Menú
Conoce las principales tendencias en ciberseguridad para 2023 con este ebook.
En este artículo te hablaremos acerca de una de las formas de ciberdelincuencia más conocidas: la ingeniería social.
Nos parece interesante escribir sobre este tipo de ataque, puesto que resulta peculiarmente amenazante porque se origina en descuidos humanos en lugar de ser la consecuencia de debilidades informáticas y sistemas operativos.
Los fallos cometidos por usuarios humanos son muchos más impredecibles y, como resultado, más difíciles de reconocer y contrarrestar que los causados por software.
Por esta razón, a medida que este género de ciberataques se hace cada vez más común, comentaremos en profundidad sus técnicas y prevenciones.
El término de «ingenierías social» se utiliza para identificar una gran variedad de actividades maliciosas realizadas por medio de interacciones humanas.
Estas prácticas se basan en la manipulación psicológica para lograr que los usuarios cometan errores de seguridad o entreguen datos confidenciales.
Los ataques se llevan a cabo en uno o más pasos. Primero, el ciberdelincuente se informa sobre la víctima, recolectando información como posibles entradas de vulnerabilidad y protocolos de seguridad débiles para continuar con el ataque.
Después, el hacker trata de ganarse la confianza de la víctima para persuadirla a realizar acciones que vayan en contra de los protocolos de seguridad, tales como entregar información privada o dar acceso a recursos de la organización.
Los incidentes de ingeniería social pueden presentarse de varias maneras y pueden suceder en cualquier ámbito donde exista interacción entre personas.
Las cinco maneras habituales de agresiones de ingeniería social incluyen:
BAITING
Los ataques de baiting, se sirven de una oferta ilusoria para lograr provocar curiosidad en la víctima y generar el deseo de ganancia.
Estos cebos llevan a los usuarios a un engaño que roba sus datos privados o introduce malware a sus dispositivos.
Un ejemplo de tal acción sería los cibercriminales dejando un troyano dentro de un USB en ubicaciones que las víctimas fácilmente descubren (baños, elevadores, estacionamientos de empresas).
Los empleados, víctimas del ciberataque, cogen el dispositivo por interés o curiosidad, y lo exploran en un ordenador o dispositivo de la empresa, lo que resulta en una instalación inmediata de la amenaza existente en él.
Estos esquemas no tienen que ser necesariamente ejecutados con hardware, sino que también pueden ser anuncios tentadores que llevan a sitios maliciosos o los usuarios descargan aplicaciones infectadas con malware.
SCAREWARE
La amenaza de scareware implica que el objetivo sea bombardeado con falsas notificaciones y advertencias ficticias.
Los usuarios son engañados para creer que su dispositivo ha sido infectado con malware, lo que los motiva a descargar un programa sin ninguna utilidad real, excepto para el hacker, ya que se trata de malware en sí mismo.
Una forma común de scareware son los mensajes emergentes con apariencia legítima que aparecen en la pantalla mientras se navega por internet, con un texto como: «Su dispositivo puede estar infectado con malware dañino». Ofreciendo la instalación de la herramienta (normalmente infectada con malware) o llevarlo a un sitio web malicioso donde los dispositivos quedarán infectados.
Además, el scareware también se difunde a través de correos electrónicos no deseados que contienen falsas advertencias, o que ofrecen servicios innecesarios o nocivos para que los usuarios los compren.
PRETEXTING
En el pretexting, un invasor adquiere información a través de engaños.
El ciberataque a menudo se inicia por un pirata informático que se hace pasar por alguien que necesita datos privados de la víctima para completar una labor.
Normalmente, el ciberdelincuente empieza creando una relación de confianza con su víctima, fingiendo ser compañeros de trabajo, policías, empleados bancarios y fiscales, o cualquier otra persona con derecho a conocer la información secreta.
El hacker hace preguntas para verificar la identidad de la víctima y recopilar información relevante. Con esta estafa, se consigue todo tipo de registros e información, como números de la seguridad social, direcciones personales y teléfonos, historial telefónico, fechas de vacaciones de personal, historiales bancarios e incluso información de seguridad vinculada a una instalación física.
PHISHING
Es una de las técnicas de ingeniería social más conocidas dentro de los problemas de ciberseguridad existentes.
Este tipo de ciberamenazas, normalmente son campañas de emailing dirigidos a generar preocupación, interés o temor en los usuarios.
Tienen el objetivo de exponer información personal, hacer clic en vínculos a sitios web maliciosos o abrir archivos adjuntos que llevan algún tipo de malware.
Uno de los ejemplos más comunes, es un emailig enviado a usuarios determinados que alerta sobre un incumplimiento de la política que requiere una acción inmediata, como la modificación de la contraseña.
Asimismo, contiene un enlace a un sitio web falso, similar en apariencia al correo electrónico oficial, que pide al usuario ingresar sus credenciales actuales y una nueva clave.
Tras enviar el formulario, la información es enviada al atacante.
Este tipo de mensajes son bastantes parecidos, es importante informarse sobre ellos para detectarlos y evitar estos ciberataques.
SPEAR PHISWHING
Se trata de una variación más detallada de la estafa de phishing, puesto que el agresor elige a personas u organizaciones específicas.
Adaptan sus emails según las peculiaridades de los empleados, para conseguir una mayor veracidad.
Esta técnica requiere más esfuerzo por parte del hacker y puede tardar semanas y meses en completarse. Son mucho más difíciles de encontrar y de detectar, y tienen mejores tasas de éxito, puesto que la preparación es mayor.
Un escenario de spear phishing podría implicar a un agresor que, actuando como el experto en TI de una compañía, envía un correo electrónico a uno o más trabajadores.
Este email estaría redactado cuidadosamente, como si realmente lo hiciese la persona encargada de ello, lo cual, engaña a los destinatarios para que crean que es un correo electrónico auténtico.
Estos mensajes suelen pedir a los destinatarios que modifiquen su contraseña y les ofrece un enlace que los deriva a una web maliciosa.
Los estrategas cibernéticos alteran las capacidades cerebrales de las personas, así como sus emociones, como la curiosidad o el miedo. Lo hacen para poder ejecutar sus ciberataques y atraer a las víctimas a sus trampas,
Por ello, es importante tener precaución cada vez que veas una advertencia por un correo electrónico o en una oferta mostrada en un portal de internet.
Aumentar la vigilancia puede ayudar a defenderse contra la mayoría de las técnicas de ingeniería social desarrolladas.
Además, los siguientes consejos mejorarán la defensa contra los ataques de estrategia cibernética:
En caso de que sospeches del remitente, verifica la información de otras fuentes, como llamando por teléfono o visitando su sitio web.
Recuerda que los remitentes de correo electrónico se pueden falsificar. Incluso un mensaje que supuestamente proviene de una fuente fiable puede ser generado por un ciberdelincuente.
Emplea la autenticación multifactorial. Uno de los datos más preciados buscados por los agresores son las credenciales del usuario. La utilización de autenticación multifactorial asegura tu cuenta en caso de que el sistema sea vulnerado.
También es importante mantener una buena estrategia de contraseñas, por ello, un software en gestión de contraseñas puede ser de gran utilidad.
Si una propuesta es demasiado atractiva, reflexiona antes de asumirla como verdadera. Buscar más información puede contribuir a distinguir si se trata de un ofrecimiento legítimo o de una estafa.
Comprueba que las actualizaciones automáticas estén disponibles y que se realizan adecuadamente.
Revísalo regularmente para asegurarte de que se hayan implementado dichas actualizaciones correctamente, y controla tu sistema por si hubiera alguna infección.
Sin duda alguna, para realizar esta serie de tareas, aconsejamos un software RMM que permita la monitorización de los dispositivos.
Como conclusión, señalar que, como se ha visto a lo largo del artículo, uno de los focos más vulnerables dentro de una empresa son los propios empleados.
Por ello, desde ADM Cloud & Services, ofrecemos herramientas de formación que simulan ataques cibernéticos a través de emailing, formando al empleado de la manera más real posible.
Si te interesa o necesitas más información acerca de cómo combatir este tipo de prácticas fraudulentas, ¡no dudes en ponerte en contacto con nosotros!
