Ingeniería social
Técnicas utilizadas por los ciberdelincuentes y cómo protegerse.
Cuando hablamos sobre ciberdelincuencia, la visión de la gran mayoría de usuarios gira en torno a complejos códigos maliciosos creados ex profeso para atacar una organización en concreto. Pero en realidad, la ciberdelincuencia no opera generalmente de esta manera. El principal motivo es que ese tipo de ataques requieren una inversión de tiempo, recursos humanos y económicos muy elevados.
La mayoría de ciberataques se centran en atacar al mayor número de víctimas, con la menor inversión posible. Para conseguirlo, se utiliza una de las técnicas preferidas por los ciberdelincuentes: la ingeniería social.
¿Qué es la ingeniería social?
La ingeniería social basa su comportamiento en una premisa básica: es más fácil manejar a las personas que a las máquinas. Para llevar a cabo este tipo de ataque se utilizan técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al ciberdelincuente.
Los ataques de ingeniería social usan como canal principal para su propagación el correo electrónico gracias a su uso masivo tanto por empresas, como por particulares. Pero no es la única vía de la que hacen uso los ciberdelincuentes, ya que pueden utilizar otros canales de comunicación como llamadas telefónicas, aplicaciones de mensajería, redes sociales, etc.
Los ataques de ingeniería social se pueden dividir en dos tipos distintos dependiendo del número de interacciones que requieran por parte del ciberdelincuente.
Hunting(reclutamiento o selección)
Este tipo de ataques buscan afectar al mayor número de usuarios realizando, únicamente, una comunicación. Son comunes en campañas de phishing, como los realizados contra entidades energéticas o bancarias.
También son utilizados en ataques cuyo objetivo es realizar una campaña de infección por malware, como las que se llevaron a cabo para realizar ataques de ransomware.
Farming (manipulación)
En los ataques de farming los ciberdelincuentes realizan varias comunicaciones con las víctimas hasta conseguir su objetivo u obtener la mayor cantidad de información posible. Algunos ejemplos de este tipo de ataques son los que buscan infundir miedo en las víctimas por medio de supuestos videos privados o futuros ataques contra su empresa.
En otros casos, como sucede en el fraude del CEO o más recientemente el de RRHH, los ciberdelincuentes suplantan a un miembro de la empresa y utilizan diferentes técnicas de ingeniería social para conseguir su objetivo.
¿Qué técnicas utilizan los ciberdelincuentes en los ataques de ingeniería social?
A pesar de ser múltiples y varias las técnicas utilizadas por los ciberdelincuentes para manipular a sus víctimas, suelen seguir una serie de principios básicos:
• Respeto a la autoridad. Por norma general, nosotros como trabajadores y ciudadanos en general, respetamos la autoridad de nuestros superiores, bien sea dentro de la organización o en la vida cotidiana. Este tipo de ataques se basa en ese respeto que tenemos a nuestros responsables y a autoridades como las Fuerzas y Cuerpos de Seguridad del Estado.
• Voluntad de ayudar. Sobre todo en los entornos laborales, los trabajadores, generalmente, cuentan con esta voluntad de ayudar a los compañeros en todo lo posible. Por este motivo, los ciberdelincuentes pueden hacerse pasar por un falso empleado de la empresa. Otra variante utilizada, es hacerse pasar por un técnico de informática para instalar herramientas de acceso remoto no autorizado.
• Temor a perder un servicio. Esta técnica es habitualmente utilizada en campañas de phishing. Bajo el pretexto de existir repetidos accesos no autorizados, cambio en las políticas o cualquier otro engaño, los ciberdelincuentes fuerzan a la víctima acceder a una web fraudulenta donde roban información confidencial.
• Respeto social. En algunos casos, los ciberdelincuentes basan su estrategia en el miedo que tienen los usuarios a no ser socialmente aceptados o a perder su reputación. Esto es habitual en los correos de sextorsión, donde los ciberdelincuentes amenazan con difundir un supuesto video privado que en realidad no existe.
• Gratis. Este tipo de engaño se basa en ofrecer un producto o servicio gratis a cambio de información privada. Este tipo de fraude suele llevarse a cabo por medio de páginas web emergentes que suelen aparecer cuando se navega por sitios poco legítimos. También es común en mensajes de redes sociales o aplicaciones de mensajería.
¿Cómo protegerse contra los ataques de ingeniería social?
La mejor manera de protegerse contra los ataques de ingeniería social es formar y concienciar. Un sistema con las medidas de seguridad y tecnologías más modernas no servirá de nada si por medio de un simple correo electrónico el ciberdelincuente consigue información confidencial muy valiosa para la empresa.
Para evitar ataques de ingeniería social no existe una fórmula mágica que permita su identificación, ya que estos pueden ser muy variados y utilizar diferentes técnicas.
La ingeniería social es una de las técnicas más utilizadas por los ciberdelincuentes para conseguir sus objetivos delictivos. Para minimizar los riesgos de este tipo de fraude, la mejor vía es formar y concienciar.