Ingeniería social

Qué es la ingeniería social

Desde el punto de vista de la ciberseguridad, la ingeniería social es un conjunto de técnicas utilizadas por un atacante, orientadas a manipular psicológicamente a una persona, con el fin de obtener su información confidencial o de la empresa para la que trabaja.

De esta forma el atacante puede realizar estafas bancarias, hacerse del control de sistemas (sin tener que recurrir a sofisticados conocimientos tecnológicos) o conocer detalles técnicos sobre las tecnologías utilizadas dentro de la empresa, para poder diseñar ataques sofisticados.

Características de un ataque de ingeniería social

Cuentan historias convincentes.
Generan sensación de urgencia. Pueden notificarnos de un error, un problema, verificación de datos, llegada de una correspondencia, algún premio no cobrado, entre otros, razón por la cual debemos accionar de inmediato.
Apelan a figuras de poder y amenazan con posibles consecuencias de no prestar atención a la solicitud realizada, como por ejemplo despidos, multas, suspensión de servicios, cierres temporales, entre otros.
Apelan a nuestra cortesía o generosidad.
Nos generan la sensación de reconocimiento y formar parte de algo importante.
Solicitan información confidencial.
Para hacer más convincente «la historia o solicitud» esta nos puede llegar de forma simultánea a través de varias vías (email, SMS, llamadas telefónicas entre otras).

Tipos de ataques de ingeniería social

Esta es una lista de los principales tipos de ataques de ingeniería social:

Phishing

El phishing es un tipo de estafa que se realiza a través del uso tanto de sistemas informáticos como de telecomunicaciones. Phishing proviene de la palabra en inglés «fishing», que significa pesca, haciendo alusión al proceso en el cual se prepara un anzuelo para pescar un tipo específico de pez. Dentro de los tipos de phishing tenemos:

Email Phishing

Es el envío de mensajes de correo electrónico usurpando una fuente confiable, con el fin de solicitar información confidencial. En este tipo de ataque se utiliza (de manera metafórica) una técnica militar denominada “spray and pray” (rociar y rezar), la cual consiste en disparar ráfagas de ametralladora sin hacer el esfuerzo de apuntar con precisión cada disparo. En este caso no hay un objetivo definido, ya que se realiza un envío masivo de correos electrónicos, a tantas direcciones de email como sea posible.

Spear phishing

Es semejante al email phishing, pero en este caso el ataque no es dirigido a una víctima elegida al azar, sino a personas específicas de una organización. Este tipo de correos suelen ser más personalizados, con el objetivo de engañar a su víctima con más facilidad.

Whaling (caza de ballenas)

Es similar al spear phishing, pero en este caso, el atacante usurpa la identidad de un ejecutivo de alto nivel dentro de la empresa, con el fin de enviar correos fraudulentos a ejecutivos, gerentes o personas importantes dentro de ella. A este ataque también se le conoce como el fraude del CEO (CEO fraud).

Hacking de correo electrónico

Se basa en la apropiación de una cuenta de correo electrónico, con el fin de enviar mensajes a todos los contactos de su libreta de direcciones. De esta forma se garantiza que los contactos de la víctima recibirán el mensaje, lo leerán y posteriormente se contaminarán con el malware distribuido a través de este correo. La eficiencia de este tipo de ataque radica en que el mensaje fue enviado por un contacto de confianza.

Smishing o SMS phishing

Es el envío de mensajes de SMS, generalmente para hacer llegar un enlace malicioso o suministrar algún tipo de información, que luego se reforzará con otro tipo de técnicas de ingeniería social.

Vishing o phishing de voz

Se hace uso de llamadas telefónicas o mensajes de voz automatizados, con el fin de persuadir a su víctima a suministrar información personal o de la empresa para la que trabaja. Estas llamadas suelen usurpar a entes gubernamentales o empresas de confianza.

Pharming

Es cuando un atacante busca dirigir a su víctima a un sitio web fraudulento, los cuales tienen la particularidad de imitar sitios web auténticos. Una vez allí, el usuario suministrará sus credenciales de ingreso y cualquier otro dato que el sistema le solicite, sin que esto genere desconfianza. Este tipo de ataque se logra afectando los servicios DNS utilizados por nuestros dispositivos.

QRishing

Es el phishing a través del uso de códigos QR, los cuales suelen ser sobrepuestos en avisos públicos o sobre QR originales, con el fin de dirigir a sus víctimas a sitios web falsos.

Search Engine Phishing

Es cuando un atacante logra que los motores de búsqueda indexen una página web fraudulenta, logrando de esta manera que el buscador muestre el sitio web dentro de las primeras opciones de importancia. Una vez que la persona ingresa a estos sitios, se le incentivará fraudulentamente a dejar información personal y datos bancarios. El posicionamiento de estas páginas se realiza a través de técnicas de SEO orgánicas o inorgánicas.

Baiting (carnada)

Es una técnica que consiste en llamar la atención de usuarios desprevenidos o curiosos, mediante estrategias tales como ofertas tentadoras e irresistibles en internet o recibir recompensas y regalos. Una de las más comunes es dejar “abandonado” un dispositivo físico (pendrive, CD, DVD, teléfono celular o cualquier dispositivo de almacenamiento extraíble), con la intención de que alguien lo recoja para beneficio propio o saciar su curiosidad. De esta manera es muy probable que la víctima “muerda el anzuelo” con algunas de estas opciones, logrando de esta manera contaminar su equipo con algún tipo de malware.

Shoulder surfing (mirar por encima del hombro):

Consiste en obtener información sensible de una persona concreta, «mirando por encima de su hombro». Ocurre cuando permitimos que las personas que tenemos alrededor pueden visualizar la pantalla, el teclado, formularios o documentos con los que estamos trabajando. En la aplicación de esta técnica también se puede recurrir al uso de binoculares, cámaras de seguridad o equipos de espionaje. Esto no sólo puede ocurrir en nuestra área de trabajo, siendo muy común los lugares públicos, como por ejemplo en el autobús, el metro, restaurantes, salas de espera, entre otros.

Scareware

Es una técnica que intenta generar miedo a través de mensajes emergentes, logrando de esta forma una acción por parte del usuario. Un ejemplo de esto, es cuando aparece un mensaje emergente informando sobre el hallazgo de un “virus” en la computadora, razón por la cual el usuario debe proceder con inmediatez a descargar un supuesto antivirus que realizará el trabajo de eliminación. En este proceso, el atacante logra contaminar con malware el equipo de su víctima.

Tailgating

Es cuando una persona logra tener acceso a un área restringida, aprovechándose de la cortesía de las personas. Un ejemplo de esto, es cuando procedemos a abrir una puerta y por educación permitimos que la persona que se encuentra detrás acceda con nosotros, sin que esto genere la más mínima desconfianza. De esta manera el atacante habrá logrado ingresar sin mucho esfuerzo a un área al que originalmente no tenía acceso.

Pretexting (pretexto)

Es cuando un atacante elabora una historia ficticia pero muy creíble, con la finalidad de que su víctima revele información personal o de la empresa en la que trabaja. Para que esta mentira tenga éxito, el atacante previamente realiza una exhaustiva investigación de su víctima, con el fin de que esta no sospeche el engaño, logrando de esta manera obtener información que en otras circunstancias jamás sería revelada.

Honey Trapping

Es cuando un atacante intenta crear una relación romántica o sexual con su víctima, buscando generar recursos que permitan realizar algún tipo de chantaje o sextorsión, con el fin de obtener información confidencial, accesos privilegiados, influir en la toma de decisiones, obtener beneficios económicos, entre otros. Estos recursos pueden ser videos o fotos íntimas, los cuales pueden ser suministrados por la víctima de forma complaciente (sexting) o a través de la intervención de la cámara de sus dispositivos electrónicos. Esta relación puede incluir o no presencia física.

Quid pro Quo (algo a cambio de algo)

Es un tipo de intercambio, donde el atacante promete un beneficio a su víctima a cambio de algo. Un clásico ejemplo de esto es cuando una persona se hace pasar por un técnico o especialista de soporte IT, solicitando al usuario que realice una acción (revelar contraseñas, desactivar el antivirus, entre otros), a cambio de recibir una atención más rápida.

Watering hole attack (ataque de abrevadero)

Es una técnica en la cual se infectan sitios web legítimos, con la intención de descargar en la computadora de sus visitantes, algún tipo de malware que le permita tomar control de su equipo y posteriormente de la red corporativa. Este tipo de ataque, hace referencia al mundo natural, donde los animales sedientos se acercan a los abrevaderos a tomar agua. Una vez allí, bajan la guardia convirtiéndose en presas fáciles de sus pacientes depredadores.

Recomendaciones para disminuir los riesgos de un ataque de ingeniería social

Aprender a analizar los enlaces: siempre debemos evitar hacer clic en enlaces recibidos a través de mensajes electrónicos y más aún si no conocemos al remitente. No siempre es posible, así que es conveniente aprender a analizar los enlaces, antes de que podamos hacer clic sobre ellos.
Mantener la calma: el éxito de todo estafador se basa en su capacidad de generar confianza, para luego desestabilizar emocionalmente a su víctima. De esta manera la sensación de urgencia no le permitirá tomar una buena decisión.
Verificar el origen del mensaje: siempre debemos revisar con sumo cuidado la dirección del remitente, ya que con cambios casi imperceptibles podría asemejarse al email o usuario de red social de un contacto confiable.
Desconfiar: sin importar lo confiable que parezca la comunicación recibida, siempre es prudente buscar fuentes alternativas (distintas a las indicadas en el mensaje recibido), con el fin de validar la veracidad de la información antes de realizar una acción, (en especial si el mensaje tiene un tono de urgencia). Es importante no caer en una paranoia enfermiza, ya que esto puede generar descuidos por agotamiento mental.
Oportunidades irrepetibles: debemos extremar el pensamiento crítico. Si algo es tan bueno, ¿por qué alguien debería ofrecerlo a un desconocido? Ten cuidado con propuestas de empleo, sorteos, visas de trabajo, inversiones de alto rendimiento, productos o servicios muy económicos o gratuitos, entre otras oportunidades «fantásticas».
Escribe y verifica antes de pulsar ENTER: antes de acceder a una página en la que debemos ingresar nuestro usuario y contraseña, es importante verificar que hemos escrito bien su dirección, ya que corremos el riesgo de ingresar a una página fraudulenta que se aprovecha de los usuarios que cometen errores al momento de escribir la dirección de la página web. Estos errores de escritura se conocen como typosquatting. La acción de “escribe y verifica antes de pulsar ENTER”, es válida también al momento de enviar un correo electrónico, evitando de esta forma hacer llegar por error información confidencial a personas no autorizadas.
Hacer uso de contraseñas fuertes: una contraseña fuerte o robusta dificulta que un atacante pueda acceder a nuestras cuentas (en especial la de correo electrónico), evitando así la usurpación de identidad. Es recomendable reforzar esta medida, con el uso de un segundo factor de autenticación.
Hacer uso de contraseñas únicas: si utilizamos la misma contraseña en todas nuestras cuentas, corremos el riesgo de facilitar a un atacante el ingreso a otros servicios, en los cuales estamos registrados. Esta fuga de información se puede generar por nuestro descuido o por filtraciones en servicios vulnerados. Por la misma razón, también debemos evitar reutilizar contraseñas, sin importar que tengamos mucho tiempo sin usarlas.
Efectuar actualizaciones periódicas: es importante mantener actualizado a su última versión todo el software instalado en nuestros dispositivos, ya que esto dificultará la ejecución de código malicioso. También es recomendable validar con los creadores de cada uno de los programas utilizados, cuál es el ciclo de vida de sus productos (fin de soporte, End Of Life o EOL), ya que esto nos permitirá planificar con tiempo la migración a nuevas versiones del producto.
Actualizar dispositivos de red: es importante mantener actualizado el firmware de todo nuestro hardware de red (firewall, routers, switch, modem, access point, entre otros). En caso de que su fabricante haya descontinuado su soporte, debemos sustituirlos por uno más reciente, a pesar de que el mismo aparente trabajar bien, ya que el mismo puede presentar vulnerabilidades que pueden afectar nuestra seguridad digital.
Evitar el uso de software pirata o de orígenes no oficiales: sin importar la experiencia y capacitación que se tenga en temas computacionales, es sumamente importante evitar el uso de software pirata o descargar software de fuentes distintas al sitio web de su creador, ya que desconocemos si al mismo se le realizaron cambios que atenten contra nuestra seguridad digital.
Productos de protección: es importante realizar una constante supervisión de nuestros productos antivirales (antimalware). En ocasiones estos pueden quedar deshabilitados por daños en sus archivos, vencimiento del licenciamiento o desinstalación por parte de usuarios con los que compartimos el equipo.
Evitar el uso de redes WIFI públicas: en caso de necesitar conectarte a internet a través de la red WIFI que ofrecen aeropuertos, hoteles, plazas públicas, entre otros, se recomienda utilizar una VPN. Ten en cuenta que el uso de VPN puede ser ilegal en países con gobiernos totalitarios.
Escritura de las URL: debemos hacer el esfuerzo de familiarizarnos con los nombres de las páginas web que utilizamos con frecuencia. Un sutil cambio de letra será suficiente para caer en una página fraudulenta.
HTTP o HTTPS: es importante comprender que una página que empieza por http o https, podría tratarse de una página legítima o fraudulenta.
Crear políticas para el desecho de documentos y dispositivos de almacenamiento de forma segura: ya que pueden contener información sensible de la empresa o de las personas que trabajan (o trabajaron) para ella. A la técnica de buscar información en la basura se le conoce como Dumpster diving.
No publicar en internet información privada: cuantas más publicaciones realicemos en internet, más información ponemos a la disposición de un atacante, permitiéndole de esta manera un mayor conocimiento de nosotros datos e información personal. Ejemplos de lo que compartimos en internet: cuáles son nuestros gustos, personas con las que nos relacionamos, lugar de trabajo, profesión, lugar de estudios, estado sentimental, hijos, mascotas, lugar donde vivimos, posición económica, entre otros.
Blindar nuestro dominio de internet: muchas empresas y público en general, poseen páginas web donde sus dominios carecen de registros SPF, DKIM, DMARC y BIMI, lo que los hace vulnerables a intentos de suplantación de identidad, basados en direcciones de correo electrónico. De esta forma, proveedores, clientes y empleados, pueden recibir un email por parte de un atacante, haciendo uso de nuestro dominio en internet.
Mantenerse atento a los cambios tecnológicos: las nuevas tecnologías en ocasiones son aprovechadas por los ciberdelincuentes para estafar con más facilidad a sus víctimas, un ejemplo de esto es el uso de inteligencia artificial para generar voces y rostros, un recurso muy utilizado en el cine. Esta tecnología ha sido aprovechada para usurpar la identidad a altos ejecutivos, con el fin de solicitar a sus subalternos la realización de pagos de último minuto a supuestos proveedores.
Capacitación: conocer y comprender cómo funcionan los diversos tipos de ataques de ingeniería social, nos permite incrementar nuestra seguridad digital. Esta ventaja nunca la tendrá aquella persona que jamás ha recibido alguna capacitación, en temas relacionados con la ciberseguridad.

Y recuerde, en Lavandeira Systems estamos comprometidos a brindarle el mejor servicio posible. Estamos aquí para ayudarlo con todas sus necesidades de IT, desde el mantenimiento básico de computadoras hasta los proyectos más complejos. Contáctenos hoy para obtener más información sobre nuestros servicios o para programar una consulta.

¡Déjenos saber cómo podemos ayudarlo!

Crédito de la imagen: MightyFineBros en Pixabay

Gracias por compartir:

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.