Ataques de ingeniería social: qué son y cómo prevenirlos

La ingeniería social es el acto de engañar o manipular a alguien a través de técnicas psicológicas y habilidades sociales para que divulgue información confidencial o facilite al atacante acceso a sistemas, redes, ubicaciones físicas, y también para obtener ganancias financieras.

La idea detrás de la ingeniería social es aprovechar las tendencias naturales y las reacciones emocionales de las personas (curiosidad, avaricia miedo, respeto a la autoridad, voluntad de ayudar etc.) ante diversas situaciones.

Para acceder de manera ilegal a una red informática, un ciberdelincuente puede instalar un troyano, o buscar una vulnerabilidad en una pieza de software.

Sin embargo, un ingeniero social no necesita utilizar malware para comprometer un sistema o robar datos confidenciales.

Por ejemplo, podría hacerse pasar por personal de soporte técnico y mediante una llamada telefónica o un correo electrónico engañar a una persona para que le facilite sus credenciales de inicio de sesión.

Esto le ahorra al delincuente tener conocimientos técnicos y reduce la posibilidad de que sea detectado por las medidas de seguridad convencionales como antivirus o cortafuegos.

Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa en errores humanos, en lugar de en vulnerabilidades en el software y los sistemas operativos.

Los errores cometidos por los usuarios son mucho menos predecibles, lo que los hace más difíciles de identificar y frustrar que una intrusión basada en malware.

Tipos de ataques de ingeniería social

Los ataques de ingeniería adoptan muchas formas diferentes y se pueden llevar a cabo en cualquier ambito que involucre la interacción humana.

Cebo (Baiting)

Como su nombre indica, los ataques de cebo utilizan distintos medios para despertar la codicia o la curiosidad de la víctima.

Atraen a los usuarios a una trampa para robar información personal o inyectar software malicioso en sus sistemas. La forma más utilizada de cebo se vale de medios físicos para propagar el malware.

Por ejemplo, los atacantes dejan el anzuelo, generalmente en forma de unidades flash troyanizadas, en lugares visibles como por ejemplo, aceras, baños, ascensores, o el estacionamiento de una empresa objetivo.

Las víctimas recogen el cebo, y movidas por la curiosidad lo insertan en un ordenador del trabajo o el de su propia casa, infectando su sistema.

Las estafas de cebo no necesariamente tienen que llevarse a cabo mediante un medio físico.

También pueden perpetrarse insertando en una página web anuncios atractivos que conducen a sitios maliciosos o que alientan a los usuarios a descargar una aplicación infectada con software malicioso.

Phishing

Es posiblemente el tipo de ataque de ingeniería social más conocido.

Podríamos decir que es todo un clásico.

Se trata de campañas mediante mensajes de texto o correos electrónicos destinados a crear una sensación de urgencia, curiosidad o miedo en las víctimas para que revelen información confidencial, hagan clic en enlaces a sitios web maliciosos o abran archivos adjuntos que contienen malware.

Un ejemplo, podría ser un correo electrónico supuestamente procedente de un servicio en línea legítimo notificando una infracción en la política de seguridad que requiere una acción inmediata por parte de la víctima, como un cambio de contraseña.

Este correo, podría incluir un enlace a un sitio web clonado y casi idéntico a su versión original, que solicita al usuario que ingrese sus credenciales actuales y su nueva contraseña.

Una vez enviado el formulario, la información caerá en manos del atacante.

Spear phishing

El spear phishing es un método de phishing que se dirige a personas o grupos específicos, tanto particulares como pertenecientes a una organización.

Para ello, el atacante realiza previamente una investigación sobre el objetivo para adaptar sus mensajes en función de las características personales o profesionales de la futura víctima.

Y tienen muchos medios para hacer un perfil de la persona a la que pretenden estafar. Empezando por internet, donde conviven muchas fuentes de información.

• Clientes, socios, proveedores, etc.
• Información económica y financiera.
• Redes sociales profesionales y personales de los empleados que son un hervidero de información sobre personas y empresas.
• Foros, listas de correo y mensajería instantánea.
• Blogs, sitios de citas y plataformas de contratación.

Requiere mucho más esfuerzo por parte del perpetrador y puede llevar semanas y meses planificarlo y llevarlo a cabo.

Son mucho más difíciles de detectar y tienen buenas tasas de éxito si se hacen con habilidad.

Pretextos

El término indica la práctica de hacerse pasar por otra persona para obtener información privada.

Por lo general, los atacantes crean una identidad falsa y la utilizan para manipular la recepción de información.

El atacante intenta establecer un vínculo de confianza con su víctima haciéndose pasar por un compañero de trabajo, funcionario público, empleado del banco, o cualquier otra persona perteneciente a una entidad con la que el objetivo pueda tener relación.

Mediante preguntas que aparentemente son necesarias para confirmar la identidad del usuario, mejorar el servicio o hacer una oferta personalizada recopilan datos personales importantes.

Mediante esta estafa se roba todo tipo de información: direcciones postales y números de teléfono, registros telefónicos, registros bancarios e incluso la información de seguridad de cuentas en línea.

Quid pro quo

Quid pro quo es una frase en latín, que en español se traduce literalmente como algo a cambio de algo o una cosa por la otra.

Por ejemplo un beneficio a cambio de información.

Los estafadores intentan hacen creer a la víctima que se trata de un intercambio beneficioso para ella, pero eso está lejos de la realidad, ya que el tramposo siempre sale ganando.

Un villano puede llamar a un usuario haciendose pasar por del soporte técnico de Microsoft y solicitarle acceder de forma remota a su ordenador con la excusa de solucionar de forma gratuita un problema grave que a surgido con la última actualización de Windows.

Si la cosa tiene exito, el delincuente tomará el control del sistema de la víctima para inyectar malware, robar información personal o hacer todo tipo de cabronadas.

Vishing

Vishing es la versión de voz del phishing  pero por lo demás, el intento de estafa es el mismo.

El delincuente usa el teléfono (principalmente utilizando el Protocolo de Internet o VoIP) para engañar a la víctima y que le entregue información valiosa.

Otra técnica es utilizar un sistema automatizado para llamar a códigos de área específicos con un mensaje procedente principalmente de una entidad bancaria.

Una vez que alguien contesta el teléfono, comienza una grabación genérica o específica, solicitando que el oyente ingrese los números de cuenta bancaria, tarjeta de crédito o débito, junto con los códigos PIN.

En otros casos, un delincuente podría llamar a un empleado haciéndose pasar por un miembro del departamento de informática con el pretexto de que se ha producido un error con sus claves de acceso a la red corporativa.

Intenta convencer a la víctima para que proporcione credenciales de inicio de sesión u otra información que pueda utilizarse para atacar los sistemas informáticos de la empresa.

Técnica de clickbait

El término clickbait hace referencia al método de atrapar a las personas a través de un enlace fraudulento con titulares tentadores.

Los ciberdelincuentes se aprovechan del hecho de que la mayoría de los sitios de contenidos legítimos como por ejemplo la prensa online también utilizan una técnica similar para atraer lectores o para que estos hagan clic en anuncios patrocinados.

Mediante este método, el atacante inserta anuncios atractivos relacionados con juegos, famosos, películas, etc.

Al pulsar en un banner determinado, se puede ejecutar algún tipo de código malicioso e infectar el sistema del usuario.

Consejos para evitar ser una víctima de la ingeniería social

La ingeniería social es una técnica que no requiere de conocimientos de programación y al no estar basada en firmas de malware las soluciones de seguridad poco pueden hacer al respecto.

Como usuario final, solo tú eres el responsable de evitar ser víctima de este tipo de estafa.

Aquí hay algunos consejos para comenzar.

Considera la procedencia de la fuente

• Una memoria USB encontrada en la calle no es necesariamente un buen hallazgo. Podría estar cargada con malware, esperando infectar tu ordenador o la red de la empresa donde trabajas
• Un mensaje de texto o correo electrónico de tu banco no tiene porque proceder necesariamente de este.

Suplantar una fuente confiable es relativamente fácil. No hagas clic en enlaces ni abras archivos adjuntos de fuentes sospechosas.

No importa cuán legítimo parezca ese correo electrónico, es más seguro escribir una URL en tu navegador en lugar de hacer clic en un enlace.

Presta atención a lo que haces en línea

Los ingenieros sociales a menudo cuentan con que sus objetivos actuen rápidamente, sin considerar la posibilidad de que un estafador puede estar detrás del correo electrónico, la llamada telefónica etc.

Si suena demasiado bueno o extraño para ser verdad, posiblemente sea mentira

¿Qué probabilidades hay de que un príncipe nigeriano se acerque a ti para pedirte ayuda?

¿O de qué te haya tocado una lotería en la que nunca has jugado?

Investiga cualquier solicitud de dinero, información personal o cualquier cosa antes de facilitarlo.

Hay muchas posibilidades de que se trate de una estafa, e incluso si no lo es, siempre es mejor prevenir que curar.

Instala un software antimalware y mantenlo actualizado

Compra un software antivirus o instala uno gratuito.

Ninguna solución antimalware puede protegerte de todas las amenazas que buscan poner en peligro la información de los usuarios, pero puede ayudar a neutralizar el software malicioso.

Instala las últimas actualizaciones del software y el sistema operativo

Asegúrate de que tu ordenador y otros dispositivos estén ejecutando las últimas versiones del software instalado y del sistema operativo.

Si es posible, configuralos para que se actualicen automáticamente.

Tener las últimas versiones de las aplicaciones de software y del sistema operativo ayudará a garantizar que estén preparadas para las amenazas de seguridad más recientes y te protegerán de los ataques basados en vulnerabilidades de dia cero.

Una vulnerabilidad de día cero es un error o agujero de seguridad en una pieza de software, hardware o firmware que todavia no ha sido detectado ni corregido.

Cuidado al iniciar sesión

No debemos exponer información al iniciar sesión desde redes inseguras o a través de plataformas que puedan no ser fiables.

También debemos cerrar sesión cuando utilicemos equipos ajenos o compartidos.

El software de correo electrónico puede ayudarte

La mayoría de los programas de correo electrónico pueden ayudar a filtrar el correo basura, incluidas las estafas.

Si crees que el tuyo no está haciendo lo suficiente, o carece de esta característica, haz una búsqueda rápida en línea para averiguar cómo llevar a cabo su configuración, o cambia de cliente de correo.

El objetivo es adaptar los filtros de spam para eliminar la mayor cantidad de correo basura posible.

La ingeniería social está en todas partes, en línea y fuera de línea.

Tu mejor defensa contra este tipo de ataques es el escepticismo, ser consciente de los riesgos y mantenerte alerta.