Puestos

Los ciberatacantes utilizan los ataques de ingeniería social, que son un tipo de ataque que tiene como objetivo el elemento humano, en lugar del sistema informático y su software. El atacante intenta engañar a una persona para que realice una acción que le permita acceder a los ordenadores de las víctimas.

Uno de los tipos más comunes de este tipo de ataque es el de hombre en el medio. Un ataque man-in-the-middle se produce cuando un atacante se hace pasar por otra persona para engañar a las víctimas haciéndoles creer que están hablando directamente entre ellas a través de protocolos de normalización como la respuesta de voz interactiva, el correo electrónico, la mensajería instantánea y las conferencias web.

El hackeo a través de la manipulación humana es más fácil de ejecutar que el hackeo directo desde una fuente externa. Este artículo analiza por qué están aumentando los ataques SE y por qué los ciberatacantes suelen utilizar estas tácticas.

Por qué los ciberatacantes utilizan los ataques de ingeniería social: probables causas y razones

Los ataques de ingeniería social son uno de los métodos más populares y eficaces utilizados por los hackers hoy en día. Estos ataques suelen aprovechar las relaciones entre personas, como la confianza y la familiaridad de los empleados, o la proximidad física entre estos y los clientes.

a. El elemento humano es el eslabón más débil de la seguridad tradicional

Los ataques tienden a ser más efectivos cuando dependen de la interacción humana, lo que significa que no hay forma de que la tecnología nos proteja de ellos.

Todo lo que un atacante necesita es un poco de información sobre los hábitos o preferencias de su objetivo y algo de creatividad en la forma de presentarse ante la víctima.

Esto hace que los atacantes consigan lo que quieren sin tener que recurrir a técnicas más complicadas, como hackear la red de una organización o entrar en los sistemas de una empresa.

b. No hay necesidad de técnicas avanzadas de hacking

Los ataques de ingeniería social utilizan la confianza de las personas para obtener acceso a un sistema o red. Estos ataques son efectivos porque es fácil para un atacante obtener acceso, en lugar de utilizar técnicas avanzadas de hacking para entrar por fuerza bruta en una red.

Cuando un atacante hace esto, suele utilizar técnicas de manipulación psicológica como el phishing, el spear phishing y el pretexting.

➜ La suplantación de identidad se produce cuando un atacante envía mensajes de correo electrónico que parecen legítimos, pero que están diseñados para engañar a los usuarios para que faciliten su información personal, como contraseñas o datos de la tarjeta de crédito.

➜ El spear phishing es cuando un atacante utiliza los mismos métodos que el phishing pero con técnicas más avanzadas, como hacerse pasar por otra persona para engañarle y que le dé su información.

➜ El pretexto se refiere a cuando un atacante utiliza pretextos para ganarse la confianza de sus víctimas antes de intentar robarles.

Una vez que los atacantes han obtenido acceso a su sistema o red, pueden hacer todo lo que quieran dentro de ella, incluyendo la instalación de programas, la modificación de archivos o incluso la eliminación de los mismos, todo ello sin ser descubiertos por un sistema de seguridad o un administrador que podría impedirles hacerlo si supieran lo que está ocurriendo dentro de su red.

c. Bucear en el contenedor es más fácil que forzar una red

La búsqueda en el contenedor de basura es el acto de recuperar información de materiales desechados para llevar a cabo ataques de ingeniería social. La técnica consiste en buscar en la basura tesoros como códigos de acceso o contraseñas escritas en notas adhesivas. La búsqueda en la basura facilita la realización de estas actividades, ya que permite al pirata informático acceder a la red sin tener que entrar en ella.

La información que los buzos desentierran puede ir desde lo mundano, como una lista de teléfonos o un calendario, hasta datos más aparentemente inocentes como un organigrama. Pero esta información aparentemente inocente puede ayudar a un atacante a utilizar técnicas de ingeniería social para acceder a la red.

Además, si un ordenador ha sido desechado, puede ser un tesoro para los ciberatacantes. Es posible recuperar información de los medios de almacenamiento, incluidas las unidades que han sido borradas o formateadas incorrectamente. Las contraseñas almacenadas y los certificados de confianza se suelen guardar en el ordenador y son vulnerables a los ataques.

El equipo desechado puede contener datos sensibles en el módulo de plataforma de confianza (TPM). Estos datos son importantes para una organización porque les permite almacenar de forma segura información sensible, como las claves criptográficas. Un ingeniero social podría aprovechar los ID de hardware en los que confía una organización para elaborar posibles exploits contra sus usuarios.

d. Aprovecha el miedo, la codicia y el sentido de urgencia de la gente

Los ataques de ingeniería social son fáciles de llevar a cabo porque se basan en el elemento humano. El ciberatacante puede utilizar el encanto, la persuasión o la intimidación para manipular la percepción de la persona o explotar su emoción para obtener detalles importantes sobre su empresa.

Por ejemplo, un ciberatacante podría hablar con un empleado descontento de una empresa para obtener información oculta, que luego puede utilizar para entrar en la red.

El empleado descontento puede proporcionar información sobre la empresa a un atacante si siente que está siendo tratado injustamente o maltratado por su actual empleador. El empleado descontento también puede proporcionar información sobre la empresa si no tiene otro trabajo y se va a quedar sin empleo pronto.

Los métodos más avanzados de hacking implicarían la irrupción en una red utilizando técnicas más avanzadas como malware, keyloggers y troyanos. Estas técnicas avanzadas requerirían mucho más tiempo y esfuerzo que simplemente hablar con un empleado descontento para obtener información oculta que pueda utilizarse para irrumpir en una red.

Los seis grandes principios de la influencia

Las estafas de ingeniería social explotan seis vulnerabilidades específicas de la psique humana. Estas vulnerabilidades han sido identificadas por el psicólogo Robert Cialdini en su libro "Influence: La psicología de la persuasión" y son:

Reciprocidad - La reciprocidad es el deseo de devolver los favores en especie. Tendemos a sentirnos en deuda con las personas que nos han ayudado; sentimos que es nuestra responsabilidad ayudarlas. Por eso, cuando alguien nos pide algo -una contraseña, acceso a registros financieros o cualquier otra cosa- es más probable que accedamos si nos han ayudado antes.

Compromiso y coherencia - Tendemos a hacer las cosas a lo largo del tiempo en lugar de una sola vez. Es más probable que estemos de acuerdo con una solicitud si ya hemos estado de acuerdo con una de sus partes, o incluso con varias. Si alguien ya ha pedido acceso a sus registros financieros, quizá no sea tan grave pedirlo de nuevo.

Prueba social - Es una técnica de engaño que se basa en el hecho de que tendemos a seguir el ejemplo de las personas que nos rodean (también conocido como "efecto bandwagon"). Por ejemplo, los empleados podrían ser influenciados por un actor de la amenaza que presenta pruebas falsas de que otro empleado ha cumplido con una solicitud.

Gusto por - Nos gusta la gente que parece estar al mando; así, un hacker podría enviar un mensaje a tu dirección de correo electrónico que parezca ser de tu jefe o de un amigo tuyo, o incluso de un experto en un campo que te interese. El mensaje podría decir algo como: "Sé que estás trabajando en este proyecto y necesitamos ayuda. ¿Podemos reunirnos pronto?". Por lo general, pide tu ayuda y, al aceptar, estás dando información sensible.

Autoridad - Las personas suelen someterse a las figuras de autoridad porque las vemos como las "correctas" a las que debemos seguir y obedecer. De este modo, las tácticas de ingeniería social pueden explotar nuestra tendencia a confiar en quienes parecen tener autoridad para conseguir lo que quieren de nosotros.

Escasez - La escasez es un instinto humano que está grabado en nuestro cerebro. Es la sensación de "necesito esto ahora" o "debería tener esto". Así que cuando las personas son estafadas por ingenieros sociales, sentirán una sensación de urgencia para entregar su dinero o información lo antes posible.

Personalidades que son vulnerables a la ingeniería social y por qué

Según la Dra. Margaret Cunningham, principal investigadora científica del comportamiento humano en Forcepoint X-Labs -una empresa de ciberseguridad-, la afabilidad y la extraversión son los rasgos de personalidad más vulnerables a los ataques de ingeniería social.

Las personas agradables tienden a ser confiadas, amistosas y están dispuestas a seguir instrucciones sin cuestionarlas. Son buenos candidatos para los ataques de phishing porque es más probable que hagan clic en los enlaces o abran los archivos adjuntos de los correos electrónicos que parecen auténticos.

Los extrovertidos también son más susceptibles de sufrir ataques de ingeniería social porque suelen preferir estar rodeados de otros y es más probable que confíen en los demás. Es más probable que sospechen de los motivos de los demás que las personas introvertidas, lo que podría hacer que fueran engañados o manipulados por un ingeniero social.

Personalidades resistentes a la ingeniería social y ¿por qué?

Las personas que son resistentes a los ataques de la ingeniería social tienden a ser concienzudas, introvertidas y con una alta autoeficacia.

Las personas concienciadas son las más propensas a resistirse a las estafas de ingeniería social centrándose en sus propias necesidades y deseos. También es menos probable que se conformen con las exigencias de los demás.

Los introvertidos tienden a ser menos susceptibles a la manipulación externa porque se toman tiempo para sí mismos y disfrutan de la soledad, lo que significa que son menos propensos a dejarse influir por las señales sociales o por las personas prepotentes que tratan de influir en ellos.

La autoeficacia es importante porque nos ayuda a creer en nosotros mismos, por lo que tenemos más confianza en que podemos resistir la presión de los demás o las influencias externas.

Proteja su organización de las estafas de ingeniería social con PowerDMARC

La ingeniería social es la práctica de manipular a los empleados y clientes para que divulguen información sensible que puede utilizarse para robar o destruir datos. En el pasado, esta información se obtenía enviando correos electrónicos que parecían proceder de fuentes legítimas, como su banco o su empresa. Hoy en día, es mucho más fácil falsear las direcciones de correo electrónico.

PowerDMARC ayuda a proteger contra este tipo de ataques mediante la implementación de protocolos de autenticación de correo electrónico como SPF, DKIM y DMARC p=reject en su entorno para minimizar el riesgo de suplantación directa de dominio y ataques de phishing por correo electrónico.

Si está interesado en protegerse a sí mismo, a su empresa y a sus clientes de los ataques de ingeniería social, inscríbase en nuestra prueba gratuita de DMARC hoy mismo.

Antes de entrar en los tipos de ataques de ingeniería social de los que las víctimas son víctimas a diario, junto con los próximos ataques que han arrasado en Internet, vamos a explicar brevemente en qué consiste la ingeniería social. 

Para explicarlo en términos sencillos, la ingeniería social se refiere a una táctica de despliegue de ciberataques en la que los actores de la amenaza utilizan la manipulación psicológica para explotar a sus víctimas y estafarlas.

Ingeniería social: Definición y ejemplos

¿Qué es un ataque de ingeniería social?

A diferencia de los ciberdelincuentes que piratean el ordenador o el sistema de correo electrónico, los ataques de ingeniería social se orquestan tratando de influir en las opiniones de la víctima para maniobrar y exponer información sensible. Los analistas de seguridad han confirmado que más del 70% de los ciberataques que se producen anualmente en Internet son ataques de ingeniería social.

Ejemplos de ingeniería social

Mira el ejemplo que se muestra a continuación:

 

Aquí podemos observar un anuncio online que atrae a la víctima con la promesa de ganar 1000 dólares por hora. Este anuncio contiene un enlace malicioso que puede iniciar una instalación de malware en su sistema. 

Este tipo de ataque se conoce comúnmente como Online Baiting o simplemente Baiting, y es una forma de ataque de ingeniería social. 

A continuación se presenta otro ejemplo:

Como se ha mostrado anteriormente, los ataques de ingeniería social también pueden perpetrarse utilizando el correo electrónico como un medio potente. Un ejemplo común de esto es un ataque de Phishing. En la siguiente sección nos ocuparemos de estos ataques con más detalle.

Tipos de ataques de ingeniería social

1. Vishing y Smishing

Supongamos que hoy recibe un SMS de su banco (supuestamente) pidiéndole que verifique su identidad haciendo clic en un enlace, o de lo contrario su cuenta será desactivada. Se trata de un mensaje muy común que suele ser difundido por los ciberdelincuentes para engañar a los incautos. Una vez que haga clic en el enlace, será redirigido a una página falsa que solicita su información bancaria. Tenga por seguro que si acaba proporcionando sus datos bancarios a los atacantes, éstos vaciarán su cuenta. 

Del mismo modo, el Vishing o phishing de voz se inicia a través de llamadas telefónicas en lugar de SMS.

2. Cebado en línea / Baiting 

Todos los días nos encontramos con una serie de anuncios en línea mientras navegamos por sitios web. Aunque la mayoría de ellos son inofensivos y auténticos, puede haber algunas manzanas podridas escondidas en el lote. Esto se puede identificar fácilmente al detectar anuncios que parecen demasiado buenos para ser verdad. Suelen tener reclamos y señuelos ridículos, como el de ganar el premio gordo o el de ofrecer un gran descuento.

Recuerde que esto puede ser una trampa (también conocido como a cebo). Si algo parece demasiado bueno para ser verdad, probablemente lo sea. Por lo tanto, es mejor mantenerse alejado de los anuncios sospechosos en Internet, y resistirse a hacer clic en ellos.

3. Phishing

Los ataques de ingeniería social se llevan a cabo a menudo a través de correos electrónicos y se denominan "phishing". Los ataques de phishing llevan causando estragos a escala mundial casi desde que existe el propio correo electrónico. Desde 2020, debido al aumento de las comunicaciones por correo electrónico, la tasa de phishing también se ha disparado, estafando a organizaciones, grandes y pequeñas, y siendo noticia cada día. 

Los ataques de phishing se pueden clasificar en Spear phishing, whaling y CEO fraud, refiriéndose al acto de suplantar a empleados específicos dentro de una organización, a los responsables de la toma de decisiones de la empresa y al CEO, respectivamente.

4. Estafas románticas

La Oficina Federal de Investigación (FBI) define las estafas románticas por Internet como "timos que se producen cuando un delincuente adopta una identidad falsa en línea para ganarse el afecto y la confianza de la víctima. El estafador utiliza entonces la ilusión de una relación romántica o cercana para manipular y/o robar a la víctima". 

Las estafas románticas se incluyen en los tipos de ataques de ingeniería social, ya que los atacantes utilizan tácticas de manipulación para formar una relación romántica estrecha con sus víctimas antes de actuar en su agenda principal: es decir, estafarlas. En 2021, las estafas románticas ocuparon el primer puesto como el ciberataque más perjudicial desde el punto de vista financiero del año, seguido de cerca por el ransomware.

5. Spoofing

La falsificación de dominios es una forma muy evolucionada de ataque de ingeniería social. Consiste en que un atacante falsifica el dominio de una empresa legítima para enviar correos electrónicos a los clientes en nombre de la organización remitente. El atacante manipula a las víctimas para que crean que dicho correo electrónico procede de una fuente auténtica, es decir, de una empresa en cuyos servicios confían. 

Los ataques de spoofing son difíciles de rastrear ya que los correos electrónicos se envían desde el propio dominio de la empresa. Sin embargo, hay formas de solucionarlo. Uno de los métodos más utilizados y recomendados por los expertos del sector es minimizar el spoofing con la ayuda de un DMARC de DMARC.

6. Pretexto

El pretexto puede ser considerado como un predecesor de un ataque de ingeniería social. Es cuando un atacante teje una historia hipotética para respaldar su reclamación de información sensible de la empresa. En la mayoría de los casos, el pretexto se lleva a cabo a través de llamadas telefónicas, en las que un atacante se hace pasar por un cliente o empleado, exigiendo información sensible de la empresa.

¿Cuál es un método común utilizado en la ingeniería social?

El método más común utilizado en la ingeniería social es el Phishing. Echemos un vistazo a algunas estadísticas para entender mejor cómo el Phishing es una amenaza global creciente:

  • El informe 2021 Cybersecurity Threat Trends de CISCO destacó que la friolera del 90% de las violaciones de datos se producen como resultado del phishing
  • IBM, en su Informe sobre el coste de una filtración de datos de 2021, delegó en el phishing el título de vector de ataque más costoso económicamente
  • Se ha comprobado que el índice de ataques de phishing aumenta cada año en un 400%, según informa el FBI

¿Cómo protegerse de los ataques de ingeniería social?

Protocolos y herramientas que puedes configurar: 

  • Implemente protocolos de autenticación de correo electrónico en su organización como SPF, DKIM y DMARC. Comience por crear un registro DMARC gratuito hoy mismo con nuestro generador de registros DMARC.
  • Haga cumplir su política DMARC a p=reject para minimizar la suplantación directa de dominio y los ataques de phishing por correo electrónico
  • Asegúrese de que su sistema informático está protegido con la ayuda de un software antivirus

Medidas personales que puedes tomar:

  • Conciencie a su organización sobre los tipos comunes de ataques de ingeniería social, los vectores de ataque y las señales de advertencia
  • Infórmese sobre los vectores y tipos de ataque. Visite nuestra base de conocimientos, introduzca "phishing" en la barra de búsqueda, pulse enter y empiece a aprender hoy mismo.  
  • No envíe nunca información confidencial a sitios web externos
  • Activar las aplicaciones de identificación de llamadas en su dispositivo móvil
  • Recuerde siempre que su banco nunca le pedirá que envíe los datos de su cuenta y su contraseña por correo electrónico, SMS o llamada
  • Compruebe siempre la dirección del remitente y la dirección del remitente de sus correos electrónicos para asegurarse de que coinciden. 
  • Nunca haga clic en archivos adjuntos o enlaces de correo electrónico sospechosos antes de estar 100% seguro de la autenticidad de su fuente
  • Piénselo dos veces antes de confiar en las personas con las que se relaciona en Internet y que no conoce en la vida real
  • No navegue por sitios web que no sean seguros a través de una conexión HTTPS (por ejemplo, http://domain.com)