Ingeniería Social: Detrás de la mente del cibercriminal




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

Ingeniería social es el término utilizado para una amplia gama de actividades maliciosas logradas a través de interacciones humanas. Utiliza la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o regalen información confidencial.

Los ataques de ingeniería social ocurren en uno o más pasos. Un perpetrador primero investiga a la víctima prevista para recopilar información de fondo necesaria, como puntos de entrada potenciales y protocolos de seguridad débiles, necesarios para proceder con el ataque. Luego, el atacante se mueve para ganar la confianza de la víctima y proporcionar estímulos para acciones posteriores que rompen las prácticas de seguridad, como revelar información confidencial o otorgar acceso a recursos críticos.

Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa en errores humanos, en lugar de vulnerabilidades en software y sistemas operativos. Los errores cometidos por usuarios legítimos son mucho menos predecibles, lo que los hace más difíciles de identificar y frustrar que una intrusión basada en malware.

Como contexto, de acuerdo con datos de la unidad de investigación de SILIKN, los ciberdelitos ocurren cada 35 segundos y se encuentran entre las amenazas globales más graves. Este comportamiento tan habitual por parte de los usuarios aumenta el riesgo de ataque en las organizaciones. En México hacer clic en estos enlaces maliciosos o descargar archivos comprometidos se sitúa como una de las vulnerabilidades humanas más comunes en el ámbito empresarial.

Los ataques de ingeniería social vienen en muchas formas diferentes y se pueden realizar en cualquier lugar donde esté involucrada la interacción humana. Las siguientes son las cinco formas más comunes de ataques de ingeniería social.

Cebo
Como su nombre lo indica, los ataques de cebo utilizan una promesa falsa para despertar la codicia o curiosidad de la víctima. Atraen a los usuarios a una trampa que roba su información personal o inflige sus sistemas con malware.

La forma de hostigamiento más vilipendiada utiliza medios físicos para dispersar malware. Por ejemplo, los atacantes dejan el cebo, generalmente unidades flash infectadas con malware, en áreas visibles donde las víctimas potenciales seguramente las verán (por ejemplo, baños, ascensores, el estacionamiento de una empresa objetivo). El cebo tiene un aspecto auténtico, como una etiqueta que lo presenta como la lista de nómina de la empresa.

Las víctimas recogen el cebo por curiosidad y lo insertan en una computadora del trabajo o del hogar, lo que resulta en la instalación automática de malware en el sistema.

Las estafas de cebo no necesariamente tienen que llevarse a cabo en el mundo físico. Las formas de hostigamiento en línea consisten en anuncios atractivos que conducen a sitios maliciosos o que alientan a los usuarios a descargar una aplicación infectada con malware.

Scareware

Scareware implica que las víctimas sean bombardeadas con falsas alarmas y amenazas ficticias. Los usuarios se engañan al pensar que su sistema está infectado con malware, lo que les lleva a instalar un software que no tiene ningún beneficio real (que no sea para el cibercriminal) o que es malware en sí mismo. Scareware también se conoce como software de engaño, software de escáner falso y fraude.

Un ejemplo común de scareware son los letreros emergentes de aspecto legítimo que aparecen en su navegador mientras navega por la web, mostrando un texto como “Su computadora puede estar infectada con programas dañinos de spyware”. Ofrece instalar la herramienta (a menudo infectada con malware) por usted o lo dirigirá a un sitio malicioso donde su computadora se infecte.

Scareware también se distribuye a través de correo electrónico no deseado que reparte advertencias falsas o hace ofertas para que los usuarios compren servicios inútiles o dañinos.

Pretexting

Aquí un atacante obtiene información a través de una serie de mentiras ingeniosamente elaboradas. La estafa a menudo es iniciada por un perpetrador que finge necesitar información confidencial de una víctima para realizar una tarea crítica.

El atacante generalmente comienza estableciendo confianza con su víctima haciéndose pasar por compañeros de trabajo, policías, funcionarios bancarios y fiscales, u otras personas que tienen autoridad de derecho a saber. El pretexter hace preguntas que aparentemente son necesarias para confirmar la identidad de la víctima, a través de las cuales recopilan datos personales importantes.

Con esta estafa se recopila todo tipo de información y registros pertinentes, como números de seguridad social, direcciones personales y números de teléfono, registros telefónicos, fechas de vacaciones del personal, registros bancarios e incluso información de seguridad relacionada con una planta física.

Phishing — Suplantación de identidad

Como uno de los tipos de ataque de ingeniería social más populares, las estafas de phishing son campañas de correo electrónico y mensajes de texto destinadas a crear un sentido de urgencia, curiosidad o miedo en las víctimas. Luego los impulsa a revelar información confidencial, hacer clic en enlaces a sitios web maliciosos o abrir archivos adjuntos que contienen malware.

Un ejemplo es un correo electrónico enviado a los usuarios de un servicio en línea que les alerta de una violación de la política que requiere una acción inmediata de su parte, como un cambio de contraseña obligatorio. Incluye un enlace a un sitio web ilegítimo, casi idéntico en apariencia a su versión legítima, lo que solicita al usuario desprevenido que ingrese sus credenciales actuales y su nueva contraseña. Tras la presentación del formulario, la información se envía al atacante.

Dado que se envían mensajes idénticos, o casi idénticos, a todos los usuarios en campañas de phishing, detectarlos y bloquearlos es mucho más fácil para los servidores de correo que tienen acceso a plataformas de intercambio de amenazas.

Spear phishing

Esta es una versión más específica de la estafa de phishing por la cual un atacante elige individuos o empresas específicas. Luego adaptan sus mensajes según las características, los puestos de trabajo y los contactos que pertenecen a sus víctimas para que su ataque sea menos notorio. La suplantación de identidad requiere mucho más esfuerzo por parte del perpetrador y puede llevar semanas y meses para lograrlo. Son mucho más difíciles de detectar y tienen mejores tasas de éxito si se hacen con habilidad.

Un escenario de phishing puede involucrar a un atacante que, al hacerse pasar por el consultor de TI de una organización, envía un correo electrónico a uno o más empleados. Está redactado y firmado exactamente como lo hace normalmente el consultor, engañando así a los destinatarios para que piensen que es un mensaje auténtico. El mensaje solicita a los destinatarios que cambien su contraseña y les proporciona un enlace que los redirige a una página maliciosa donde el atacante ahora captura sus credenciales.

Los cibercriminales son conscientes de los detonantes psicológicos, ingresan en la mente de las potenciales víctimas y tratan de comprender ante qué estímulos responderían mejor. Lo que persiguen los cibercriminales es que los empleados de las organizaciones tomen una mala decisión que les ayude a avanzar en su intento de ataque. Para ello se aprovechan de factores como las emociones, la confianza o, incluso, el cansancio que tienen.

Las palanca en la que mayormente se basan los atacantes es la confianza que, a su vez, sirve de atajo en el cerebro humano en la toma de decisiones. Si el usuario ve una marca o persona de su confianza, el mensaje adquiere mayor credibilidad y el umbral necesario para que interactúe se reduce. A los ciberdelincuentes les gusta apoderarse de esa confianza depositada en terceros, y lo hacen comprometiendo cuentas de personas conocidas en una determinada empresa para luego utilizarlas para fines maliciosos. Si se recibe un correo electrónico de alguien de la empresa, es mucho más probable que se haga clic en él que si llega de un remitente extraño.

La seguridad cibernética se ha convertido en un factor crítico para el éxito de los negocios y se requiere más profesionales especializados. En los siguientes años, México tendrá una demanda de 10 millones de especialistas con destrezas en ciberseguridad, de acuerdo con estimaciones de instituciones de educación en México.

La seguridad cibernética se ha convertido en un factor crítico para el éxito de los negocios y se requiere más profesionales especializados en esta labor, quienes deberán aportar soluciones frente a una problemática que impacta al país con 5,000 a 9,000 millones de dólares anuales.

Los futuros especialistas en ciberseguridad, deberán contar con destrezas y habilidades para integrarse en equipos, comunicar, resolver problemáticas en cada una de las áreas asociadas al proceso de proteger información; así como ser capaces de generar, implementar y evaluar estrategias e incluso brindar información y capacitación al usuario final, quien se convierte en el eslabón más débil del proceso.

En resumen, si bien nos enfrentamos a una situación compleja, la educación sobre las ciberamenazas y comprender la forma cómo piensa un delincuente cibernético es el comienzo de la solución al problema.

Para más información, visite: https://www.silikn.com/