Comprender las técnicas de ingeniería social es tan crucial como reforzar nuestras defensas tecnológicas
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Las estrategias utilizadas por los delincuentes cibernéticos en la actualidad no son innovadoras; de hecho, llevan años en uso. Lo que hacen ahora es ajustarlas a la era digital, aprovechando las mismas vulnerabilidades humanas que han existido desde siempre.
El ámbito de la ciberseguridad no se limita simplemente a la lucha entre códigos, redes y firewalls; también implica un aspecto psicológico fundamental. Un ejemplo destacado son las brechas de seguridad, mayormente atribuidas a la ingeniería social, que han afectado a importantes organizaciones como las compañías integrantes del “Big Four”, las principales firmas a nivel mundial en consultoría y auditoría económica, las cuales, cabe mencionar, también cuentan con áreas internas especializadas en ciberseguridad.
De esta manera, la ingeniería social utiliza la psicología humana con el fin de acceder a información confidencial o sistemas seguros. A pesar de que pueda parecer una técnica contemporánea, sus orígenes se remontan a décadas atrás y ha sido utilizada de diversas formas por los adversarios.
Inicialmente, es fundamental que las organizaciones reconozcan la importancia de defenderse contra los ataques de ingeniería social, ya que comprender y contrarrestar estas tácticas de influencia es una tarea de gran exigencia. En primer lugar, al proporcionar capacitación a los empleados, la organización debe enfocarse en identificar y contrarrestar los engaños psicológicos y las estrategias de ingeniería social que podrían ser empleadas en su contra.
Es de suma importancia que todas las organizaciones, sin importar su tamaño, sector o tipo, tengan la capacidad de llevar a cabo este tipo de entrenamientos. Aunque las grandes empresas suelen incluir estas capacitaciones como parte de sus estrategias de ciberseguridad, es igualmente esencial para las pequeñas empresas y los negocios locales.
Por ejemplo, aunque las grandes corporaciones pueden tener una sólida protección, si alguno de sus proveedores no cuenta con medidas adecuadas de seguridad, esto supone un serio riesgo para la empresa. Por ejemplo, una cafetería que ofrece descuentos a los empleados de grandes corporaciones que presentan sus credenciales podría representar un riesgo no anticipado. Un ciberatacante podría aprovechar esta situación aparentemente inofensiva para duplicar fácilmente las credenciales y usarlas con malas intenciones. Este incidente destaca la simplicidad pero efectividad de la ingeniería social, la cual se basa en las vulnerabilidades humanas en lugar de las tecnológicas.
Estas tácticas rudimentarias han evolucionado hasta convertirse en estrategias sofisticadas, como lo demuestran las vulneraciones a dos de las Big Four más relevantes. Los atacantes no se basaron únicamente en tecnología avanzada; en cambio, aprovecharon la manipulación psicológica, explotando la confianza y la curiosidad humanas para romper las defensas.
Este tipo de incidentes ofrece un claro ejemplo de la naturaleza sofisticada de los ataques modernos de ingeniería social. En ambos casos, un grupo cibercriminal de ransomware conocido como Cl0p logró aplicar estas metodologías para vulnerar a las consultoras.
El grupo cibercriminal Cl0p ha ganado notoriedad por sus ataques de gran impacto en diversas partes del mundo. Sus objetivos principales suelen encontrarse en Estados Unidos, Canadá, América Latina, Asia Pacífico y Europa. Cl0p alcanzó notoriedad cuando fue el primer ransomware en exigir un pago de más de 20 millones de dólares tras infectar a Software AG, la segunda empresa de software empresarial más grande de Alemania, en octubre de 2020. A pesar de algunos arrestos de sus integrantes, este grupo de ransomware continúa filtrando información confidencial obtenida de nuevas víctimas y opera bajo el modelo conocido como ransomware como servicio (RaaS).
Cl0p ha conseguido penetrar en diversas empresas mediante la manipulación hábil del personal de servicio de ayuda o soporte técnico. En varias ocasiones, han logrado persuadir a estos empleados para que restablezcan contraseñas y códigos de autenticación multifactor en cuentas específicas de alto valor dentro de la organización. Esta intrusión les ha proporcionado acceso a las cuentas de redes sociales personales de los empleados seleccionados como objetivos, las cuales han aprovechado para infiltrarse en los servicios de tecnologías de la información. Posteriormente, han generado credenciales de inicio de sesión único para sí mismos.
Por otro lado, las estrategias de ingeniería social han adquirido una dimensión global, como lo demuestran casos como el presunto robo de perfiles de LinkedIn por parte del gobierno chino. Esta operación tenía como objetivo identificar a personas en posiciones de confianza, especialmente aquellas con privilegios administrativos, con el fin de explotar su estatus para actividades de espionaje o intrusiones cibernéticas. Estas acciones destacan una transición desde la interacción humana directa hacia la explotación de rastros digitales, donde se manipulan a gran escala los principios psicológicos de confianza y autoridad.
Algunas compañías afectadas por estas tácticas han evidenciado que, después de interrumpir sus sistemas, los atacantes solicitan a las empresas que desactiven sus sistemas de autenticación multifactor para mantener la continuidad de sus operaciones. La presión para deshabilitar estas funciones ha generado una vulnerabilidad, ya que los atacantes, al identificar una oportunidad, lanzan ataques de fuerza bruta dirigidos a usuarios administrativos conocidos. Este incidente ejemplifica cómo la manipulación psicológica, en este caso, al generar una sensación de urgencia y temor ante una interrupción operativa, puede conducir al compromiso de sistemas críticos.
Los sucesos mencionados anteriormente destacan una lección fundamental: a pesar del avance tecnológico, el factor humano sigue siendo una vulnerabilidad constante y susceptible de ser explotada. Con frecuencia, este factor humano se convierte en nuestro punto débil, abriendo la puerta para que los atacantes accedan a nuestros sistemas de información y datos críticos.
Es crucial comprender y mitigar el riesgo asociado con estas estrategias de manipulación, lo cual debe incluirse en la formación de concienciación sobre seguridad para nuestros empleados y personal. La concienciación constituye la primera línea de defensa; al educarnos a nosotros mismos y a nuestro equipo sobre tácticas comunes de ingeniería social, como phishing, pretexting y whaling, podemos ayudar a identificar cuándo estamos siendo objeto de un ataque.
Además, debemos promover una cultura en la que se cuestione cualquier solicitud inesperada de información, incluso si parece provenir de nuestra propia organización. La aplicación de rigurosos procesos de verificación en todos los niveles puede reducir considerablemente el riesgo de ser víctima de este tipo de ataques. Antes de compartir ideas o información confidencial, es imprescindible verificar la identidad del solicitante a través de múltiples canales y asegurarnos de que tengan un propósito comercial legítimo al solicitar dicha información o datos.
Para las empresas, esto implica establecer y aplicar controles de acceso estrictos, así como seguir el principio de privilegio mínimo para limitar la información a la que un pirata informático puede acceder mediante estas tácticas. Además, debemos fomentar un entorno en el que los empleados se sientan cómodos y sin obstáculos al informar sobre problemas de seguridad.
Por último, es beneficioso colaborar con profesionales de ciberseguridad que puedan evaluar su postura de seguridad actual y ayudarlo a desarrollar un enfoque integral de ciberseguridad que aborde tanto las defensas técnicas como el aspecto humano. Las tácticas psicológicas empleadas hoy por los atacantes pueden no ser nuevas; simplemente se han adaptado a la era digital, explotando las mismas vulnerabilidades humanas que siempre han existido. Por lo tanto, comprender y mitigar estas vulnerabilidades psicológicas es tan crucial como reforzar nuestras defensas tecnológicas a medida que avanzamos.
Para más información, visite: https://www.silikn.com/