Ingeniería social

¿Qué es la ingeniería social?

La ingeniería social es un término general que describe una variedad de ciberataques que emplean tácticas psicológicas para manipular a las personas de modo que lleven a cabo una acción deseada, como suministrar información confidencial. Los ataques de ingeniería social funcionan porque los humanos pueden verse obligados a actuar por motivaciones poderosas, como el dinero, el amor o el miedo. El adversario aprovecha estas características y ofrece falsas oportunidades para satisfacer esos deseos.

Los ataques de ingeniería social más rudimentarios son una lotería: ofrece a suficientes personas la oportunidad de ganar algo de dinero extra y siempre habrá unos pocos que morderán el anzuelo. No obstante, estos ataques a menudo pueden ser bastante sofisticados; incluso alguien muy desconfiado puede acabar cayendo en la trampa.

Los ataques de ingeniería social son una gran preocupación para los profesionales de la ciberseguridad porque, independientemente de cuán fuerte sea el modelo de capas de seguridad y cuán perfeccionadas estén las directivas, un usuario aún puede ser víctima de un engaño y entregar sus credenciales a un actor malicioso. Una vez dentro, el atacante puede usar esas credenciales robadas para hacerse pasar por el usuario legítimo, ganando así la capacidad de moverse lateralmente, analizar el sistema de defensa, instalar puertas traseras, robar identidades y, por supuesto, sustraer datos.

¿Cómo funciona un ataque de ingeniería social?

Un ataque de ingeniería social puede realizarse por correo electrónico, redes sociales, teléfono o en persona. Con todo, sin importar el canal a través del cual se lleve a cabo, los métodos son consistentes. El ciberdelincuente se hará pasar por un individuo con una necesidad legítima de información, como un trabajador de TI que necesita que una persona "verifique sus credenciales de inicio de sesión" o un nuevo empleado que necesita urgentemente un token de acceso, pero que desconoce el procedimiento adecuado para adquirirlo.

Pasos de un ataque de ingeniería social

Por lo general, los ataques de ingeniería social siguen estos sencillos pasos:

1. Investigación: el ciberdelincuente identifica a las víctimas y escoge un método de ataque.
2. Interacción: el ciberdelincuente establece el contacto y comienza el proceso de ganarse la confianza de la víctima, apelando a la codicia, la empatía o la curiosidad, y creando una sensación de urgencia.
3. Ataque: el ataque comienza y el ciberdelincuente recoge la payload.
4. Huida: el ciberdelincuente oculta su rastro y concluye el ataque.

¿Por qué funcionan los ataques de ingeniería social?

Los ataques de ingeniería social funcionan porque los humanos pueden verse obligados a actuar por motivaciones poderosas, como el dinero, el amor o el miedo.

Tipos de ataques de ingeniería social

Existen muchos tipos de ataques que emplean tácticas de ingeniería social. Algunas de las más comunes son las siguientes:

1. Phishing

Un ataque de phishing es la táctica de ingeniería social más conocida. Este tipo de ataque utiliza un correo electrónico, un sitio web, un anuncio, un chat, un SMS o un vídeo para incitar a las víctimas a hacer algo. Los ataques de phishing pueden parecer provenientes de un banco, un servicio postal o una agencia gubernamental, o pueden ser más específicos y parecer provenientes de un departamento de la empresa de la víctima, como RR. HH., TI o Finanzas.

2. Baiting

Los ataques de baiting pueden atraer a la víctima con una oferta deseable, como música, juegos o tonos de llamada gratis, con la esperanza de que la contraseña que el objetivo emplea para iniciar sesión y obtener los productos digitales gratuitos sea una que haya reutilizado de sitios más importantes. Incluso si la contraseña es única, el ciberdelincuente puede venderla en la dark web como parte de un paquete, junto con otras miles.

En el ámbito corporativo, es más probable que un ataque de baiting consista en una unidad flash abandonada en un lugar visible, como una sala de descanso o un vestíbulo. Cuando la persona que encuentra la unidad la conecta a la red empresarial para comprobar a quién pertenece, esta descarga malware en el entorno.

3. Quid pro quo

Un ataque quid pro quo es una estafa de ingeniería social similar a un ataque de baiting, pero en lugar de adoptar un enfoque disperso, ataca a un individuo con una oferta de pago por un servicio. Por ejemplo, el atacante puede hacerse pasar por un investigador académico que pagará por acceder al entorno corporativo.

4. Pretexting

El pretexting es una forma de ingeniería social en la que el ciberdelincuente presentará un escenario falso (o "pretexto") para ganarse la confianza de la víctima; puede pretender ser un inversor veterano, un representante de RR. HH. u otra fuente aparentemente legítima. El pretexting juega con las emociones de la víctima mediante una sensación de urgencia, ofreciendo un trato demasiado bueno para ser verdad o tratando de ganar simpatía para estafar al objetivo.

5. Tailgating

Los ataques de tailgating son únicos, ya que se realizan únicamente en persona. Un ataque de tailgating, también conocido como ataque piggyback, ocurre cuando el ciberdelincuente se infiltra en las instalaciones pidiéndole a un empleado que le sostenga la puerta abierta. Una vez dentro de las instalaciones, el ciberdelincuente intentará robar o destruir datos e información.

Ejemplos de ingeniería social

Estafas de correo electrónico relacionadas con la COVID-19

Cuando la COVID-19 se propagó por el planeta, la gente experimentó emociones como el miedo, la incertidumbre y la esperanza, que son los principales ingredientes para elaborar una campaña eficaz de ingeniería social. Los ciberdelincuentes aprovecharon al máximo estas emociones difundiendo ataques de spam mediante correos electrónicos maliciosos (malspam) por todo el mundo.

Lee acerca de los ataques de spam mediante correos electrónicos individuales aquí: Malspam en los tiempos de la COVID-19 > 

Un atacante suplanta la identidad de CrowdStrike en una estafa de phishing

CrowdStrike Intelligence identificó una campaña de phishing de devolución de llamada en la que se suplantaban las identidades de importantes empresas de ciberseguridad; entre ellas, CrowdStrike. El correo electrónico de phishing implicaba que la empresa del destinatario había sufrido una brecha e insistía en que la víctima llamara al número de teléfono incluido en el mensaje. El objetivo de los hackers era obtener información confidencial de las víctimas.

Lee acerca de esta estafa de phishing aquí: Campaña de malware de devolución de llamada suplanta la identidad de CrowdStrike y otras empresas de ciberseguridad >

Estafa de publicidad maliciosa disfrazada de actualización de Flash

Las campañas de publicidad maliciosa de Shlayer utilizaron actualizaciones falsas de Flash y tácticas de ingeniería social para engañar a las víctimas de modo que instalaran manualmente malware para macOS y comprometieran sus sistemas. Shlayer es un tipo de malware que puede infectar rápida y discretamente el sistema de una víctima.

Lee acerca de esta estafa de publicidad maliciosa aquí: Campaña de publicidad maliciosa de Shlayer disfrazada de actualización de Flash >

Prevención de ataques de ingeniería social

El mejor modo de prevenir las amenazas de la ingeniería social es adoptar un enfoque tanto humano como tecnológico en tu estrategia de defensa.

Prácticas recomendadas para prevenir ataques de ingeniería social

La formación sobre concienciación en materia de seguridad es la mejor forma de evitar caer presa de estos engaños. Asegúrate de que tu empresa tenga un proceso implementado que permita a los empleados comunicarse con el personal de seguridad de TI si tienen algún motivo para creer que podrían ser víctimas de un ataque de ingeniería social.

Como parte de los programas de concienciación en materia de seguridad, las organizaciones deben seguir recordando a sus empleados las siguientes prácticas habituales:

• NO HACER CLIC EN ENLACES DE REMITENTES DESCONOCIDOS. Es conveniente pasar el cursor sobre ellos primero; antes de confiar, se ha de verificar.
• Evitar abrir archivos adjuntos en correos electrónicos de remitentes desconocidos.
• Ejercer cautela ante correos electrónicos o llamadas telefónicas que soliciten información de la cuenta o que pidan verificarla.
• No facilitar el nombre de usuario, la contraseña, la fecha de nacimiento, el número de la Seguridad Social, datos financieros ni otra información personal en respuesta a un correo electrónico o una llamada automatizada.
• Verificar siempre de forma independiente cualquier información solicitada que provenga de una fuente legítima.
• Comprobar siempre la dirección web de sitios web legítimos y escribirla manualmente en el navegador.
• Revisar si hay errores ortotipográficos o dominios incorrectos en un enlace (por ejemplo, una dirección que debería terminar en .gov termina en .com en su lugar).
• Antes de transferir dinero o compartir información, verificar mediante llamada de voz o videollamada.
• Estar alerta a los artículos falsificados, como productos desinfectantes y equipos de protección individual, o a las personas que venden productos que afirman prevenir, tratar, diagnosticar o curar la COVID-19.

Software para prevenir ataques de ingeniería social

Más allá del elemento humano, cada organización debe emplear una solución de ciberseguridad que aproveche las siguientes capacidades:

• Cobertura del sensor. No se puede detener lo que no se ve. Las organizaciones deben implementar capacidades que proporcionen a sus defensores una visibilidad completa de todo su entorno para evitar puntos ciegos que puedan convertirse en un refugio seguro para los adversarios.
• Inteligencia técnica. Aprovecha la inteligencia técnica, como los indicadores de compromiso (IOC), y utilízala en un administrador de eventos e información de seguridad (SIEM) con fines de enriquecimiento de datos. Esto posibilita una mayor inteligencia al realizar la correlación de eventos, lo que resalta potenciales eventos en la red que, de otro modo, podrían pasar desapercibidos. La implementación de IOC de alta fidelidad en múltiples tecnologías de seguridad aumenta la consciencia situacional, un elemento muy necesario.
• Inteligencia sobre amenazas. El consumo de informes narrativos de inteligencia sobre amenazas es un método seguro para crear una imagen vívida del comportamiento de los ciberdelincuentes, las herramientas que utilizan y las técnicas de ataque que emplean. La inteligencia sobre amenazas contribuye a la creación de perfiles de atacantes, además de al seguimiento de campañas y familias de malware. Hoy en día, es más importante comprender el contexto de un ataque que simplemente saber si el ataque en sí ocurrió; en este punto es donde juega un papel vital la inteligencia sobre amenazas.
• Threat Hunting. Comprender que la tecnología solo llevará a las organizaciones hasta cierto punto es ahora más importante que nunca. Las tecnologías de seguridad no pueden garantizar una protección completa por sí solas. Entender que la tecnología no es infalible es el primer paso para afrontar la necesidad de un Threat Hunting humano, gestionado y continuo.