Ingeniería Social
October 06, 2023
La ingeniería social es una masa de enfoques y técnicas que describen las formas de influir en las opiniones y acciones de los demás. Pueden ser individuos separados, así como multitudes. Estos métodos suelen centrar la atención en los problemas y proponer lo elegido como solución a este problema. Gracias al desarrollo de la comunicación, se ha vuelto elemental realizar eventos de ingeniería social, en mensajeros, redes sociales, correos electrónicos o incluso por teléfono. La ingeniería social es un método específico de publicidad directa.
En ciberseguridad, la ingeniería social juega un papel importante en la propagación de malware. Su universalidad permite a los hackers utilizarlo tanto en ciberataques a corporaciones como en campañas masivas de spam contra particulares. Y la cantidad total de métodos de ingeniería le permite hacerlo efectivo en diferentes entornos. También es relativamente fácil de aplicar: todo lo que necesita es un texto en el que se motive a la víctima o incluso se la obligue a reaccionar. Sin software complicado, sin esperanza de eventos aleatorios: es ideal para cualquier categoría de ciberdelincuentes.
¿Cómo funciona la Ingeniería Social?
Es importante mencionar que revisaremos los métodos de ingeniería social utilizados en los ataques cibernéticos. Hay muchos otros métodos, pero en su mayoría son similares y las diferencias generales se ocultan en la forma en que se usan. Como hemos mencionado anteriormente, los ciberdelitos con el uso del asunto se pueden realizar a través de correo electrónico o como un mensaje en diferentes canales de comunicación (mensajeros, foros, chats en el juego). Uno de los objetivos más frecuentes de la ingeniería social es hacer que la gente confíe en ti y haga lo que dices. Eso no es algo instantáneo y puede llevar días o incluso semanas. Pero vale la pena dedicar un cierto tiempo cuando se apunta a una gran audiencia. Es obvio que cuanta más confianza ganes, mayores serán las posibilidades de que la gente coma tu anzuelo. Sin embargo, cuantas más personas intentes engañar, más tiempo necesitarás.
Al cometer suplantación de identidad por correo electrónico, necesita mucho menos esfuerzo para hacer que alguien le crea. No busca el contacto directo; todo lo que tiene que hacer es disfrazar su mensaje como si fuera de un remitente legítimo. Algunos analistas incluso dividen la suplantación de identidad de la ingeniería social, ya que es demasiado simple. Pero para todas las demás prácticas, necesitará mucho más trabajo. Veamos varios ejemplos de ingeniería social que tuvieron lugar en la vida real.
Ejemplos de ataques de ingeniería social:
1. Suplantación de identidad
La forma más generalizada de aprovechar las tácticas de ingeniería social, los piratas informáticos utilizarán correos electrónicos, sitios web y mensajes de texto engañosos para robar información personal u organizacional confidencial de víctimas desprevenidas.
2. Suplantación de identidad personalizada
Esta estafa por correo electrónico se utiliza para llevar a cabo ataques dirigidos contra personas o empresas. Spear phishing es más complejo que el correo electrónico de phishing masivo promedio y requiere una investigación profunda sobre los objetivos potenciales y sus organizaciones.
Hemos mencionado la suplantación de identidad por correo electrónico como uno de los ejemplos de ingeniería social elemental. Sin embargo, se produjeron casos mucho más sofisticados durante diferentes ciberataques. Al infectar a la empresa a través del mensaje de correo electrónico falsificado, debe trabajar mucho para que el lector crea que el mensaje y el remitente son legítimos. Por ejemplo, el ladrón puede presentarse como distribuidor autorizado de una determinada empresa y ofrecerte firmar un contrato con ellos. Al final, recibirá un archivo con "términos y detalles del contrato": un documento de Word o una tabla de Excel que contiene la macro. Este último es uno de los elementos más explotables de los productos de Microsoft. Hackers agregan el script de descarga de malware a las macros; tan pronto como abra el archivo y permita las macros, su PC se infectará.
3. Cebo
Este tipo de ataque puede perpetrarse en línea o en un entorno físico. La víctima suele prometer una recompensa por información sensible o conocimiento de su paradero.4. Malware
En una categoría de ataques de ransomware, a las víctimas se les envía un mensaje urgente y se las engaña para que instalen malware en su(s) dispositivo(s). Irónicamente, una táctica popular es decirle a la víctima que el malware ya se instaló en su computadora y que el remitente eliminará el software si paga una tarifa.
Por ejemplo, Discord se convirtió en un lugar de conversación para diferentes categorías de personas. Sin embargo, la mayoría de su audiencia son jugadores y programadores. Los usuarios pueden unirse al canal para hacer preguntas en ambas categorías. Cómo configurar esto, pasar ese nivel, qué marco es el mejor: estos temas son típicos de esa red social. Y simultáneamente, las respuestas a esas preguntas pueden requerir aplicaciones especiales.
Esta última es, exactamente, la principal superficie de ataque. Puede deslizar el malware en lugar de todo el programa e infectar a muchos usuarios con un solo mensaje. Y para que todos crean que este archivo es confiable, puede aplicar la ingeniería social. El grupo de delincuentes lo hizo en febrero de 2021. Una cadena de chats fue atacada desde las cuentas que estuvieron presentes durante varios meses y se consideraron confiables y legítimas. Claro, los mismos ataques ocurrieron antes y después, pero nunca a una escala tan grande. Ese caso llevó a la aparición del término “Discord virus”.
5. Pretextos
En este ataque, el perpetrador asume una identidad falsa para engañar a las víctimas para que proporcionen información. Los pretextos a menudo se aprovechan contra organizaciones con muchos datos de clientes, como bancos, proveedores de tarjetas de crédito y empresas de servicios públicos.
6. Quid Pro Quo
Este ataque se centra en el intercambio de información o servicio para convencer a la víctima de que actúe. Normalmente, los ciberdelincuentes que llevan a cabo estos esquemas no realizan una investigación de objetivos avanzada y ofrecen "asistencia", asumiendo identidades como profesionales de soporte técnico.
7. Chupar rueda
Este ataque se dirige a personas que pueden dar acceso físico al delincuente a un edificio o área segura. Estas estafas a menudo tienen éxito debido a la cortesía equivocada de la víctima, como si le abren la puerta a un "empleado" desconocido.
8. vikingo
En este escenario, los ciberdelincuentes dejarán mensajes de voz urgentes para convencer a las víctimas de que deben actuar rápidamente para protegerse del arresto u otro riesgo. Además, los bancos, las agencias gubernamentales y las fuerzas del orden son personas comúnmente suplantadas en las estafas de vishing.
9. Water-Holing
Este ataque utiliza técnicas avanzadas de ingeniería social para infectar un sitio web y sus visitantes con malware. La infección generalmente se propaga a través de un sitio específico de la industria de las víctimas, como un sitio web popular que se visita regularmente.
10. Llamadas telefónicas
Probablemente hayas oído hablar de la película El lobo de Wall Street. Describe lo que significa la ingeniería social a través de llamadas telefónicas. Una víctima recibe una llamada en la que se asegura comprar algo o dar dinero a la persona que llama. En los tiempos representados en la película (años 90), las ventas telefónicas eran muy efectivas. Es bastante fácil asegurarle a una persona que eres un experto en una industria en particular, principalmente cuando usas muchos términos profesionales y tu discurso es muy consistente. Luego, cuando la persona cree en tu profesionalismo, presionarla para que haga lo que tú quieres es sencillo.
El ejemplo más notable de ingeniería social por teléfono es la estafa de soporte técnico. Apareció a finales de 2021 y hoy existe en diferentes formas. Al principio, ve el cartel aterrador sobre la ventana del navegador que dice que tiene su PC infectado y debe ponerse en contacto con el soporte. Alternativamente, esas declaraciones pueden notificarle sobre el acto legal de ver pornografía o visitar sitios web prohibidos. De todos modos, se le ofrece llamar al número especificado en el banner.
Por teléfono, los estafadores se asegurarán de que todo lo que viste en el anuncio sea cierto. Describirán en detalle cómo sucedió y qué cosas catastróficas sucederán si no sigues sus instrucciones. Instale el "eliminador de malware" (software malicioso), transfiera la "multa" o incluso proporcione a los ladrones la información completa sobre su persona; pueden preguntar cualquier cosa a la víctima asustada.
¿Es ilegal la ingeniería social?
Después de los párrafos anteriores, podría pensar que la ingeniería social es el destino de los ciberdelincuentes y los estafadores. Sin embargo, la verdadera esencia de esta técnica es solo el arte de la sugestión. En algunos casos, se puede usar con fines benévolos, por ejemplo, para disuadir a las personas de prohibir acciones o consumir drogas. Varias religiones son el ejemplo perfecto del uso benévolo de la ingeniería social: abbe se asegura de que la gente actúe como Dios dice, por ejemplo. Esa es solo la forma de vida educada, por lo que, en la práctica, la religión guía a la parroquia por el camino correcto.
Sin embargo, seguramente se puede llamar una espada de doble filo. Mientras se formaba como benevolente, encontró la aplicación en muchas situaciones cuestionables, a menudo incluso maliciosas. No será castigado por la ingeniería social tal como está, pero es probable que enfrente acciones legales por fraude si la usa para engañar a alguien. Sin embargo, eso no impide que los ciberdelincuentes lo usen aquí y allá.
¿Cómo protegerse?
Esa pregunta no se puede responder de forma lineal. Cada humano tiene su nivel de credulidad. Por lo tanto, cada uno tendrá sus formas de reflejar el intento de engaño. Es por eso que decidimos describir solo los consejos más básicos.
- Nunca descuide comprobar las formas alternativas. Incluso cuando alguien le ofrezca una forma muy eficaz de resolver el problema, será una gran idea revisar esa forma y buscar varias otras. Posiblemente, la revisión del ofrecido destape el fraude.
- Nunca confíe en las aplicaciones ofrecidas. En las plataformas de comunicación en línea antes mencionadas, las personas pueden ofrecer usar sus propias aplicaciones. Dado que incluso los legítimos pueden activar los programas antimalware, el consejo de ignorar o desactivar el antivirus no suena como una amenaza. No obstante, sigue siendo importante asegurarse de que esa aplicación esté bien.
- Piense racionalmente. Nadie le dará el consejo sin costo para invertir en algo o comprar el producto completo por nada. Incluso si tales ofertas pudieran ser relevantes para la última década, no son buenas en estos días. Y deben despertar aún más sospechas si la oferta le da una ganancia poco realista o algo así. Si suena demasiado bueno para ser verdad, probablemente lo sea.
- Revisa la información sobre la persona que te ofreció la cosa. Si solo tiene un número de teléfono, compruébelo. Eso podría ser suficiente para entender qué esperar. Internet hizo posible comprobar cada número, y cuantas más personas recibieran llamadas de este número, mayores serían las posibilidades de ver la información completa sobre la persona que llama y sus intenciones.
- Mantenga actualizado su software antivirus/antimalware: asegúrese de que las actualizaciones automáticas estén activadas o acostúmbrese a descargar las firmas más recientes a primera hora de cada día. Verifique periódicamente para asegurarse de que se hayan aplicado las actualizaciones y analice su sistema en busca de posibles infecciones.
3 maneras en que las organizaciones evitan los ataques de ingeniería social
Las siguientes medidas pueden ayudar a evitar y prevenir ataques de ingeniería social contra su organización:
1️⃣ Capacitación de concientización sobre seguridad
La educación sobre seguridad debe ser una actividad constante en cualquier empresa. Los miembros del personal pueden no ser conscientes de los peligros de la ingeniería social o, si lo son, pueden olvidar los detalles con el tiempo. Por lo tanto, llevar a cabo y actualizar continuamente la conciencia de seguridad entre los empleados es la primera línea de defensa contra la ingeniería social.
Los empleados de todos los niveles en una empresa deben ser educados para evitar dar información por correo electrónico o teléfono a señuelos de "ventas" sobre qué hardware, software, aplicaciones y recursos son de uso común.
2️⃣ Antivirus y herramientas de seguridad de punto final
La medida principal es instalar antivirus/antimalware y otra seguridad de punto final medidas en los dispositivos de los usuarios. Las herramientas modernas de protección de endpoints pueden identificar y bloquear mensajes de phishing obvios o cualquier mensaje que se vincule a sitios web maliciosos o IP en bases de datos de inteligencia de amenazas. También pueden interceptar y detener procesos maliciosos en el dispositivo de un usuario. Si bien los ataques sofisticados están diseñados para eludir o deshabilitar los puntos finales y los agentes AV, esos ataques tienden a dejar otros signos reveladores de un ataque exitoso.
3️⃣ Pruebas de penetración
Hay innumerables formas creativas de penetrar las defensas de una organización con ingeniería social. El uso de un hacker ético para realizar pruebas de penetración permite que una persona con el conjunto de habilidades de un hacker identifique y explote las debilidades de su organización. Cuando una prueba de penetración tiene éxito en comprometer sistemas sensibles, puede ayudarlo a descubrir empleados o técnicas que debe enfocarse en proteger o métodos de ingeniería social a los que puede ser especialmente susceptible.
