Qué es la Ingeniería Social y por qué merece toda nuestra atención

Qué es la Ingeniería Social y por qué merece toda nuestra atención

Los ataques y estafas a través de la web requieren de conocimiento informático. Eso está más que claro. Sin embargo, existe un arma más letal de la que se valen los ciberdelincuentes para cumplir sus cometidos; una herramienta infalible que hace que sus estrategias sean exitosas y que sus víctimas sigan en aumento: la Ingeniería Social.

Un estudio de The Digital Guardian, compañía experta en custodia de datos, reveló que el 97% de los ataques informáticos no explotan fallas de software, sino que recurren a estrategias de Ingeniería Social para obtener la información necesaria e ingresar así a sistemas complejos con el fin de cometer sus fechorías.

Cada año, en América Latina y el Caribe los ciberataques provocan pérdidas que alcanzan los US$ 90 mil millones. El Perú es el séptimo país más afectado y según la División de Investigación de Alta Tecnología (Divindat) de la Policía Nacional del Perú, cada mes se denuncian al menos 120 delitos informáticos; de ellos, el 50% de ellos corresponden a fraudes y el 10% a suplantaciones de identidad.

¿Qué es exactamente la Ingeniería Social?

Para comprender mejor su poder, primero hay que entender bien de qué se trata. Cuando hablamos de Ingeniería Social nos referimos al arte de convencer o manipular a una persona a través de habilidades y técnicas psicológicas con el fin de que cumpla un objetivo determinado.

Los ciberdelincuentes explotan sus estrategias cuando intentan engañar a la gente para obtener información valiosa como contraseñas, datos bancarios o cuando ejercen algún tipo de manipulación con el fin de tener acceso a equipos para instalar programas maliciosos.

En realidad, la presencia de la Ingeniería Social no es algo nuevo entre nosotros, siempre ha sido una de las herramientas preferidas por los ciberdelicuentes para cometer sus delitos. Y es que resulta más sencillo manejar a las personas que a las máquinas, y cuanto más se sabe acerca de un individuo u organización, más fácil será atacar su seguridad.

Mientras se hace una compra online, se interactúa en redes sociales o incluso cuando se abre un correo, estos inescrupulosos hacen uso de sus tácticas para suplantar identidades y manipular a sus víctimas.

¿Cuáles son las técnicas más conocidas de Ingeniería Social?

Más allá de la plataforma, del hardware o software que se utilicen, las técnicas más conocidas de Ingeniería Social son:

Phishing: cuando se crean y utilizan sitios web y correos electrónicos con el fin de suplantar a instituciones legítimas para que los usuarios revelen información personal que los ayude a cometer sus ataques. Un ejemplo usual de esta modalidad son los correos electrónicos que simulan ser enviados por bancos y piden al usuario ingresar el número de tarjeta y contraseña para recuperar o validar un servicio. ¡Nunca lo hagas!

Spear Phishing: los ciberdelincuentes pasan bastante tiempo investigando a sus víctimas para elaborar información específica. Por ejemplo, preparando un archivo malicioso con un detalle que haga referencia a un tema de su interés. Suelen estar dirigidos a grandes organizaciones.

Clone Phishing: cuando el atacante crea un mensaje idéntico al de la firma que está suplantando y envía un correo electrónico desde una dirección -a la vez- muy similar al del remitente legítimo. El cuerpo del mensaje también es muy parecido al original, pero el detalle malicioso se encuentra en el archivo adjunto o en el enlace que incluye el correo.

Vishing: conocida como el ‘Phishing de Voz’, son llamadas telefónicas de personas que se hacen pasar por una entidad conocida y respetada para conseguir información confidencial de sus víctimas. Por ejemplo, pueden solicitarles que llamen a un número y que ingresen la información de su cuenta o PIN por razones de seguridad u otros fines -supuestamente- oficiales.

Bating: es una técnica que utiliza medios físicos y se basa en la curiosidad de la víctima. El atacante puede distribuir memorias flash infectadas con malware o dispositivos similares con la esperanza de que el hardware se inserte en ordenadores conectados para diseminar el código malicioso. Como consecuencia, sin saberlo, el usuario termina instalando un malware que podría darle a un hacker acceso sin restricciones a una computadora y tal vez a la red interna de la empresa.

Whalling: conocida también como ‘Cazaballenas’, suele enfocarse en directivos o altos funcionarios de corporaciones. Este tipo de ataques requiere de una minuciosa y exhaustiva investigación, pues hace falta saber con quiénes interactúa la víctima y el tipo de conversaciones que tiene. Suele iniciarse con Ingeniería social para reunir información antes de recurrir a un mensaje de phishing y concluir el ataque con éxito.

Smishing: cuando los cibercriminales suplantan la identidad de una compañía a través de mensajes de texto con los que intentan redirigir al usuario a un sitio web fraudulento para obtener su información personal, robar sus datos bancarios o infectar su dispositivo con algún virus.

Hunting: son aquellos que buscan obtener información de sus víctimas con la menor exposición posible. Su orientación suele ser muy concreta: puede ser para obtener una clave o desactivar una configuración.

Farming: cuando los ciberdelincuentes realizan numerosas interacciones con sus potenciales víctimas con el afán lograr su objetivo o en todo caso de reunir la mayor  cantidad de información para hacerlo. Por ejemplo, cuando buscan sembrar pánico entre sus víctimas con presuntos videos privados o futuros ataques contra su empresa.

Juego de roles: cuando se divulga información confidencial a través de chats en línea, correos electrónicos o llamadas telefónicas. Para lograrlo, los ciberdelincuentes se hacen pasar por un servicio de ayuda o un empleado de la compañía con el fin de convencer al público y no levantar sospecha.

Dumpster Diving: cuando el atacante obtiene data sobre la organización de la empresa y su estructura orgánica en los contenedores de basura. Esta información puede contener detalles valiosos como organigramas, calendarios de reuniones, nombres de usuario, contraseñas o hardware desactualizado de forma descuidada o que no suele estar identificado.

Shoulder Surfing: cuando el atacante se vale de técnicas de observación para obtener información. Puede ser a una distancia corta o con largo alcance, utilizando alguna herramienta que le ayude a tener una visión privilegiada. Ten mucho cuidado porque este puede sustraer información confidencial incluso cuando escribes tu contraseña en un dispositivo.

Ingeniería social Inversa: cuando el atacante convence a su objetivo de que está involucrado en un problema, y este lo ayuda a resolverlo. Se divide en tres partes:

  1. Sabotaje: después que obtiene acceso al sistema o le da la apariencia de estar invadido y el usuario comienza a buscar ayuda para resolver el problema.
  2. Marketing: cuando el atacante se hace pasar como la única solución al problema y se asegura que su víctima lo vea.
  3. Soporte: una vez que el atacante se gana la confianza de su objetivo y obtiene la información confidencial que buscaba.

¿Cómo pueden protegerse las pequeñas y medianas empresas de estos riegos?

Jesús Napurí, experto en ciberseguridad, considera que la educación y la cultura de seguridad son los riesgos más críticos con los que deben lidiar siempre las organizaciones, tanto aquellas corporaciones con grandes inversiones en tecnologías y herramientas de seguridad, como las pequeñas y medianas empresas, con presupuestos y controles de seguridad más austeros.

“Es necesario desarrollar un programa de Awareness, para que sus miembros tomen conciencia de lo importante que es la Seguridad de Información. El objetivo es que los usuarios se preocupen y respondan ante alguna situación de riesgo que afecte la seguridad y continuidad del negocio”, explica.

Napurí indica que para lograr esta concientización es necesario que el programa se gestione como un cambio en la cultura organizacional, apoyado por la alta dirección. “La estrategia debe ser constante para que madure en el tiempo y el negocio establezca una operación segura y confiable”, advierte.

Otras formas de hacerle frente a la Ingeniería Social

Algunas empresas han visto conveniente anular los puertos USB, entradas de CD u otros dispositivos de sus ordenadores. Pero -para ser realistas- esta medida es apenas un paliativo momentáneo.

Además de concientizar a sus colaboradores, es recomendable que las empresas cuenten con un firewall que controle debidamente el acceso de los ordenadores a la red. Estos deben tener un antivirus actualizado, al igual que un antispam inteligente y muy dinámico.

Una buena idea es fijar un manual de estrategias en el que se explique a los trabajadores por qué es importante no abrir correos desconocidos, confirmar las identidades de las personas con las que interactúan e incluso comprobar vía telefónica si sospechan que alguien está suplantando la identidad de alguno de los colaboradores.