La ingeniería social tiene un alcance bastante amplio en la actualidad y los actores maliciosos continúan ideando nuevas formas de atraer más víctimas a sus trampas; una de las tácticas más comunes es el baiting o cebo.
¿Qué es baiting en la seguridad cibernética? Te mostramos un par de ejemplos:
“Felicitaciones, eres el afortunado ganador de un iPhone 13. Haz clic en este enlace para reclamarlo”.
“Descargue la versión premium de Adobe Photoshop por $69. La oferta vence en dos horas”.
Si usas la internet con frecuencia, lo más probable es que te hayas encontrado con este tipo de mensajes en más de una ocasión. Lo mejor que puedes hacer es no interactuar con este tipo de mensajes ya que no son más que una forma de cebo, una táctica de ataque de ingeniería social que compromete la seguridad de la red de tu organización.
En este artículo vamos a analizar diversos ataques de ingeniería social que se valen del cebo, sus técnicas, ejemplos y métodos de prevención.
¿Qué es Baiting en la seguridad cibernética?
A diferencia de otros tipos de ingeniería social, el baiting promete algo tal como un producto, artículo o recompensa para atraer a sus víctimas, y así infectar sus sistemas con malware para después robar su información confidencial.
Esta táctica de ingeniería social es increíblemente manipuladora y por lo general se vale de ofertas tentadoras, tales como descargas gratuitas de música, películas, o software, premios costosos, o incluso descuentos en descargas de software premium.
Los ataques de baiting no se limitan al mundo digital; también pueden ocurrir en el mundo real; uno de los ataques de cebo más comunes que no son en línea, es a través de medios de almacenamiento físico como unidades USB y laptops. Los atacantes pueden dejar estos dispositivos a disposición de alguien de forma casual en un lugar abierto para que sus potenciales víctimas los usen.
En un experimento controlado, la Universidad de Michigan, la Universidad de Illinois y Google descubrieron que entre el 45 % y el 98 % de las personas que consiguen unidades USB las conectan a sus dispositivos de forma casual para satisfacer su curiosidad.
Técnicas de ataque baiting
El baiting o cebo se alimenta de la curiosidad y la codicia humana, y a los piratas informáticos se les hace muy fácil explotar nuestras flaquezas usando diversas tácticas. A continuación, te mostramos los métodos de ataque de cebo más comunes que debes tener en cuenta.
Ofertas tentadoras
Los criminales informáticos tienen muchísimo éxito usando ofertas tentadoras para atraer a sus víctimas; estos envían ofertas atractivas a sus objetivos a través de anuncios, redes sociales, correos o contenido descargable gratuito. Generalmente ofrecen acceso a música, películas, juegos y software gratuitos, por lo que este tipo de ofertas suelen ser difíciles de resistir.
Dispositivos infectados con malware
Otra forma en la que los piratas informáticos ejecutan sus ataques de baiting es a través de dispositivos USB o unidades de almacenamiento infectadas con malware. Con solo dejar el dispositivo en un lugar accesible, tal como el vestíbulo de la empresa o en una oficina de recepción dan inicio al ataque. Una vez que el empleado inserta la unidad flash en su sistema, automáticamente instala malware en la computadora e infecta la red de la organización.
El atacante fácilmente puede disfrazarse de empleado y conectar la unidad USB en la computadora del objetivo cuando nadie lo está mirando.
¿Por qué el baiting es eficiente?
El baiting o cebo es eficiente porque explota la naturaleza humana: la codicia natural y la curiosidad. La gente se emociona con la antelación de recibir cosas gratis, descuentos o incluso ofertas especiales, sobre todo si estas suenan muy buenas para ser verdad.
Para un empleado de una empresa grande, ser engañado por un ataque de cebo puede causar problemas masivos para toda la organización en la que trabaja. Como empleado es necesario aprender a reconocer los múltiples trucos de los estafadores y protegerse para evitar convertirse en una víctima de ataques de cebo.
Ejemplos de cebos
La mejor manera de entender cómo funciona el cebo es familiarizarse con los ejemplos, de esta forma aumentamos las posibilidades de prevenirlo. Los delincuentes informáticos pueden ejecutar ataques de múltiples formas, tanto en línea o fuera de esta.
Puedes recibir un correo o un mensaje de texto de una fuente desconocida diciéndote que te has ganado un premio de lotería, y sólo necesitas enviar tu información personal para reclamar el premio, lo cual es exactamente lo que buscan los delincuentes informáticos.
En algunos casos, los atacantes pueden combinar diferentes tácticas para llevar a cabo sus planes maliciosos; un ejemplo clásico es cuando un ciberdelincuente le dice a su víctima que perdieron la recepción de un paquete. En este caso, el atacante recurre a la “basura digital” para obtener información sobre tu casa y tu dirección.
El atacante puede ir más allá y visitar tu hogar para colgar una etiqueta en la puerta anunciando la “pérdida de la entrega». La etiqueta suele tener un número de teléfono local, lo cual sirve para disparar la curiosidad natural para marcar el número y confirmar la entrega.
Si continúas con la estafa, la persona que te atiende te envía un enlace para verificar tu información. Este enlace puede usarse para recolectar tu información, o también para cargar malware en tu computadora.
Cómo detectar ataques baiting
El escepticismo en dosis saludables y la atención plena a todos los mensajes que reciben pueden prevenir los ataques de cebo; estos son algunos consejos prácticos para prevenirlo:
- Aprende ser un poco más escéptico con todo lo que recibes en línea, particularmente cualquier oferta que sea demasiado buena para ser verdad
- Usa software antivirus y antimalware en todas las computadoras de tu empresa para detectar actividad maliciosa
- No uses dispositivos externos antes de comprobar si contienen malware
- Configura medidas de seguridad para tu red que estén adecuadas para detener este tipo de incidentes antes de que sucedan
4 Consejos para Evitar el Baiting en Seguridad Cibernética
La curiosidad y la codicia humana son cualidades inevitables: a todos nos gusta una buena oferta o un regalo tentador; sin embargo, debemos tener cuidado para evitar convertirnos en víctimas de ataques de cebos. Las organizaciones y empresas deben implementar diferentes medidas para ayudar a contrarrestar este tipo de ataques, ya que un solo ataque exitoso puede causar graves perjuicios a nivel financieros, así como pérdidas y daños a nivel de reputación. A continuación, te presentamos algunos consejos para evitar los ataques de cebo a nivel de seguridad cibernética:
Mantente alerta
Se prudente con las comunicaciones que te presionan a actuar al instante, ya que los atacantes se valen del sentido de premura o urgencia para manipular tus emociones. Disminuye la velocidad ante este tipo de mensajes y piensa muy bien antes de reaccionar o llevar a cabo cualquier acción; un buen ejemplo de esto son ofertas que expiran en pocos minutos.
Los criminales informáticos pueden compartir enlaces a través de correos electrónicos, tweets, publicaciones y mensajes de texto con el fin de comprometer tus sistemas o atraer a sus víctimas y hacer que éstas revelen información confidencial. Si un enlace o mensaje te parece sospechoso, mejor será no activarlo.
Aumenta la conciencia cibernética de tus empleados
La ignorancia aumenta ampliamente las posibilidades de caer presa de ataques de cebo u otros métodos de ingeniería social; es imposible prevenir algo de lo que no eres consciente, por lo que la mejor manera de proteger tu empresa contra los ataques de cebo u hostigamiento es educarte a ti mismo y a tus empleados sobre las tácticas de baiting y cómo prevenirlas.
Puede hacerlo a través de seminarios de capacitación y talleres para enseñar a los empleados lo siguiente:
- Cómo reconocer un mensaje de advertencia legítimo, una alerta o un correo engañoso y denunciarlo a las autoridades de investigación adecuadas
- Qué hacer cuando le dan clic a un enlace malicioso
- Cómo mantener una buena higiene de contraseñas, incluida la configuración de contraseñas seguras y el uso de una clave de acceso único para cada cuenta
No sigas enlaces a ciegas
Cuando recibas un mensaje que incluya un enlace, verifícalo dos veces antes de activarlo. ¿Sabes de dónde viene? Si no sabes a dónde te dirigirá el enlace, es mejor no darle clic.
Una de las mejores prácticas es pasar el mouse sobre el enlace para ver a dónde te envía; si dudas de la legitimidad, puedes usar nuestra herramienta gratuita para la verificación de URLs.
Lleva cabo ataques simulados organizados.
Las organizaciones deben llevar a cabo ensayos de ataques de cebo y phishing para medir y conocer el nivel de conciencia de sus empleados. Puedes intentar dejar unidades USB en un lugar abierto donde tus empleados puedan verlas para saber quién caerá en la trampa.
Además, las empresas u organizaciones pueden simular ataques de phishing en tiempo real para enseñar a los empleados qué hacer en caso de enfrentar esta contingencia.
Usa software antivirus
En ocasiones los piratas informáticos combinan sus ataques de cebo con phishing para comprometer tus sistemas y obtener acceso a información confidencial. La instalación y actualización de su software antimalware, así como soluciones antivirus son clave para evitar que el malware entre en correos phishing.
Desde la óptica comercial, si un virus se propaga y expone los datos personales de tus clientes o envía correos no solicitados a tus contactos, la reputación de tu empresa puede verse gravemente afectada; más vale prevenir que lamentar, así que procura tener un sistema diseñado para prevenir ataques de virus.
Pensamientos finales
Al igual que otros ataques de ingeniería social, el baiting o cebo, y el hostigamiento son problemas graves que amenazan a personas, empresas y organizaciones. Un ataque de cebo exitoso puede dañar la reputación de una empresa, causar pérdidas financieras o incluso arruinar un negocio.
Las empresas deben llevar a cabo programas de seguridad cibernética de forma regular para enseñar a su personal cómo detectar y manejar el cebo, así como otros ataques de ingeniería social para mitigar el daño que puedan causar. Las tácticas de los piratas informáticos están en constante evolución, por lo tanto, las organizaciones tienen el deber de mantener redes de comunicación abierta entre el departamento de seguridad y los empleados de la empresa.