrónicos. Una simple búsqueda de registros DMARC te puede indicar si tu organización está en riesgo.
Señales que revelan un ataque de phishing:
- El atacante envía un correo o mensaje afirmando falsamente que ha detectado una actividad sospechosa o intentos de inicio de sesión en tu cuenta o dispositivo.
- También pueden usar la excusa de que existe un error con tus datos de pago o tu cuenta bancaria.
- Los correos electrónicos o mensajes de texto que te son enviados incluyen facturas por servicios falsificadas.
- Se te solicita confirmar información personal o confidencial.
Ataques de abrevadero
Los ataques de abrevadero suelen ser realizados por expertos en informática. Estos ataques se llevan a cabo cuando el usuario descarga un archivo adjunto con malware o interactúa con código malicioso desde un sitio web legítimo. En ocasiones estos expertos pueden dirigir sus ataques contra software vulnerable de uso frecuente por parte de sus objetivos, como por ejemplo un sitio web que visitan a diario. Este tipo de ataques toma meses en término de coordinación y manejo de información ya que los estafadores trazan rutas de tiempo detallando cómo pueden lanzar el ataque.
Debido a la naturaleza de los ataques de abrevadero y al hecho de que los llevan a cabo piratas informáticos altamente capacitados, generalmente luego de una planificación minuciosa, no hay señales de advertencia que indiquen en qué momento serás atacado. Ten en cuenta que estos ataques están dirigidos a grupos de usuarios, no a individuos. El ataque SolarWinds, el cual fue uno de los ataques cibernéticos más sofisticados de los últimos años, necesito que al menos 18.000 usuarios descargasen un software con el malware escondido en su código.
Ataques tipo ballena
Los ataques de ballena son una forma de phishing, con la que los atacantes tienen como objetivos a personas con acceso privilegiado a ciertos sistemas o información con particular valor específico. Algunas de las víctimas más comunes de este tipo de ataques son ejecutivos de alto rango y administradores de redes corporativas. Estos ataques también son llamados comúnmente “spear phishing,” ya que se llevan a cabo siguiendo procesos de recolección de datos meticulosos para garantizar el éxito en la captura de víctimas.
Señales de advertencia de ataques tipo ballena:
- Un estafador que lleva a cabo un ataque de ballena usa frecuentemente un dominio similar a uno con buena reputación. Las diferencias serán apenas perceptibles y muy sutiles.
- ¿El nombre de dominio tiene un registro reciente? Es preferible sospechar y tomar previsiones.
- Los mensajes sospechosos incluirán cierta terminología clave como «transferencias bancarias» o «pago inmediato requerido».
Pretextos
Los estafadores que usan esta técnica de ingeniería social crean una identidad falsa para influir en sus objetivos y hacer que divulguen información personal. Algunos ejemplos de pretextos incluyen atacantes fingiendo ser proveedores de servicios de IT que solicitan detalles para inicios de sesión y contraseñas en ciertas páginas o entidades financieras. Por lo general este tipo de ataque se enfoca en acceder a credenciales bancarias.
Señales de advertencia de pre-textos:
- Puedes recibir mensajes sospechosos que solicitan verificar tu información personal, y datos tales como tu residencia, tu fecha de nacimiento, o incluso tu número de cuenta bancaria.
- El estafador generalmente intenta iniciar una conversación con frases casuales tales como «¿Está disponible?» para construir una buena relación. El propósito de esta táctica es hacerte bajar la guardia, e incrementar su susceptibilidad a lo que vienes después.
- También puedes recibir un mensaje con una solicitud personal de alguien conocido, pero con quien no sueles estar en contacto, como por ejemplo el director ejecutivo de tu sitio de trabajo. Estos mensajes a menudo te solicitan hacer algo con urgencia, y el directivo se justifica diciendo estar ocupado en una reunión o viaje de negocios.
Ataques de cebo y quid-pro-quo
Los ataques de cebo involucran atacantes cibernéticos que ofrecen a las víctimas información útil, como una actualización de software o un drive USB portátil infectado.
Los ataques de quid-pro-quo son muy similares a los ataques de cebo, siendo la principal diferencia que con estos ataques, los criminales cibernéticos ofrecen realizar una acción que beneficia a la víctima. Para poder recibir este ofrecimiento, se le pide a las víctimas que realicen una acción particular a cambio. Un ejemplo de cómo se llevan a cabo este tipo de ataques quid-pro-quo es llamar a múltiples extensiones de una empresa, pretendiendo ser un empleado del equipo IT de la empresa y dirigiéndose a la persona con requerimientos de soporte.
Señales de advertencia de ataques de cebo y quid-pro-quo:
- Recibes una oferta engañosa que te invita a descargar archivos adjuntos de la nada, muchas de estas ofertas parecen demasiado buenas para ser verdad.
- Dichas “ofertas» también salen en formas de publicidad en tus redes sociales y diversos sitios web que visitas frecuentemente en Internet.
- Recibes una llamada de alguien que dice ofrecer una mejora en un servicio que ya posees o haciéndose pasar por soporte IT.
Cómo protegerse contra los ataques de ingeniería social
Existen múltiples medidas a nivel práctico que evitan que tu o tu computadora se vean afectados o con tu seguridad comprometida. La mejor prevención es adoptar un comportamiento correcto al estar en línea. Puedes empezar identificando las palancas psicológicas utilizadas por los atacantes que usan la ingeniería social:
- Urgencia: ¿la persona con la que interactúas está actuando fuera de los hábitos o las formas usuales en términos privados y laborales?, ¿Plantea circunstancias inusuales que requieren medidas inmediatas? Es mejor que te tomes un momento, hagas una pausa y analices la situación.
- Empatía: Muchos estafadores cibernéticos se aprovechan de un complejo de salvador al interactuar con su víctima. Ayudar a alguien que lo necesita siempre es un gran motivador. Ten en cuenta que tu juicio se ve empañado buscando esta satisfacción.
- Miedo: La posibilidad de perder dinero o ser infectado por un virus informático es una trampa común utilizada por los atacantes informáticos. Envían advertencias terroríficas que indican premura y necesidad de acción con el único propósito de acceder a tus datos.
- Codicia: Contrario del miedo, pero trabajado a nivel psicológico con un patrón similar, la codicia es una herramienta efectiva usada por muchísimos atacantes informáticos. Lo más común es anunciarte que eres el benefactor de una recompensa en línea que sale de la nada, lo cual conlleva al engaño.
- Simpatía, solidaridad y autoridad: Este catálogo de emociones se pueden utilizar para construir una buena relación con la víctima y ganar su confianza. Usualmente es tan efectivo como la imaginación del atacante lo permita. La forma de ataque más común gira en torno a nociones de inmediatez, con un fuerte incentivo mental.
Los atacantes pueden valerse de múltiples palancas a la vez, como puede verse en los ejemplos de ingeniería social en la que se plantea un intercambio de correos electrónicos con el director ejecutivo de una empresa solicitando una transferencia de dinero urgente. Ser consciente de estas dinámicas emocionales te ayudará a identificar patrones de ingeniería social.
Pasos prácticos para prevenir la ingeniería social
Alguna vez has escuchado el dicho que reza «Más vale prevenir que lamentar» y esto no deja de ser cierto en el contexto de la ingeniería social. Esto es lo que puede hacer para protegerte y no ser una víctima más:
- Identifica la fuente de los mensajes para determinar su confiabilidad.
- Rechaza solicitudes de ayuda no solicitada, no prestes atención a ofertas de ayuda de personal con el que no estás familiarizado.
- Elimina o reporta cualquier correo que incluya solicitudes de información confidencial o contraseñas.
- Configura tu filtro de correo no deseado a los niveles de seguridad más alto posibles.
- Protege el ecosistema de tu correo electrónico con una compañía de confianza, especialista en seguridad cibernética e ingeniería social tal como EasyDMARC.
- Se cauteloso y responde únicamente los mensajes de los que estás 100% seguro de su remitente.
- Asegura tus dispositivos instalando software antivirus, cortafuegos y filtros de correo electrónico.
- Responda mensajes y llamadas con la oración «¿A quién quiere informar?» como una forma de verificar la identidad del remitente.
- Ten en cuenta tu huella digital: asegúrate de que los detalles que puedan usarse para acceder a tus cuentas y toda información confidencial no sean evidentes en las redes sociales.
¡Con esto ya hemos culminado!
Aquí tienes un compendio con todo lo que necesitas saber sobre los ataques de ingeniería social. Lo que puedes hacer para protegerte mejor es ejercer mayor de vigilancia y precaución. Los estafadores y los piratas informáticos se aprovechan de gente que exhibe debilidad conductual en línea, por lo que debes estar alerta en todo momento. Lo más importante a tener en cuenta es que las medidas preventivas son clave para evitar estos ataques.