La ingeniería social riesgo latente contra la intimidad de las personas

En estos momentos de la nueva realidad nos ha llevado en muchas ocasiones a olvidar o saltar controles que en otra época habríamos tenido en cuenta, pero los delitos cibernéticos han aumentado de una manera vertiginosa y su intensidad no se detendrán en un mediano plazo.

A pesar de la comprometida lucha que tiene nuestra Policía Nacional a través de su Centro de Capacidades para la Ciberseguridad de Colombia ‘C4’, en muchas ocasiones son por nuestras propias vulnerabilidades que se presentan, hoy revisaremos la Ingeniería Social, que tiene un papel imprescindible en una gran cantidad de ataques y ciberataques, más allá de lo grande, pequeño o sofisticado que sea el acto delictivo. Pero, ¿en qué se basa? Cuando hablamos de Ingeniería Social, en realidad, estamos hablando de persuasión, de manipulación psicológica y de falta de precaución de la víctima.

La Ingeniería Social es un conjunto de técnicas y estrategias que se utiliza de forma premeditada con el objetivo de engañar a las personas para que faciliten sus datos confidenciales, abran enlaces a sitios web infectados, se descarguen archivos maliciosos o acaben haciendo algo que no desean hacer. La Ingeniería Social también es conocida como el arte del engaño, ya que el ingeniero social utiliza las mejores técnicas que conoce para que aquello que transmita parezca lo más creíble y real posible.

Es decir, intentan captar nuestra atención, en ocasiones a través del morbo y la curiosidad, para que actuemos en función de lo que ellos quieran. Para que se entienda mejor el fenómeno de la Ingeniería Social vamos a usar un ejemplo: Imagina que eres ingeniero social y quieres que alguien se descargue un archivo malicioso en su dispositivo, ¿qué estrategia usarías?

1. OPCIÓN 1: Publicar un post con el texto: “Descárgate este archivo [enlace]”
2. OPCIÓN 2: Publicar un post con el texto: “Con estas claves puedes adelgazar 10 kilos en 7 días [enlace]”

Por sentido común, la víctima es mucho más probable que haga clic en la segunda opción (incluso aunque no quiera adelgazar). Si una persona ve que pinchando en un enlace se descargará un archivo malicioso, obviamente no lo hará. No obstante, si se enmascara el objetivo bajo un titular que pueda provocar curiosidad, morbo o

necesidad, es posible que acabe pinchando en el enlace. A esta actividad se la conoce como un ataque de Ingeniería Social.

TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

La Ingeniería Social es un fenómeno muy amplio, ya que pueden utilizarse diferentes tipos de técnicas para engañar a una persona. Tal y como recomiendan los Profesores Expertos en Inteligencia y Ciberseguridad, para poder comprender todas las actividades de ingeniería social es necesario hacer dos grupos: ataques personales y ataques escalables. El primero estará integrado por todos aquellos ataques que el ingeniero social debe realizar personalmente, mientras que el segundo grupo estará compuesto por todos aquellos ataques que se llevan a cabo de forma automática, escalable y telemática.

Ataques de ingeniería social personales

1. PRETEXTING: Es un ataque de Ingeniería social que utiliza el engaño y argumentos falsos. En pocas palabras, el atacante simula situaciones ficticias para obtener información personal, sensible o privilegiada y utilizarla con fines delictivos. El Pretexting a menudo implica investigar el objetivo antes del ataque. El objetivo principal del actor de la amenaza es ganar la confianza del objetivo y explotarlo a través de una llamada telefónica o en persona. Debido a la falta de concienciación y a los pocos procesos de seguridad que se utilizan tanto en las llamadas telefónicas como en la vida real (cara a cara), lo habitual es que el ingeniero social consiga la información que estaba buscando. Lo que está claro es que cuanta menos información puedan encontrar de manera online sobre una persona, más segura estará.
2. DUMPSTER DIVING: Este ataque de Ingeniería Social consiste en explorar la “basura” con el objetivo de buscar información valiosa. Esta técnica es muy utilizada, ya que, muchas veces, las personas suelen tirar a la papelera documentos importantes sobre sí mismos o sobre la empresa en la que trabajan, y los ingenieros sociales lo saben. Por ello, la mayoría de las empresas e instituciones utilizan la trituración como forma de destrucción de la información, no obstante, aunque se rompa en pedazos pequeños, el ingeniero social puede volver a armarlo. De hecho, hay softwares que juntan el puzzle de forma automática, ya sea una fotografía o un documento de texto. Cuanto más pequeños y simétricos los trozos mejor.
3. SHOULDER SURFING: Este ataque de Ingeniería Social está intrínsicamente relacionado con la ingenuidad de las personas. Consiste en espiar físicamente a las víctimas para conseguir información confidencial como las credenciales de acceso a un sistema, equipo, plataforma, etc. Puede parecer una técnica poco utilizada, sin embargo, es bastante común, ya que muchas personas tienden a escribir las claves en un papel pegado a la pantalla del ordenador, a escribirlas en sus dispositivos sin tener en cuenta que alguien les puede estar observando por detrás. Es habitual en cajeros bancarios, pero también en el transporte público o en la oficina.
4. BAITING: Este tipo de ataque de Ingeniería Social es muy efectivo y está relacionado con el uso de pendrives con software malicioso. El ingeniero social, antes de llevar a cabo cualquier acción en cuanto al pendrive, estudia a la víctima con la finalidad de descubrir cuál es su vulnerabilidad y poder explotarla. De esta manera, el atacante pondrá un cebo a la víctima que provoque que, lo más probable, caiga en la trampa. Una vez que introduzca el pendrive en el equipo, el sistema será infectado y el ingeniero social podrá acceder a los datos personales y a la información confidencial. Un ataque habitual a una organización es dejar decenas de pen drives medio escondidos en un parking corporativo, en las salas de descanso o en los lavabos. A mayor cantidad de pen drives mayor probabilidad de que un morboso lo introduzca en su ordenador.

Ataques de ingeniería social escalables

1. PHISHING: Este ataque de Ingeniería Social consiste en simular ser una persona, empresa o institución para que la víctima se confíe y haga una acción, ya sea hacer clic o facilitarnos información clave. Esta técnica es aún más peligrosa cuando está dirigida a un objetivo determinado como, por ejemplo, un empleado que tiene acceso a diferentes sistemas dentro de su organización. En este caso, el ataque es conocido como Spear Phishing. El phising bancario y el fraude del CEO es uno de los más habituales y suelen estar relacionados con la suplantación de identidad.
2. SMISHING: Este ataque de Ingeniería Social consiste en enviar mensajes de texto (SMS) con enlaces maliciosos con el objetivo de obtener información privada. Esta técnica es muy eficaz (para los delincuentes) porque las personas suelen tender a confiar más en los mensajes de texto que en los correos electrónicos. Es común que los ingenieros sociales envíen un mensaje de texto indicando que, si no pincha en el enlace e introduce su información personal, le pasará una acción negativa concreto. Por ello, es fundamental no responder SMS ni hacer clic en ningún enlace, a no ser que conozcamos dicho número y, además, esperemos dicha información. Contrasta siempre con el remitente cualquier SMS con enlace.
3. VISHING: Este ataque de Ingeniería Social consiste en hacerse pasar por una fuente fiable, a través de una llamada telefónica, para engañar a las víctimas y que faciliten sus datos personales, alegando supuestas razones de seguridad. El modus operandi es el siguiente: primero, la víctima recibe un mensaje de texto enviado supuestamente por una entidad financiera que indica que alguien está utilizando su cuenta bancaria de forma ilícita o que tiene que resolver un determinado problema (normalmente urgente). Acto seguido, la víctima recibe una llamada telefónica en la que una supuesta operadora le pide sus datos personales y bancarios. Una vez finalizada la llamada, el ingeniero social tiene en su poder información clasificada y puede robar a la víctima su dinero o vender la información a cibercriminales.
4. SEXTORSIÓN: Este ataque de Ingeniería Social consiste en chantajear a la víctima para que envíe dinero al ingeniero social a cambio de no distribuir por Internet imágenes o vídeos comprometedores. En ocasiones dispone de dicha información comprometida, pero en muchas ocasiones es mentira o es un montaje. Para ello, los atacantes suelen infectar las cuentas con códigos maliciosos con el objetivo de que sean las propias víctimas las que les envíen el material incriminatorio. Una vez que consiguen el material, es cuando amenazan a la víctima con hacerlo público. La gran mayoría de los afectados por este tipo de ataque son adolescentes o hombres adultos.

PRINCIPIOS DE INGENIERÍA SOCIAL

La Ingeniería Social tiene algunos elementos básicos con los que un atacante juega para ganarse la confianza suficiente y engañar a la víctima. Según Pablo F. Iglesias, consultor especializado en materia digital y ciberseguridad, existen 6 principios de la Ingeniería Social similares a los principios básicos de las ventas de Cialdini:

1. RECIPROCIDAD: Cuando una persona nos ofrece algo, por lo general, solemos tender a ofrecerle también algo. Por el contrario, si esa persona no nos trata con respeto, estaremos más susceptibles a pagarle con la misma moneda. Así pues, la reciprocidad es un «instinto» social fácilmente manipulable.
2. URGENCIA: Un clásico entre los clásicos. La mayoría de los ataques de Ingeniería Social consiguen que las personas piquen a través de la urgencia. A continuación, mencionamos algunos ejemplos: “¡Alguien ha accedido a tu cuenta bancaria, entra en el siguiente enlace para solucionarlo y proteger tu dinero!”, “¡Esta oferta sólo durará durante los próximos cinco minutos!” o “Tu ordenador ha sido infectado, haz clic aquí para borrar el virus ahora”.
3. CONSISTENCIA: Si, en algún momento, hemos dado nuestra palabra, tendemos más a cumplir con ello que a no hacerlo. Un ejemplo de ataque de Ingeniería Social utilizando este principio es, por ejemplo, cuando un trabajador de una empresa pide a la víctima que realice determinadas tareas habituales. Empezando por pequeñas acciones y continuando por otras más delicadas. A pesar de que una de esas tareas pueda parecer rara, al haberse comprometido, la llevará a cabo junto al resto. De esta manera, el ingeniero social consigue manipular por consistencia.
4. CONFIANZA: Nuestra desconfianza se reduce cuando el interlocutor con el que hablamos nos cae bien o está alineado con nuestros intereses o valores. Un ejemplo de ello lo podemos observar cuando los altos directivos o trabajadores con acceso a contenido o servicios confidenciales (gobierno, corporaciones, policías, militares…) son «seducidos» por perfiles que se ganan su confianza lo suficiente como para que tengan un descuido y puedan aprovecharse de él. A continuación, es cuando el ingeniero social los extorsiona si no cumplen sus exigencias. Cuando se da una componente sexual o amorosa se denomina sextorsión.
5. AUTORIDAD: Cuando una persona en prácticas de una empresa pide las credenciales de acceso de un servicio, lo más probable es que sea vista con desconfianza. No obstante, si las mismas credenciales son pedidas por un Director/a, la situación cambia. De esta manera, la usurpación de identidad juega un papel clave, ya sea de forma real (robo del perfil digital del Director/a) o ficticia (clonado de perfiles o phishing).
6. VALIDACIÓN SOCIAL: Si recibimos un correo electrónico en el que se nos pide hacer una determinada acción, la cual es extraña, lo más seguro es que nos pensemos si llevarla a cabo o no. Sin embargo, si en una misma conversación hay varios conocidos como, por ejemplo, compañeros de la misma empresa, y ninguno de ellos pone objeción alguna, lo más probable es que acatemos las normas, aun sin saber de dónde ni de quién provienen. Al ser las personas tan gregarias y en búsqueda permanente de la acción social, el sesgo de grupo es continuamente utilizado, también conocido como “presión grupal”, especialmente en el ámbito de la política para conseguir movilizar el voto.

CONSEJOS PARA SER VÍCTIMA DE ATAQUES DE INGENIERÍA SOCIAL

Para evitar ser víctimas de un ataque de Ingeniería Social es importante llevar a cabo una serie de buenas prácticas, amén de concienciarnos y formarnos en materia de Inteligencia y Ciberseguridad.

Algunas de las medidas específicas que debemos tener en cuenta para prevenir ataques de Ingeniería Social son las siguientes:

Esperamos sea de utilidad en estos momentos.

Fuente: CARLOS ALFONSO BOSHELL NORMAN