5 ataques de ingeniería social que debes conocer
Todos conocemos al atacante que aprovecha su experiencia técnica para infiltrarse en sistemas informáticos protegidos y comprometer datos confidenciales. Este tipo de actor malicioso termina en las noticias todo el tiempo. Pero no son los únicos que aparecen en los titulares. También están los “ingenieros sociales“, personas que usan llamadas telefónicas y otros medios para explotar la psicología humana y engañar a las personas para que entreguen el acceso a la información confidencial de la organización.
La ingeniería social es un término que abarca un amplio espectro de actividades maliciosas. A los efectos de este artículo, nos centraremos en los cinco tipos de ataques más comunes que utilizan los ingenieros sociales para atacar a sus víctimas. Estos son phishing, pretexting, baiting, quid pro quo y tailgating.
1. Phishing
El phishing es el tipo más común de ataque de ingeniería social. En un nivel alto, la mayoría de las estafas de phishing tienen como objetivo lograr tres cosas:
- Obtener información personal como nombres, direcciones y Números de Seguro Social;
- Usar enlaces acortados o engañosos que redirigen a los usuarios a sitios web sospechosos que alojan páginas de destino de phishing; y
- Aprovechar el miedo y la sensación de urgencia para manipular al usuario para que responda rápidamente.
No hay dos correos electrónicos de phishing iguales. Hay al menos seis subcategorías diferentes de ataques de phishing . Más allá de eso, todos sabemos que los phishers invierten distintas cantidades de tiempo en la elaboración de sus ataques. Por eso hay tantos mensajes de phishing con errores ortográficos y gramaticales.
Una campaña de phishing reciente usó la marca de LinkedIn para engañar a los buscadores de empleo haciéndoles creer que personas de compañías conocidas como American Express y CVS Carepoint les habían enviado un mensaje o los habían buscado usando la red social. Si hacían clic en los enlaces de correo electrónico, los destinatarios eran redirigidos a páginas diseñadas para robar sus credenciales de LinkedIn.
2. Pretexting
El pretexting es otra forma de ingeniería social en la que los atacantes se enfocan en crear un pretexto, o un escenario fabricado, que pueden usar para robar la información personal de alguien. En este tipo de ataques, el estafador generalmente se hace pasar por una entidad/individuo de confianza y dice que necesita ciertos detalles de un usuario para confirmar su identidad. Si la víctima cumple, los atacantes cometen robo de identidad o usan los datos para realizar otras actividades maliciosas.
Los ataques de pretexting avanzados implican engañar a las víctimas para que hagan algo que eluda las políticas de seguridad de la organización. Por ejemplo, un atacante podría decir que es un auditor externo de servicios de informática para que el equipo de seguridad física de la organización lo deje entrar al edificio.
Mientras que el phishing utiliza el miedo y la urgencia a su favor, el pretexting se basa en generar una falsa sensación de confianza en la víctima. Esto requiere construir una historia creíble que deje poco lugar a dudas en la mente de su objetivo. También implica elegir un disfraz adecuado.
Como tal, el pretexting puede tomar y toma varias formas. Muchos ciberdelincuentes que se involucran en este tipo de ataques se hacen pasar por personal de recursos humanos o empleados de finanzas para intentar atacar a los ejecutivos de nivel C. Según un reporte de KrebsOnSecurity, otros falsifican bancos y usan mensajes de texto basados en SMS sobre transferencias sospechosas para llamar y estafar a cualquiera.
3. Baiting
El baiting (cebo) es en muchos aspectos como el phishing. La diferencia es que el baiting usa la promesa de un artículo o bien para atraer a las víctimas. Los ataques de baiting pueden aprovechar la oferta de descargas gratuitas de música o películas para engañar a los usuarios para que entreguen sus credenciales de inicio de sesión, por ejemplo. Alternativamente, pueden intentar explotar la curiosidad humana mediante el uso de medios físicos.
En julio de 2018, por ejemplo, KrebsOnSecurity informó sobre un ataque dirigido a agencias gubernamentales estatales y locales en los Estados Unidos. La operación envió sobres chinos con matasellos que incluían una carta confusa junto con un CD. El objetivo era despertar la curiosidad de los destinatarios para que cargaran el CD e infectaran sus computadoras con malware sin darse cuenta.
4. Quid Pro Quo
Al igual que los ataques de baiting, los ataques quid pro quo prometen algo a cambio de información. Este beneficio suele asumir la forma de un servicio, mientras que el baiting suele adoptar la forma de un bien.
Uno de los tipos más comunes de ataques quid pro quo es cuando los estafadores se hacen pasar por la Administración de la Seguridad Social (SSA) de Estados Unidos . Este personal falso de la SSA contacta a personas aleatorias y les pide que confirmen su Número de Seguro Social, lo que les permite robar las identidades de sus víctimas. En otros casos detectados por la Comisión Federal de Comercio (FTC), los ciberdelincuentes crearon sitios web falsos de la SSA diseñados para robar la información personal de esas personas.
Sin embargo, es importante tener en cuenta que los atacantes pueden usar ofertas quid pro quo que son aún menos sofisticadas. Ataques anteriores han demostrado que los trabajadores de oficina están más que dispuestos a regalar sus contraseñas a cambio de un bolígrafo barato o incluso una barra de chocolate.
5. Tailgating
Nuestro último tipo de ataque de ingeniería social se conoce como “tailgating”. En este tipo de ataques, alguien sin la autenticación adecuada sigue a un empleado autenticado a una área restringida. El atacante podría hacerse pasar por un repartidor y esperar afuera de un edificio para comenzar. Cuando un empleado obtiene la aprobación de seguridad y abre la puerta, el atacante le pide al empleado que sostenga la puerta, y así obtener acceso al edificio.
Tailgating no funciona en presencia de ciertas medidas de seguridad, como un sistema de tarjeta de acceso. Sin embargo, en las organizaciones que carecen de estas funciones, los atacantes pueden entablar conversaciones con los empleados y usar esta demostración de familiaridad para pasar por la recepción.
De hecho, Colin Greenless, consultor de seguridad de Siemens Enterprise Communications, usó estas tácticas para obtener acceso a varios pisos y al data room de una empresa financiera. Incluso pudo instalarse en una sala de reuniones del tercer piso y trabajar allí durante varios días .
Recomendaciones para no ser víctima de ataques de ingeniería social
Como ilustran los ataques discutidos anteriormente, la ingeniería social implica aprovecharse de la psicología humana y la curiosidad para comprometer la información de las víctimas. Teniendo en cuenta este enfoque centrado en el ser humano, las organizaciones deben ayudar a sus empleados a contrarrestar este tipo de ataques. Pueden hacerlo incorporando los siguientes consejos en sus programas de capacitación de concientización sobre seguridad.
- No abrir ningún correo electrónico de fuentes no confiables. Debes ponerte en contacto con un amigo o familiar en persona o por teléfono si recibes un mensaje de correo electrónico sospechoso de ellos.
- No le dés a las ofertas de extraños el beneficio de la duda. Si parecen demasiado buenos para ser verdad, probablemente lo sean.
- Bloquear tu computadora portátil siempre que estés lejos de tu estación de trabajo.
- Comprar software antivirus. Ninguna solución antivirus tiene una tasa de detección del 100 %, pero pueden ayudar a defenderse de las campañas que utilizan tácticas de ingeniería social.
- Leer la política de privacidad de tu empresa para comprender en qué circunstancias puedes o debes permitir que un extraño ingrese al edificio.