Los ciberatacantes utilizan la ingeniería social, que es un tipo de ataque que tiene como objetivo el elemento humano, en lugar del sistema informático y su software. El atacante intenta engañar a una persona para que realice una acción que le permita acceder a los ordenadores de las víctimas.
Uno de los tipos más comunes de este tipo de ataque es el de hombre en el medio. Un ataque man-in-the-middle se produce cuando un atacante se hace pasar por otra persona para engañar a las víctimas haciéndoles creer que están hablando directamente entre ellas a través de protocolos de normalización como la respuesta de voz interactiva, el correo electrónico, la mensajería instantánea y las conferencias web.
El hackeo a través de la manipulación humana es más fácil de ejecutar que el hackeo directo desde una fuente externa. Este artículo analiza por qué están aumentando los ataques SE y por qué los ciberatacantes suelen utilizar estas tácticas.
¿Por qué los ciberatacantes utilizan la ingeniería social? Causas y motivos probables
Los ataques de ingeniería social son uno de los métodos más populares y eficaces utilizados por los hackers hoy en día. Estos ataques suelen aprovechar las relaciones entre personas, como la confianza y la familiaridad de los empleados, o la proximidad física entre estos y los clientes.
a. El elemento humano es el eslabón más débil de la seguridad tradicional
Los ataques tienden a ser más efectivos cuando dependen de la interacción humana, lo que significa que no hay forma de que la tecnología nos proteja de ellos.
Todo lo que un atacante necesita es un poco de información sobre los hábitos o preferencias de su objetivo y algo de creatividad en la forma de presentarse ante la víctima.
Esto hace que los atacantes consigan lo que quieren sin tener que recurrir a técnicas más complicadas, como hackear la red de una organización o entrar en los sistemas de una empresa.
b. No hay necesidad de técnicas avanzadas de hacking
Los ataques de ingeniería social utilizan la confianza de las personas para obtener acceso a un sistema o red. Estos ataques son efectivos porque es fácil para un atacante obtener acceso, en lugar de utilizar técnicas avanzadas de hacking para entrar por fuerza bruta en una red.
Cuando un atacante hace esto, suele utilizar técnicas de manipulación psicológica como el phishing, el spear phishing y el pretexting.
➜ La suplantación de identidad se produce cuando un atacante envía mensajes de correo electrónico que parecen legítimos, pero que están diseñados para engañar a los usuarios para que faciliten su información personal, como contraseñas o datos de la tarjeta de crédito.
➜ El spear phishing es cuando un atacante utiliza los mismos métodos que el phishing pero con técnicas más avanzadas, como hacerse pasar por otra persona para engañarle y que le dé su información.
➜ El pretexto se refiere a cuando un atacante utiliza pretextos para ganarse la confianza de sus víctimas antes de intentar robarles.
Una vez que los atacantes han obtenido acceso a su sistema o red, pueden hacer todo lo que quieran dentro de ella, incluyendo la instalación de programas, la modificación de archivos o incluso la eliminación de los mismos, todo ello sin ser descubiertos por un sistema de seguridad o un administrador que podría impedirles hacerlo si supieran lo que está ocurriendo dentro de su red.
c. Bucear en el contenedor es más fácil que forzar una red
La búsqueda en el contenedor de basura es el acto de recuperar información de materiales desechados para llevar a cabo ataques de ingeniería social. La técnica consiste en buscar en la basura tesoros como códigos de acceso o contraseñas escritas en notas adhesivas. La búsqueda en la basura facilita la realización de estas actividades, ya que permite al pirata informático acceder a la red sin tener que entrar en ella.
La información que los buzos desentierran puede ir desde lo mundano, como una lista de teléfonos o un calendario, hasta datos más aparentemente inocentes como un organigrama. Pero esta información aparentemente inocente puede ayudar a un atacante a utilizar técnicas de ingeniería social para acceder a la red.
Además, si un ordenador ha sido desechado, puede ser un tesoro para los ciberatacantes. Es posible recuperar información de los medios de almacenamiento, incluidas las unidades que han sido borradas o formateadas incorrectamente. Las contraseñas almacenadas y los certificados de confianza se suelen guardar en el ordenador y son vulnerables a los ataques.
El equipo desechado puede contener datos sensibles en el módulo de plataforma de confianza (TPM). Estos datos son importantes para una organización porque les permite almacenar de forma segura información sensible, como las claves criptográficas. Un ingeniero social podría aprovechar los ID de hardware en los que confía una organización para elaborar posibles exploits contra sus usuarios.
d. Aprovecha el miedo, la codicia y el sentido de urgencia de la gente
Los ataques de ingeniería social son fáciles de llevar a cabo porque se basan en el elemento humano. El ciberatacante puede utilizar el encanto, la persuasión o la intimidación para manipular la percepción de la persona o explotar su emoción para obtener detalles importantes sobre su empresa.
Por ejemplo, un ciberatacante podría hablar con un empleado descontento de una empresa para obtener información oculta, que luego puede utilizar para entrar en la red.
El empleado descontento puede proporcionar información sobre la empresa a un atacante si siente que está siendo tratado injustamente o maltratado por su actual empleador. El empleado descontento también puede proporcionar información sobre la empresa si no tiene otro trabajo y se va a quedar sin empleo pronto.
Los métodos más avanzados de hacking implicarían la irrupción en una red utilizando técnicas más avanzadas como malware, keyloggers y troyanos. Estas técnicas avanzadas requerirían mucho más tiempo y esfuerzo que simplemente hablar con un empleado descontento para obtener información oculta que pueda utilizarse para irrumpir en una red.
Los seis grandes principios de la influencia
Las estafas de ingeniería social explotan seis vulnerabilidades específicas de la psique humana. Estas vulnerabilidades han sido identificadas por el psicólogo Robert Cialdini en su libro "Influence: La psicología de la persuasión" y son:
➜ Reciprocidad - La reciprocidad es el deseo de devolver los favores en especie. Tendemos a sentirnos en deuda con las personas que nos han ayudado; sentimos que es nuestra responsabilidad ayudarlas. Por eso, cuando alguien nos pide algo -una contraseña, acceso a registros financieros o cualquier otra cosa- es más probable que accedamos si nos han ayudado antes.
➜ Compromiso y coherencia - Tendemos a hacer las cosas a lo largo del tiempo en lugar de una sola vez. Es más probable que estemos de acuerdo con una solicitud si ya hemos estado de acuerdo con una de sus partes, o incluso con varias. Si alguien ya ha pedido acceso a sus registros financieros, quizá no sea tan grave pedirlo de nuevo.
➜ Prueba social - Es una técnica de engaño que se basa en el hecho de que tendemos a seguir el ejemplo de las personas que nos rodean (también conocido como "efecto bandwagon"). Por ejemplo, los empleados podrían ser influenciados por un actor de la amenaza que presenta pruebas falsas de que otro empleado ha cumplido con una solicitud.
➜ Gusto por - Nos gusta la gente que parece estar al mando; así, un hacker podría enviar un mensaje a tu dirección de correo electrónico que parezca ser de tu jefe o de un amigo tuyo, o incluso de un experto en un campo que te interese. El mensaje podría decir algo como: "Sé que estás trabajando en este proyecto y necesitamos ayuda. ¿Podemos reunirnos pronto?". Por lo general, pide tu ayuda y, al aceptar, estás dando información sensible.
➜ Autoridad - Las personas suelen someterse a las figuras de autoridad porque las vemos como las "correctas" a las que debemos seguir y obedecer. De este modo, las tácticas de ingeniería social pueden explotar nuestra tendencia a confiar en quienes parecen tener autoridad para conseguir lo que quieren de nosotros.
➜ Escasez - La escasez es un instinto humano que está grabado en nuestro cerebro. Es la sensación de "necesito esto ahora" o "debería tener esto". Así que cuando las personas son estafadas por ingenieros sociales, sentirán una sensación de urgencia para entregar su dinero o información lo antes posible.
Personalidades que son vulnerables a la ingeniería social y por qué
Según la Dra. Margaret Cunningham, principal investigadora científica del comportamiento humano en Forcepoint X-Labs -una empresa de ciberseguridad-, la afabilidad y la extraversión son los rasgos de personalidad más vulnerables a los ataques de ingeniería social.
Las personas agradables tienden a ser confiadas, amistosas y están dispuestas a seguir instrucciones sin cuestionarlas. Son buenos candidatos para los ataques de phishing porque es más probable que hagan clic en los enlaces o abran los archivos adjuntos de los correos electrónicos que parecen auténticos.
Los extrovertidos también son más susceptibles de sufrir ataques de ingeniería social porque suelen preferir estar rodeados de otros y es más probable que confíen en los demás. Es más probable que sospechen de los motivos de los demás que las personas introvertidas, lo que podría hacer que fueran engañados o manipulados por un ingeniero social.
Personalidades resistentes a la ingeniería social y ¿por qué?
Las personas que son resistentes a los ataques de la ingeniería social tienden a ser concienzudas, introvertidas y con una alta autoeficacia.
Las personas concienciadas son las más propensas a resistirse a las estafas de ingeniería social centrándose en sus propias necesidades y deseos. También es menos probable que se conformen con las exigencias de los demás.
Los introvertidos tienden a ser menos susceptibles a la manipulación externa porque se toman tiempo para sí mismos y disfrutan de la soledad, lo que significa que son menos propensos a dejarse influir por las señales sociales o por las personas prepotentes que tratan de influir en ellos.
La autoeficacia es importante porque nos ayuda a creer en nosotros mismos, por lo que tenemos más confianza en que podemos resistir la presión de los demás o las influencias externas.
Proteja su organización de las estafas de ingeniería social con PowerDMARC
La ingeniería social es la práctica de manipular a los empleados y clientes para que divulguen información sensible que puede utilizarse para robar o destruir datos. En el pasado, esta información se obtenía enviando correos electrónicos que parecían proceder de fuentes legítimas, como su banco o su empresa. Hoy en día, es mucho más fácil falsear las direcciones de correo electrónico.
PowerDMARC ayuda a proteger contra este tipo de ataques mediante la implementación de protocolos de autenticación de correo electrónico como SPF, DKIM y DMARC p=reject en su entorno para minimizar el riesgo de suplantación directa de dominio y ataques de phishing por correo electrónico.
Si está interesado en protegerse a sí mismo, a su empresa y a sus clientes de los ataques de ingeniería social, inscríbase en nuestra prueba gratuita de DMARC hoy mismo.
- Puede Blockchain ayudar a mejorar la seguridad del correo electrónico? - 9 de mayo de 2024
- Proxies de centros de datos: Desvelando el caballo de batalla del mundo proxy - 7 de mayo de 2024
- Kimsuky explota las políticas DMARC "None" en recientes ataques de phishing - 6 de mayo de 2024