Recursos

¿Cómo los criminales usan la Ingeniería Social en Internet?

 


Imagina que estás abriendo el email de tu trabajo y el primer correo en llegarte tiene como subject "Tu pareja te es infiel", y ya en el cuerpo del texto dice algo así: “Hola no quería informarte por este medio, pero tu pareja te engaña. Hace un tiempo que nos estamos viendo y me dijo que no tenía pareja. Eso me enojó mucho, por eso adjunto un álbum de imágenes como prueba”.

 

Seamos sinceros: ¿te sigues de largo y lo eliminas? ¿De veras? ¿O de plano das clic en el supuesto “álbum”?

 

Si eres del team “No lo abro, tiene todas las características de malware”, ¡felicidades! Tu empresa o tú han hecho muy bien el trabajo de prevención y concientización. Tienes una cultura de seguridad establecida que evitará que seas víctima de engaños.

 

Pero si lo pensaste por más de tres segundos o de plano tu respuesta es “No puedo con eso y abriría el supuesto álbum” (que literal se llama aqui estan las fotos para que abras los ojos de una vez por todas y no te sigan viendo lacara de idiota.zip), lo que acabas de descargar es malware que te redireccionará a un sitio web malicioso. Y entonces caíste redondo en una de las estrategias que más siguen los ciberdelincuentes para estafar a los usuarios: la ingeniería social.

 

Esta es una técnica utilizada para robar contraseñas, datos o infectar los sistemas con base en engaños. Pueden usar alertas, jugar con la rapidez, decir que hay algún problema y hay que solucionarlo y todo aquello que haga “inevitable” que des clic.

1 (1)

 

Cómo protegernos de ataques de ingeniería social

 

Sin duda lo más importante es el sentido común. Hay que evitar cometer errores que puedan comprometer nuestros datos. De este modo, nunca hay que iniciar sesión a través de un enlace que nos llega por correo electrónico, redes sociales o similares. También estar alerta de cualquier mensaje extraño, llamada o sitio web que nos solicite información.

 

En el caso del mensaje “Tu pareja te es infiel”, debes notar que se trata de algo bastante genérico, ya que no especifica a quién se refiere: novia, esposa, novio, esposo… está dirigido prácticamente para cualquiera que tenga pareja e incluso para alguien que no tenga, pero que es muy chism… curioso.

Todos estos tipos de ataques aluden a emociones que te hacen actuar impulsivamente, como el peligro, una amenaza, el amor o el despecho. La cuestión es que unos segundos fuera de ti hacen más daño que complejos códigos maliciosos creados ex profeso para atacar una organización en concreto.

 

Si lo analizas, la ingeniería social es lo más barato y rentable, pues cualquier otro recurso demanda una inversión de tiempo, recursos humanos y económicos. Por eso, la mayoría son masivos y con la menor inversión posible.

2 (1)

 

De todo  

 

Recapitulemos, la ingeniería social basa su comportamiento en una premisa básica: es más fácil manejar a las personas que a las máquinas. Para llevar a cabo este tipo de ataque se utilizan técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al ciberdelincuente.

 

Los ataques de ingeniería social usan como canal principal para su propagación el correo electrónico, gracias a su uso masivo tanto por empresas como por particulares. Pero no es la única vía de la que hacen uso los ciberdelincuentes, ya que pueden utilizar otros canales de comunicación como llamadas telefónicas, aplicaciones de mensajería y redes sociales, entre otras.

 

Los ataques de ingeniería social se pueden dividir en dos tipos, dependiendo del número de interacciones que requieran por parte del ciberdelincuente.

 

Hunting: busca afectar al mayor número de usuarios realizando una sola comunicación. Son comunes en campañas de phishing, como los realizados contra entidades energéticas o bancarias. Algunos ejemplos son un aviso de reembolso, una alerta de fraude o una campaña de phishing suplantando a la entidad de tu banco.

 

Por ejemplo, un intruso podría hacerse pasar por miembro del departamento de informática y solicitar a los usuarios que le faciliten datos, como sus nombres de usuario y contraseñas. Y sorprende la cantidad de personas que no se lo piensan dos veces a la hora de poner esa información en riesgo, sobre todo si parece que quien la solicita es alguien legítimo.

 

También son utilizados en ataques cuyo objetivo es realizar una campaña de infección por malware, como las que se llevan a cabo para realizar ataques de ransomware: como envío de falsos presupuestos en Excel como adjuntos maliciosos, oleada de correos con “facturas”, fotografías que revelarán un engaño…

 

En esta categoría también entra el SPIM (Spam over Internet messaging): mensajes de Spam que se reciben por Whatsapp, Telegram, Facebook Messenger, etcétera, y es más complicado de detectar que el spam “tradicional”.

 

Farming: los ciberdelincuentes realizan varias comunicaciones con las víctimas hasta conseguir su objetivo u obtener la mayor cantidad de información posible. Algunos ejemplos de este tipo de ataques son los que buscan infundir miedo en las víctimas por medio de supuestos videos privados o futuros ataques contra su empresa. En otros casos, como sucede en el fraude Whaling, los ciberdelincuentes suplantan a un miembro de la empresa, generalmente a un directivo de alto nivel, y utilizan diferentes técnicas de ingeniería social para conseguir su objetivo.

 

A pesar de ser múltiples y varias las técnicas utilizadas por los ciberdelincuentes para manipular a sus víctimas, suelen seguir una serie de principios básicos: respeto a la autoridad, voluntad de ayudar, temor a perder un servicio, respeto social o promesas de beneficios gratis.

3 (1)

 

¿Cómo protegerse contra los ataques de ingeniería social?

 

La mejor manera de protegerse contra los ataques de ingeniería social es formar y concienciar a los empleados. Un sistema con las medidas de seguridad y tecnologías más modernas no servirá de nada si por medio de un simple correo electrónico el ciberdelincuente consigue información confidencial muy valiosa para la empresa.

 

Para evitar ataques de ingeniería social no existe una fórmula mágica que permita su identificación. La seguridad 100% no está garantizada, pero con concientización y formación se puede tener una empresa más segura.

 

Los ataques de ingeniería social son especialmente difíciles de contrarrestar porque están específicamente diseñados para aprovechar rasgos humanos, como la curiosidad. Existen, no obstante, una serie de consejos que pueden ayudarte a detectar estos ataques de ingeniería social:

 

  • Verifica la fuente: los hipervínculos fraudulentos son fáciles de detectar con solo deslizar el cursor por encima (pero, sobre todo, no hagas clic en ellos). 

 

  • Plantéate de dónde procede la comunicación, en lugar de confiar en ella a ciegas. ¿El director ejecutivo de tu empresa te envía un correo electrónico solicitándote un montón de información de empleados concretos? Haz una pausa, sospecha y verifica, es mejor ser cauteloso a ser desempleado.



  • Salte de la espiral: los atacantes esperan que sus objetivos no reflexionen demasiado sobre lo que está sucediendo y, cuando eso empieza a pasar, desisten.

 

1. Utiliza un método de comunicación distinto para comprobar la credibilidad de la fuente. 


2. Evita compartir un exceso de información en Internet. 

3. Si tienes un currículum online, por ejemplo, plantéate si te conviene indicar tu dirección postal, número de teléfono y fecha de nacimiento, ya que todo ello es información de utilidad para cualquiera que esté planeando perpetrar un ataque de ingeniería social. 

4. Usa un buen filtro antispam.

5. Protege tus dispositivos.

6. Mantén el software antimalware y antivirus actualizado. 

7. No utilices la misma contraseña para distintas cuentas.

 

Recuerda que la ciberseguridad es clave y un diferenciador importante para mantener a tus clientes, crear nuevas oportunidades de negocio, darle la continuidad de operación o entrega de servicios. Ten un plan ante cualquier eventualidad y suma a cualquier estrategia de negocio el componente de seguridad, no como un gasto, sino como parte de la inversión. 

 

Un tercero también puede sumarse a esta ecuación cuando no cuentas con el personal adecuado, y esa es la mejor forma de encontrar un balance, pues el cibercrimen va a seguir creciendo debido a que es un negocio redondo, es difícil de detectar y las leyes no permiten un ataque frontal.

 

Nuestra experiencia de casi 20 años, personal, clientes y certificaciones son nuestras mejores cartas de presentación. Danos la oportunidad de conocernos mejor y hagamos de la seguridad un valor agregado para tus clientes. Conversa con un experto.