Qué es la ingeniería social y por qué es una amenaza en 2022
Karen Gárate Ferj
Parte de MasterBase en Ecuador y Emprendedora. Me especializo en Automatización de Procesos / Transformación Digital / Email Marketing / Marketing Automation / Data Driven
Si piensas que tu empresa está libre de ataques cibernéticos porque a diario se instala herramientas de seguridad informática, se hace ajustes para protegerla de las amenazas más recientes, se aplica parches a los servidores y terminales, y se vuelve a crear una imagen de los sistemas cuando se infectan con un virus, lamentamos decirte que sólo estás haciendo la mitad del trabajo.
Algunos de los ataques cibernéticos más efectivos no están dirigidos al hardware o al software, sino a las personas. Son los ataques de ingeniería social que, para lograr su objetivo, suelen no requerir más que un número de teléfono o una dirección de correo electrónico. Y debido a que los humanos son más propensos a cometer errores que los programas antivirus, este tipo de ataques se hace cada vez más habitual.
Te explicaremos cómo puedes protegerte de ellos.
¿Qué es un ataque de ingeniería social?
Es una técnica dirigida a inducir –mediante el engaño y la manipulación– errores humanos en la protección de la información, aprovechándolos para comprometer la seguridad de los sistemas informáticos.
Es una forma de manipulación en la que los atacantes imitan una fuente confiable para convencer a las personas de realizar ciertas tareas, como otorgar acceso a una computadora o cuenta, o revelar información confidencial, como contraseñas.
Los ciberdelincuentes utilizan una variedad de técnicas para engañar a las personas desprevenidas para que abran enlaces maliciosos, descarguen archivos adjuntos infectados o visiten sitios web comprometidos, en un esfuerzo por robar directamente las credenciales bancarias, los inicios de sesión de la red y la propiedad intelectual, o incluso obtener acceso a los administradores para aumentar el impacto del ataque.
Los atacantes saben que algo tan simple como una llamada o un mensaje electrónico convincente podría proporcionarles credenciales de inicio de sesión que los lleven a puntos de apoyo en las redes comerciales o a otros medios para el lucrativo robo de identidad.
Funciona así: primero, un atacante llamará o enviará un correo electrónico a un servicio de asistencia y se hará pasar por su objetivo. Dirán que han olvidado su contraseña y, por lo general, inventarán una historia creíble sobre esto.
Convencerán a un representante de servicio al cliente para que cambie la dirección de correo electrónico registrada del objetivo a una dirección que pertenezca al atacante, y luego se enviará un token de restablecimiento de contraseña a esa dirección. Con eso, el atacante tendrá acceso completo a la cuenta del objetivo.
¿Cuáles son las técnicas de ingeniería social a tener en cuenta?
Phishing
Es la forma más común de ingeniería social. Los atacantes lanzan estafas de phishing que utilizan correos electrónicos ingeniosamente diseñados para capturar información personal utilizando URL o archivos adjuntos maliciosos y creando una sensación de urgencia para que las víctimas respondan.
Sin embargo, no todos los atacantes realizarán ingeniería social pretendiendo ser una figura de autoridad, un representante de servicio al cliente u otra fuente confiable.
Pretexting
Los atacantes que usan esta técnica crean un escenario falso y una razón para necesitar la información personal de las víctimas. En muchos casos, los estafadores fingirán que hay una razón por la que necesitan pequeñas cantidades de información personal para confirmar la identidad de la víctima. Mientras que el phishing se basa en el miedo y la urgencia, el pretexto tiene como objetivo crear un sentido más profundo de confianza entre el atacante y la víctima.
Cebo (Baiting)
No todas las formas de estafa son digitales, el baiting es un híbrido. Los hackers dejan en sitios estratégicos USB infectados con malware, lugares como estaciones de autobús, tren o metro, establecimientos públicos o universidades. De esta forma, gracias a la curiosidad innata del ser humano, logran infectar el ordenador del incauto que conecte el USB extraviado para mirar su contenido.
Smishing
Es un tipo de phishing, que se lleva a cabo a través de SMS, cuya clave está en la celeridad que demanda el atacante durante su comunicación con la víctima. Suelen simular una situación de urgencia de un compañero o familiar, para provocar una reacción rápida, sin darle tiempo a sospechar que se trata de una estafa.
Caza de ballenas (Whaling)
Es una evolución de los ataques de phishing que también implica el robo de información confidencial y credenciales de inicio de sesión. A diferencia de las campañas de phishing, la caza de ballenas se dirige exclusivamente a víctimas de alto valor: ejecutivos de empresas, agencias gubernamentales, etc.
Recomendado por LinkedIn
Watering Hole
En la mayoría de los casos de ingeniería social, los atacantes buscan sacar provecho de las personas desprevenidas. Pero en el caso de los “ataques de abrevadero” el objetivo son las páginas web públicas, a las que inyectan código malicioso. Cuando una víctima visita la página web infectada, se instala un troyano de puerta trasera para que los atacantes puedan acceder a la computadora de la víctima. Esta técnica es más común entre atacantes patrocinados por sus gobiernos y otras formas de espionaje.
¿Cómo reconocer los ataques de ingeniería social?
Ten mucho cuidado con cualquier consejo o ayuda no solicitados, especialmente si requieren alguna acción de tu parte, como hacer clic en un enlace o descargar un archivo. Es muy probable que cualquier solicitud de contraseñas o información personal sea un ataque de ingeniería social.
Ten cuidado si recibes una llamada de alguien que dice ser soporte técnico o pretende hacer una "inspección" no programada. El soporte técnico está tan ocupado que es poco probable que busquen nuevos problemas y las visitas de inspección son probablemente intentos de instalar software como registradores de tecleo en tus computadoras.
Mantente alejado de todo lo que transmita sensación de urgencia, pues buecan engañarte e impedirte usar tu mejor juicio, y ten cuidado con las historias tristes u otras formas de manipulación psicológica.
Siempre haz referencias cruzadas y verifica dos veces. Si recibes un correo electrónico o una llamada telefónica sospechosa o cualquier cosa que te pida que divulgues información o realices una tarea, verifica que sea legítimo antes de hacer nada.
¿Cómo protegerse contra los ataques de ingeniería social?
Hay dos formas de defenderse de los ataques de ingeniería social.
1. En primer lugar, está la tecnología. Una solución conocida como DMARC (Domain-based Message Authentication, Reporting & Conformance) está diseñada para detectar y poner en cuarentena los correos electrónicos falsificados.
Esto significa que la dirección que ve el destinatario no es la dirección que realmente envió el correo electrónico. Si bien esta tecnología protege a los consumidores de una marca al garantizar que sus correos electrónicos no se puedan usar para causar daño, las tasas de adopción son muy bajas: menos del 50 por ciento en todas las industrias.
2. En segundo lugar, está la política. En este caso, nos referimos a la capacitación en concientización sobre seguridad. Los administradores de seguridad capacitan a sus trabajadores probándolos con ejemplos de correos electrónicos falsos. El objetivo es hacer que los empleados puedan diferenciar entre un correo electrónico falso y uno genuino.
La concientización sobre seguridad es más que moderadamente efectiva: las tasas de apertura de correos electrónicos de phishing disminuyen en un 75 % después de la capacitación. Pero ten presente que a los atacantes les basta con engañar a una persona para lograr su cometido.
Cómo evadir la ingeniería social
Para evitar convertirte en víctima, lo mejor es, en primer lugar, estar siempre informado sobre cómo funcionan las estafas y los ataques, y, en segundo lugar, siempre verificar dos veces.
Si has sido víctima de un ataque de ingeniería social, lo mejor que puedes hacer es instalar un antivirus de alta calidad en tu computadora para eliminar cualquier amenaza que los atacantes hayan dejado allí, como el malware. Estos archivos maliciosos pueden estar en segundo plano, esperando registrar qué teclas pulsas para robar tu información personal.
También es aconsejable investigar el remitente de la comunicación, llamando al servicio al cliente oficial de la empresa o poniéndose en contacto con el familiar o compañero en nombre de quien supuestamente se están comunicando. Asimismo, desconfía de ofertas y ventajas demasiado buenas o gratuitas, ya que son un gancho muy recurrido en las estafas que utilizan ingeniería social.
También recomendamos cambiar todas tus contraseñas. Usar un administrador de contraseñas confiable como 1Password es una excelente manera de hacerlo.
Conclusión
La razón por la que la ingeniería social es un componente tan universal de los ataques cibernéticos es que, cuando se realiza con éxito, brinda acceso directo a una red central o cuenta de usuario.
Todas las defensas perimetrales del mundo no detendrán a un atacante que simplemente puede iniciar sesión en una cuenta de administrador con las credenciales adecuadas.
Por eso, además de contar con las herramientas adecuadas para la prevención, detección y respuesta, debes centrarte en la educación y la concientización para detener la ingeniería social.
Blog MasterBase: Por Alejandro Durán - Chief Marketing Officer