A medida que las defensas y la seguridad de las empresas y organizaciones se vuelven más sólidas, los criminales cibernéticos buscan nuevas formas de usar la ingeniería social y explotar el perenne eslabón débil de cualquier cadena de seguridad: el ser humano.
Los robos de distracción y desvío a través de la ingeniería social es una de más de las muchas técnicas que utilizan estos seres sin escrúpulos para manipular a sus víctimas, sigue leyendo y podrás obtener más información al respecto, así como datos que te ilustran cómo funciona y los mejores consejos para prevenir este tipo de ataque.
Nos toca definir, ¿qué son los robos de desvío?
¿Qué son los robos de desvío?
Los robos de diversión y desvío son una táctica de ingeniería social usada para la manipulación psicológica, que generalmente comienza como un ataque externo, donde el atacante hace uso de una empresa de mensajería o entregas para que vaya a un sitio de entregas o recolección erróneo.
Este tipo de ataque también se le conoce con el nombre de «juego a la vuelta de la esquina» o «juego de la esquina» y se originó en el East End de Londres, mucho antes de la existencia de la Internet.
¿Cómo funcionan los robos de desvío?
Los robos de desvío pueden ocurrir en línea o en el mundo real, aunque en la actualidad se comete comúnmente en línea debido a los avances tecnológicos que lo facilitan; los delincuentes pueden ejecutar el ataque sin tener que acceder a la red, independientemente de cómo se lleve a cabo, el robo de desvío es la intercepción de una transacción.
Si el robo se lleva a cabo sin usar la internet, la camioneta que transporta la mercancía solicitada puede ser dirigida a una ubicación diferente a la dirección real del atacante. Este posiciona a quien lo asiste en la nueva ubicación, quienes luego tendrán acceso a los bienes que pueden ser sustituidos o robados.
La introducción de la red ha hecho que el robo de desvío valiéndose de la ingeniería social sea aún más fácil. Los estafadores se esfuerzan continuamente para acceder a la información sobre los artículos que pides en línea, la data que necesitan es poca: puede ser la fecha de entrega, la dirección donde se recibe el paquete, o el artículo a entregar. Con esta información, los atacantes se pueden hacer pasar por un repartidor para suministrar paquetes falsos y luego esperar para recibir la encomienda real.
Los atacantes también usan el robo de desvío en línea para engañar a sus víctimas y pedirles que envíen información, estos se valen de técnicas de ingeniería social, pretextos y phishing (incluidas sus variantes, tales como el whaling o el phishing selectivo).
Ejemplos de robo de desvío
Para contrarrestar el ataque, es útil familiarizarse con diversos ejemplos de robo de desvío, recuerda que el atacante tiene como objetivo robar bienes e información confidencial, o quiere que se entreguen bienes a direcciones falsas.
Si solicitas una laptop, el atacante puede interceptar tu pedido y entregarte una máquina infectada con malware. Esto es una ganancia doble para el estafador: primero, obtiene una laptop completamente nueva, y además puede espiar a su víctima para robar datos confidenciales.
Fuera de la red, el robo de desvío tiene un perfil más alto, en casos extremos, puede involucrar productos farmacéuticos, o materiales de alto riesgo, y los criminales resultan ser extremistas o representantes de organizaciones terroristas. Aclarado este punto, es necesario resaltar que tanto los individuos como las pequeñas empresas corren el riesgo de convertirse en víctimas de este ataque de ingeniería social.
¿Por qué son efectivos los robos de distracción y desvío?
Los robos de desvío sólo pueden ser efectivos con tácticas de ingeniería social de amplio espectro; los robos de desvío en la vida real solo tienen éxito si es convincente. El robo de desvío de alto perfil requiere una estrategia de ataque coordinada por parte de un grupo de personas.
El robo de desvío en línea está dirigido a una escala más personal y tiene mayor eficacia en este escenario. La mejor manera de contrarrestar este tipo de ataque es comprender cómo piensan los ingenieros sociales y sobre todo entender tus propios hábitos de consumo y compras en línea.
Cómo evitar los robos de desvío
Los robos de diversión y desvío explotan el factor humano para robar bienes y acceder a datos confidenciales. La prevención contra este ataque es posible, pero es importante entender que no existe solución única. Los consejos que te ofrecemos a continuación son esenciales para mitigar este tipo de ataques.
Confirma cualquier información con la fuente original
Si recibes un correo de un remitente legítimo que solicita información confidencial y delicada o que solicita redirigir un elemento a una nueva ubicación, tienes una señal de que algo está pasando. Es mejor que le consultes a la autoridad correspondiente antes de actuar, además, sería importante que el agente de entrega confirme la información de entrega con el destinatario antes de entregar el paquete.
El destinatario también deberá solicitar el DNI del mensajero y contactar la empresa para comprobar que el pedido es el solicitado.
Educa a tu personal
Incluso tras la implementación de medidas de seguridad sofisticadas, el factor humano todavía puede ser manipulado. En el libro “El arte del engaño”, de Kelvin Mitnick, este menciona que la seguridad es una ilusión que se intensifica a través de la ignorancia y credulidad humana.
De hecho, los robos de diversión y desvío es una táctica de ingeniería social que tiene amplio éxito en base a la ignorancia de las personas.
Con este punto aclarado, es imperativo que las empresas y organizaciones eduquen a sus empleados sobre las diversas tácticas de ingeniería social que usan los piratas informáticos para acceder a los sistemas organizativos en línea y cómo pueden evitar este tipo de ataque.
La seguridad física es primordial
El robo de diversión y desvío puede ocurrir sin necesidad de usar la red y los atacantes pueden llevarlo a cabo de múltiples formas. Por ejemplo, un atacante puede crear una distracción para obtener acceso a las oficinas y recursos de una organización.
Así como se le hace seguimiento a un vehículo de la compañía con un GPS, es importante proteger el espacio físico de tu empresa, lo cual es esencial para evitar los robos por desvío. Mientras que el primer escenario es más sutil, el segundo tiene el potencial de causar caos masivo con el objeto de obtener datos, fondos o causar daño. Con componentes de seguridad competentes activos, las empresas pueden estar atentas a quién entra a sus instalaciones y así detener las agresiones antes de que sucedan.
Conclusiones
El robo por distracción es un problema grave, particularmente cuando entran en juego la credulidad y la ignorancia de una víctima. Tanto las personas como las empresas pueden contrarrestar este tipo de ataques con tan solo mantenerse alerta, y verificando los detalles de sus entregas a la vez que aseguran sus instalaciones.
Más importante aún, toda empresa que valore sus activos deben llevar a cabo programas de concientización adecuados para la educación de su personal sobre el los robos de distracción y desvío y el impacto de estos en la continuidad del negocio.
Puedes consultar nuestra publicación sobre los tipos de ingeniería social para comprender las diversas aristas de ataque, así como las formas de prevenirlos.