Guía de ciberamenazas – Ingeniería social

Ataques basados en ingeniería social – El engaño como arma de delito

¿Qué es la ingeniería social? Tomando como concepto el publicado por INCIBE tenemos: “es una técnica que emplean los ciberdelincuentes para ganarse la confianza del usuario y conseguir así que haga algo bajo su manipulación y engaño, como puede ser ejecutar un programa malicioso, facilitar sus claves privadas o comprar en sitios web fraudulentos.” Partiendo de lo anterior ya podemos tener una idea clara del concepto general para partir desde este punto con la guía de ciberamenazas.

La idea fundamental es usar todos los recursos y habilidades informáticas o no para engañar a una víctima objetiva.

Similar al tema de los ataques vulnerando las contraseñas de la guía de ciberataques, en algunos casos de la ingeniería social el gestor de contraseñas funciona como un escudo que detiene y da señales de alerta sobre una posible amenaza.

Vamos a abordar las formas más conocidas de ataque, la manera en que se ejecutan y la forma de prevenirlo. Cerrando con un resumen de buenas practicas para evitar ser víctimas de esta modalidad de engaño.

Formas de ataques de ingeniería social más comunes

Phishing, Vishing y Smishing

Se basan en la pesca de datos con carnadas llenas de emocionalidad.
Guía de ciberamenazas – Se basan en la pesca de datos con carnadas llenas de emocionalidad.

Estos ataques se basan en el concepto de “pesca de información” ¿Cuál suele ser el anzuelo? mensajes donde se suplanta la identidad de un ente reconocido como un banco, institución financiera, eCommerce, organismo público, red social, y muchos más. En general se oculta en una marca de confianza para ofrecer promociones extraordinarias, acciones urgentes de actualización de datos, ofertas basadas en necesidades y urgencias médicas entre otros.

El concepto en cada uno de los casos es el mismo, engañar en nombre de una marca de confianza para extraer datos, extorsionar, crear fraudes electrónicos, robar dinero y cualquier forma de afectar a la víctima. Según el medio en que se ejecute se pueden denominar en:

Phishing: El medio de preferencia es el correo electrónico, redes sociales o aplicaciones de mensajería instantánea.

Vishing: En este caso se emplean las llamadas de llamadas de teléfono para cometer los fraudes.

Smishing: El canal que se usa para este tipo de ataques son los SMS.

Recientemente hicimos un artículo dedicado al phishing y suplantación de identidad en redes sociales.  En él puede ampliarse más sobre este ítem y complementar la información de esta guía de ciberamenazas.

Baiting o Gancho

Se sustentan en los pilares de la curiosidad humana.
Guía de ciberamenazas – Se sustentan en los pilares de la curiosidad humana.

La curiosidad humana es muy grande, esto lo conocen bien los delincuentes informáticos y emplean técnicas para explotar esta característica. Se enfoca en el uso un medio físico para infectar los equipos y redes.

Las memorias USB y pendrives son los más comunes. Los atacantes infectan el dispositivo con malware y lo dejan “accidentalmente” en un lugar donde la víctima pueda tomarlo. La curiosidad humana llevará a que la persona que lo consigue lo introduzca en su equipo para verificar el contenido, una vez hecho esto, ya se encuentra infectado.

Otra de las formas es por medio de anuncios y webs que ofrecen concursos y premios que atraen a los usuarios. Estos al dejarse llevar por la curiosidad terminan dejando sus datos para recibir “la premiación”, sin saber que se trata de una estafa.

Hace unos meses pasaban un programa en la National Geographic dedicado a las estafas telefónicas. Uno de los delincuentes entrevistados indicó que le manda llaves de BMW y Mercedez Bens a sus víctimas para que crean que se han ganado un coche de lujo.

La prevención de este tipo de ataques es similar a la que se aplica en la amenaza anterior de phishing, es necesario estar atentos y no creer tanto en la suerte de conseguir cosas así nada más.

Shoulder Surfing – Mirar por encima del hombro

Aunque cueste creerlo, es una de las formas que se dan en la ingeniería social.
Aunque cueste creerlo, es una de las formas que se dan en la ingeniería social.

En esta guía de ciberamenazas nos encontramos con que el factor común de la ingeniería social es el engaño para conseguir los datos sensibles de las víctimas. En este caso se trata de una técnica un tanto rudimentaria pero efectiva, y no es más que esos mirones que mientras alguien está entretenido en la pantalla puede estar cerca para copiar datos sensibles. De este tipo de casos hay muchos memes de parejas que tienen un ojo en sí móvil y otro en el de su acompañante.

La mayoría de las personas piensa en hackers con grandes conocimientos de informática y programación tras los ataques de piratería, pero no siempre es así. Este es un método menos tecnológico pero que da sus resultados. En lo personal no uso un patrón de desbloqueo del móvil precisamente por lo simple que resulta deducirlo para quienes están alrededor.

Para prevenir este tipo de ataques es necesario estar atentos en el entorno donde se usa el móvil o telecajeros. Nuevamente el uso de un gestor de contraseñas puede reducir este tipo de ataques, dado que para ingresar a los servicios y aplicaciones no es necesario introducir contraseñas, el propio gestor las incorpora de manera oculta.

Dumpster Diving o Hurgar en la basura 

Si no se toman las medidas de seguridad necesarias con las cosas que se mandan a la basura se corre riesgo de vulnerabilidad.
Si no se toman las medidas de seguridad necesarias con las cosas que se mandan a la basura se corre riesgo de vulnerabilidad.

La basura de unos es un tesoro para otros, esta es una frase icónica, y en este caso los delincuentes informáticos no escatiman esfuerzos en conseguir las vulnerabilidades de su víctima. Seguramente salta la pregunta de ¿qué tanto puede haber en la basura que me comprometa? piensa si rompiste bien los últimos exámenes médicos que arrojaste al contenedor. Si ese cuaderno viejo que has botado contenía información sobre tus actividades o ingresos. Si ese móvil antiguo que has desechado podía contener aún tu lista de contactos. Si esas hojas de archivo muerto que han decidido lanzar a la basura estaban debidamente trituradas.

La lista puede ser extensa, pero la idea inicial de la guía de ciberamenazas es evidenciar que muchas veces de manera inconsciente botamos documentos, papeles, dispositivos e información que puede resultar valiosa para otros. Tanto es así que hay casos de la vida real de personas que se han hecho famosas por este tipo de ataques, por citar un par de ellos tenemos a Jerry Schneider y Matt Malone.

Para protegerse de estos ataques es necesario tener una correcta conciencia de seguridad y la información sensible que se puede mandar a los contenedores. Por regla las empresas deberían de triturar todos los documentos que vayan a parar a la basura. Al tiempo que los dispositivos de almacenamiento de datos deben ser formateados de manera profunda y preferiblemente destruidos antes de ser desechados.

Spam

El spam es una de las tácticas más conocidas.
Guía de ciberamenazas – El spam es una de las tácticas más conocidas.

Este es uno de los métodos más conocidos, de hecho la mayoría de proveedores de correo electrónico los detecta y coloca en una carpeta aparte. Suelen ser mensajes masivos destinados a listas enormes de contactos sin haber deseado tal información. 

En el común de los casos incluyen ofertas, promociones asombrosas, historias de príncipes africanos que necesitan un rescate, vacunas exclusivas contra el COVID-19 y mucho más, todo depende de la creatividad del ciberdelincuente. Otra de las formas es incluir un malware, que se envía como un archivo adjunto infectado de algún código malicioso.

En general, para evitar ser víctimas del contenido de estos mensajes es necesario afinar la intuición y el sentido común.

Prevención de ataques de ingeniería social

En general las recomendaciones son conocidas por la mayoría de los internautas, solo que por razones habituales de los seres humanos, la tendencia a la confianza hace que un alto porcentaje pase por alto estas medidas. Bajar la guardia en materia de ciberseguridad puede dejar abierta la puerta a los delitos informáticos.

Siguiendo las recomendaciones que se presentan en la siguiente imagen es mucho lo que se logran reducir las amenazas, después de todos nadie quiere ser víctima de filtraciones de datos.

Cómo prevenir ataques de ingeniería social.
Cómo prevenir ataques de ingeniería social.

En general la mayoría de los ataques de ingeniería social se centran en las emociones humanas y el engaño. Es por ello que es necesario traer un poco de la suspicacia que todos tenemos en el entorno físico al virtual para mantener las alarmas activadas.

Con esto llegamos al final de esta guía de ciberamenazas, recuerda que el gestor de contraseñas LastPass ofrece incluso protección para algunas de las modalidades de este tipo de ataques. Aprovecha y concreta una prueba gratuita para que observes lo simple de su funcionamiento y todo lo que puede hacer para protegerte y facilitarte la vida.

Prueba sin cargo LastPass

Tambíen te pueden interesar