Introducing G2.ai, the future of software buying.Try now
Categoría de Correo electrónico antispam

Ingeniería social: Qué puedes hacer para evitar ser una víctima

28 de May de 2021
Sagar Joshi
SJ
por Sagar Joshi

En esta publicación

En esta publicación

La ingeniería social apunta a las mentes humanas para transmutar la intención maliciosa de un atacante en ataques cibernéticos reales.

Juega con tu avaricia, miedo e inseguridades para engañarte y hacer que entregues tus contraseñas y otra información sensible. Es común recibir correos electrónicos o mensajes de texto sospechosos con advertencias y ofertas por tiempo limitado, alentándote a ingresar detalles confidenciales.

Necesitas estar consciente y atento las 24 horas del día, especialmente cuando ves ofertas cuestionablemente generosas y advertencias ominosas con consecuencias oscuras.

¿Qué es la ingeniería social?

En ciberseguridad, la ingeniería social es una práctica maliciosa de engañar a las personas para que revelen su información sensible mediante manipulación psicológica. Los atacantes pueden converger un ataque de ingeniería social en uno o más pasos mientras utilizan diferentes técnicas. 

Cada mente es diferente, y también lo son sus sesgos cognitivos. La ingeniería social utiliza varios sesgos cognitivos de la mente humana para diseñar un vector de ataque y técnica adecuados. 

Los atacantes aprovechan injustamente estas complejidades en la toma de decisiones para hacer variaciones en sus técnicas. Esto contribuye a producir numerosas técnicas de ingeniería social que apuntan exclusivamente a grupos o individuos. 

En consecuencia, se vuelve indispensable que busques constantemente anomalías y amenazas de ingeniería social. Para las empresas, es aún más importante mantener un ojo vigilante sobre las amenazas porque una sola credencial de inicio de sesión comprometida podría resultar en una brecha de seguridad incontenible.

Es aconsejable tener tu defensa configurada con sistemas de prevención y detección de intrusiones, cortafuegos, software anti-spam de correo electrónico y otros mecanismos de defensa. Te ayudarían a detectar y contener un ataque de ingeniería social cuando surjan adversidades.

Etapas de un ataque de ingeniería social

El ataque de ingeniería social se divide en cuatro fases de la siguiente manera:

  1. Investigación. Reunir información sobre los intereses de la víctima, su vida personal y profesional, y atributos similares juega un papel significativo en decidir la tasa de éxito del ataque.
  2. Involucrar. Los atacantes inician una conversación fluida con los objetivos sin dejar espacio para la duda o la desconfianza.
  3. Atacar. Cuando los objetivos han sido adecuadamente involucrados, los atacantes pasan a recuperar la información que buscan o engañan a las víctimas para que realicen una acción.
  4. Cierre. Una vez que se cumplen los objetivos de los atacantes, cierran la comunicación con la víctima sin generar sospechas.

Técnicas y ataques de ingeniería social

Las técnicas de ingeniería social no se limitan a un número específico, pero sus conceptos subyacentes unen diversas técnicas en grupos únicos.

Phishing

Phishing es una técnica común de ingeniería social con la que te encuentras con bastante frecuencia. 

Puedes observarlo en correos electrónicos sospechosos en tu bandeja de entrada o carpetas de spam. Estos correos electrónicos llevan archivos adjuntos maliciosos disfrazados de archivos genuinos, que pueden instalar malware o scareware en tu dispositivo cuando se descargan.

30%

de los mensajes de phishing son abiertos por los usuarios objetivo, y el 12% de esos usuarios hace clic en el archivo adjunto o enlace malicioso.

Fuente: PurpleSec

En algunos casos, en lugar de enviar archivos adjuntos, los ingenieros sociales utilizan enlaces. Estos enlaces te llevan a un sitio web malicioso que te manipula para revelar tu información sensible. Las empresas utilizan software anti-spam de correo electrónico para proteger a los usuarios de las estafas de phishing.

A veces, los estafadores apuntan a un pequeño grupo en lugar de realizar un ataque de phishing a gran escala. Realizan una investigación exhaustiva sobre el grupo objetivo para resonar con sus intereses y ganar su confianza. Este tipo de ataques de phishing se llaman spear phishing.

Los ataques de spear phishing representan amenazas significativas para las organizaciones, ya que la investigación detrás de ellos ayuda a disfrazar a los atacantes como empleados genuinos.

56%

de los responsables de decisiones de TI dicen que los ataques de phishing dirigidos son su principal amenaza de seguridad.

Fuente: PurpleSec

Las campañas de spear phishing implican grandes cantidades de reconocimiento. 

Los atacantes utilizan sitios de redes sociales como LinkedIn, Twitter, Instagram y otros para recopilar información sobre un objetivo. Utilizan información personal y profesional para preparar un correo electrónico que parece genuino pero lleva una intención maliciosa ulterior. 

Otro elemento del phishing que requiere tu atención es vishing (o phishing por llamada telefónica). Un perpetrador utiliza un sistema de respuesta de voz interactiva (IVR) diseñado para replicar un IVR original de una institución o banco en un ataque de vishing. 

Los atacantes envían un correo electrónico a las víctimas, convenciéndolas de marcar un número gratuito que las conecta con el IVR falso. El sistema de respuesta de voz interactiva las guía para ingresar credenciales de usuario en una página web maliciosa, que se asemeja a una legítima. 

Las víctimas ingresan sus contraseñas varias veces, pero la página web maliciosa las rechaza. Engaña a las víctimas para que revelen varias contraseñas al atacante.

Cuando el phishing se lleva a cabo utilizando un servicio de mensajes cortos (SMS), se le llama comúnmente smishing. Los atacantes atraen a las víctimas a sitios web maliciosos engañándolas para que hagan clic en un enlace malicioso en un mensaje de texto. Los atacantes disfrazan estos mensajes para replicar alertas de recogida o entrega de mensajería, premios atractivos, descuentos o advertencias que alientan al destinatario a tomar medidas.

Sony Pictures se convirtió en víctima de un ataque de ingeniería social en 2014. Los ciberdelincuentes enviaron múltiples correos electrónicos de phishing reforzados con archivos adjuntos de malware para obtener acceso a la red de Sony. 

Los atacantes realizaron reconocimiento encubierto durante unos meses. A medida que obtuvieron acceso a la red, comenzaron a enviar correos electrónicos con amenazas a los ejecutivos y empleados de la empresa, accediendo a información confidencial y otros datos sensibles. 

Cebo

Cebo abarca todas las tácticas de ingeniería social que atraen a una víctima objetivo con un cebo. 

Por lo general, esta técnica utiliza cebo físico, pero no se limita a ello. En entornos digitales, los cebos pueden entregarse creando anuncios maliciosos y utilizando medios similares.

Un atacante puede entregar un cebo físico en forma de un disco duro externo, USB, disquete, CD, DVD y similares. Lo encontrarás en lugares comunes accesibles para los empleados. Los actores maliciosos marcan los cebos con etiquetas que podrían interesarte más. Por ejemplo, puede ser una lista de evaluaciones, promociones y cosas similares.

Si alguien en tu lugar de trabajo lo conecta a su sistema informático, entrega malware a su máquina. Las empresas utilizan suites de protección de endpoints para bloquear el cebo en tales situaciones y evitar que el malware se instale en tu escritorio o portátil.

En 2016, se realizó un estudio interesante en la Universidad de Illinois, donde los investigadores dejaron caer 297 unidades USB en todo el campus en un entorno controlado. 

Los resultados fueron:

  • 290 unidades fueron tomadas de los lugares de caída
  • 135 unidades fueron insertadas en una computadora o portátil, y se abrió uno o más archivos
  • 155 unidades no mostraron signos de archivos abiertos. Pueden o no haber sido insertadas.

El 98% de las unidades recogidas refleja lo fácil que es caer en el cebo y arriesgar tu seguridad sin saberlo.

Necesitas asegurarte de que tu fuerza laboral esté bien educada e informada sobre las técnicas de ingeniería social para evitar ser su presa. 

El aprendizaje continuo y la concienciación impartida a través de software de capacitación en concienciación sobre seguridad pueden ayudarte a capacitar a los empleados a gran escala y evaluar su preparación en seguridad.

Pretexting

Pretexting implica crear escenarios falsos para involucrar a las víctimas y persuadirlas a actuar de acuerdo con la intención maliciosa de los atacantes. Esta técnica requiere que un atacante realice una investigación exhaustiva sobre el objetivo y lleve a cabo la suplantación lo más cerca posible. 

El pretexting se ve unánimemente como la primera evolución en la ingeniería social. Ahora, se utiliza para engañar a las personas para que revelen su información personal identificable o datos confidenciales de la empresa.

En el primer paso, los atacantes intentan establecer confianza con la víctima haciéndose pasar por la policía, un banco o instituciones similares con un derecho asumible a saber. Los pretextadores pueden despojar a sus objetivos de su información sensible como el número de cuenta bancaria, número de seguro social, detalles de la tarjeta de crédito y varios otros datos confidenciales.

La ingeniería social inversa es un ejemplo típico de pretexting. Aquí, los atacantes no contactan a la víctima, sino que la manipulan para que se engañe a sí misma contactando al atacante. 

Por ejemplo, un cartel en un tablón de anuncios que informa sobre el cambio en el número de teléfono del servicio de asistencia de TI. En este caso, los empleados contactarán al atacante a través de detalles de contacto ilegítimos.

Algunos ingenieros sociales utilizan bots sociales para enviar solicitudes de amistad a gran escala y luego emplean técnicas de ingeniería social inversa. Una vez que los atacantes identifican a sus posibles objetivos, aprovechan los datos personales de las víctimas en las redes sociales para establecer confianza y engañarlas para que divulguen información confidencial o sensible.

Un ejemplo notable de pretexting es el escándalo de Hewlett y Packard. La empresa contrató investigadores privados para encontrar la fuente de las filtraciones de información y les dio acceso a la información de sus empleados. Luego, los investigadores llamaron a las compañías telefónicas haciéndose pasar por empleados para obtener registros de llamadas. 

Water holing

Water holing o (ataque de abrevadero) es una técnica de ingeniería social donde los atacantes observan o adivinan sitios web específicos que las organizaciones utilizan a diario. Una vez que han reducido los sitios web familiares para los empleados, los atacantes los infectan con troyanos o agregan código malicioso.

En consecuencia, algunos empleados del grupo objetivo se convierten en víctimas. Cuando el atacante quiere información específica de los usuarios, puede atacar direcciones IP particulares.

¿Sabías que?

El término "water holing" se derivó de la técnica de caza de los depredadores en el mundo real, que esperan cerca de abrevaderos para atacar a su presa.

Fuente: Wikipedia

La preparación de un ataque de abrevadero comienza con la investigación. Implica observar e investigar los sitios web que utilizan las organizaciones. El siguiente paso es escanear estos sitios web en busca de vulnerabilidades e infectarlos con malware.

Se ha informado que los atacantes han utilizado la técnica de water holing para obtener acceso a sistemas de alta seguridad. Es porque la trampa se establece en un entorno en el que una víctima confía. Las personas pueden evitar con éxito hacer clic en un enlace en un correo electrónico no solicitado. Pero no dudarían en seguir un enlace en sitios web en los que confían.

Un ejemplo notable de un ataque de abrevadero es la Campaña Holy Water que apunta a sociedades religiosas y benéficas asiáticas. Los atacantes engañaron a las víctimas para que actualizaran su Adobe Flash, lo que desencadenó el ataque.

Tailgating

Tailgating es una técnica de ingeniería social donde un perpetrador intenta acceder a ubicaciones seguras engañando a algunos empleados para que crean que están autorizados a acceder a su ubicación. Por ejemplo, para acceder a tu oficina, un perpetrador podría pedirte que desbloquees la puerta principal con un token de identidad o etiqueta RFID engañándote para que creas que olvidaron su etiqueta en casa.

En algunos casos, pueden llevar una tarjeta de identidad falsa y pedirte que les des acceso ya que la máquina biométrica no está aceptando su huella digital debido a alguna falla técnica.

El tailgating generalmente aprovecha indebidamente la cortesía común. 

Como un acto de ayuda, un empleado podría mantener la puerta abierta para un atacante (disfrazado de otro empleado) y olvidar pedir una prueba de identidad. A veces, el perpetrador podría presentar una prueba de identidad falsa diseñada como la real, y una persona autorizada no está atenta a los detalles de la prueba.

¿Quieres aprender más sobre Software antispam de correo electrónico? Explora los productos de Correo electrónico antispam.

Categorías de ingenieros sociales

Hay una amplia gama de ingenieros sociales que utilizan varias técnicas para recopilar información sensible. Podemos categorizarlos en:

  • Hackers de sombrero negro son personas con intenciones maliciosas que están dispuestas a participar en actividades ilegales para obtener acceso no autorizado a tus activos. Los hackers de sombrero negro utilizan técnicas de ingeniería social porque los humanos son más fáciles de hackear en comparación con las vulnerabilidades de la red o el sistema.
  • Probadores de penetración emplean múltiples tácticas para verificar si las personas en una organización son susceptibles de divulgar información confidencial y sensible.
  • Espías utilizan métodos de ingeniería social para recopilar información sobre una organización o institución de manera secreta. Su objetivo está principalmente relacionado con proporcionar beneficios estratégicos o financieros a la organización que los ha empleado.
  • Ladrones de identidad roban información personal identificable (PII) como tu número de seguro social, nombre, dirección, dirección de correo electrónico, etc. Esta información, cuando se vende en la web oscura, ofrece un beneficio financiero.
  • Corredores de datos son empresas o agencias que recopilan información sobre los consumidores con fines de reventa. Hay casos en los que los corredores de datos son engañados involuntariamente para entregar información sensible a actores maliciosos, algo que sucedió en la violación de datos de ChoicePoint
  • Empleados descontentos o ex-empleados podrían utilizar técnicas de ingeniería social para converger una amenaza interna en una organización. La intención principal es obtener algún tipo de venganza de la organización por no cumplir con sus expectativas, o puede ser para intercambiar información inaccesible a cambio de dinero.
  • Vendedores que te contactan para saber qué sistemas o tecnología estás utilizando actualmente, para que puedan ofrecer su producto de acuerdo con tus requisitos. Existe la posibilidad de que puedan ser ingenieros sociales que se hacen pasar por vendedores y están tratando de recopilar información sensible. 
  • Personas en general utilizan técnicas de ingeniería social más a menudo de lo que son conscientes. Podría ser un adolescente tratando de acceder a la cuenta social de su pareja respondiendo las preguntas de seguridad. Puede haber varias otras instancias comunes de la vida de ingeniería social.

Cómo detectar amenazas de ingeniería social

Los ingenieros sociales juegan con el deseo de las personas de obtener satisfacción. Los estafadores generalmente se hacen pasar por alguien en quien confiarías o intentan ganarse tu confianza en primer lugar. 

Necesitas estar atento y ser cuidadoso cuando alguien que no conoces tan bien intenta establecer confianza de la nada.

Puedes detectar amenazas de ingeniería social cuando mantienes un ojo vigilante sobre:

  • Correo electrónico de una fuente confiable que te motiva a hacer clic en un enlace irrelevante
  • Colega o amigo pidiendo ayuda de las maneras menos esperadas, induciendo un sentido de urgencia
  • Correo electrónico de la empresa de un sitio web conocido pero con un nombre de dominio inusual
  • Correo electrónico de la alta dirección o compañero de trabajo pidiéndote que realices una tarea lo antes posible o reveles información específica
  • Solicitudes de donación de ONG populares y sitios web de caridad que utilizan nombres de dominio irregulares
  • Mensajes que afirman que has ganado una recompensa muy generosa
  • Solicitud de verificación (OTP, cambio de contraseña, etc.) de productos o servicios que no usaste recientemente
  • Respuesta a una pregunta que nunca hiciste
  • Mensajes que crean desconfianza entre compañeros de trabajo
  • Personas que te piden que les des acceso a una ubicación 
  • Mensajes que afirman que has violado una ley
  • Correos electrónicos que te exigen pagar una cantidad como multa por una actividad ilegal que realizaste
  • Intentos de inicio de sesión repetidos realizados en un dispositivo no reconocido
  • Usuarios autorizados que intentan acceder a información de la empresa o financiera fuera de su alcance

Estas son algunas de las acciones que podrían converger como amenazas de ingeniería social, pero no se limitan a las anteriores. Una amplia gama de amenazas de ingeniería social prevalece en las empresas, y la detección es el primer paso hacia su remediación.

Siempre que sientas algo sospechoso, recuerda tomarte el tiempo y hacerte las siguientes preguntas:

  • ¿El mensaje provino de una fuente confiable?
  • ¿Es realmente mi amigo quien me envió el mensaje?
  • ¿Mis emociones (miedo, avaricia, emoción, curiosidad) están elevadas?
  • ¿Este sitio web parece diferente al habitual?
  • ¿Esta oferta suena demasiado buena para ser verdad?
  • ¿Estos archivos adjuntos o enlaces parecen sospechosos?
  • ¿Pueden probar su identidad?

Cómo prevenir ataques de ingeniería social

Puedes prevenir ataques de ingeniería social adoptando contramedidas adecuadas.

Concienciación y capacitación

Los ataques de ingeniería social ocurren como resultado de la falta de atención y la ingenuidad. Necesitas proporcionar una concienciación adecuada y regular a tus empleados para que estén bien informados sobre la naturaleza de las amenazas. Paul Kubler, miembro fundador de CYBRI, dice: "Los humanos necesitan ser entrenados: son el eslabón más débil".

“Las empresas deberían emplear una capacitación bianual dirigida a cada grupo de usuarios (usuarios finales, personal de TI, etc.) para que todos estén al tanto de los últimos ataques.”

Paul Kubler
Jefe del equipo rojo y miembro fundador de CYBRI, Fuente: Digital Guardian

Debe proporcionarse una capacitación adecuada para protegerte y responder a diferentes tipos de técnicas de ingeniería social. Por ejemplo, en el tailgating, si un atacante que se hace pasar por un compañero de trabajo te pide que le des acceso, debes estar capacitado para negar educadamente su solicitud y ayudarlo a ponerse en contacto con el personal de seguridad que pueda verificar su identidad. Del mismo modo, puedes proporcionar capacitación para todos los escenarios comunes y en evolución de la ingeniería social.

Marco unificado

Asegúrate de que tu organización tenga un marco estándar para manejar información sensible. Cada empleado necesita saber cómo manejar la información. 

Debes mantenerlos bien informados al compartir información y asegurarte de que comprendan qué tipos de información pueden comunicar interna y externamente. Establecer un marco de seguridad de la información estándar para gestionar la información permite a los empleados capacitarse sobre cuándo, por qué, dónde y cómo debe manejarse la información sensible.

Protocolos, herramientas y políticas preventivas

Es esencial tener el software adecuado para resistir los ataques de ingeniería social. Aunque la mejor defensa contra la ingeniería social es capacitar las mentes humanas para que estén conscientes y atentas, las soluciones de software como cortafuegos y varios otros ayudan a cubrir los cabos sueltos que están presentes incluso después de los programas de capacitación.

Pierluigi Paganini, investigador de seguridad para InfoSec Institute, aconseja proteger las identidades digitales de los usuarios de los ataques de ingeniería social. Paganini dice: “Adopta sistemas de defensa adecuados como filtros de spam, software antivirus y un cortafuegos, y mantén todos los sistemas actualizados.”

Asegúrate de tener el arsenal adecuado de soluciones de seguridad, protocolos estándar y políticas para prevenir ataques de ingeniería social en tu organización.

Pruebas y revisiones

Cuando hayas establecido todos los sistemas de defensa preventiva contra la ingeniería social y otros ataques cibernéticos, es crucial probarlos y revisarlos regularmente. Para asegurarte de que tu fuerza laboral sea resistente a los intentos de persuasión, puedes contratar una agencia externa para realizar un ataque de ingeniería social controlado y encontrar las brechas en tu configuración actual.

Para los sistemas de seguridad, aprovecha las pruebas de penetración para probar diferentes formas en que un hacker puede explotar una vulnerabilidad en tus activos si tienen éxito en el fraude de identidad a través de un ataque de ingeniería social. Remedia estas vulnerabilidades y realiza escaneos de vulnerabilidades regulares para identificar si surgen nuevas debilidades de seguridad.

Eliminación adecuada de residuos

Es esencial mantener los residuos electrónicos o de papel de tu organización en contenedores con cerraduras hasta que sean eliminados adecuadamente por las autoridades de gestión de residuos. Estos residuos pueden incluir discos duros usados, USB defectuosos o documentos sensibles que ya no se requieren.

Estos residuos pueden no ser útiles para ti. Sin embargo, los atacantes aún pueden utilizarlos como un vector de ataque o para acceder a información sensible al reacondicionar los residuos electrónicos desechados o reconstruir documentos de papel rotos.

Asegúrate de que tus contenedores de residuos estén detrás de puertas o cercas cerradas, o sean visibles para los empleados, para que las personas noten si alguien intenta entrar sin autorización. 

Ingenia tu mente

Los ataques de ingeniería social están dirigidos a engañar a las personas para que hagan algo que normalmente no harían. Necesitas ser consciente de ti mismo y entrenar tu mente en áreas donde actúas impulsivamente o con ansiedad y estar atento a los signos y amenazas de ataques de ingeniería social.

Incluso después de adoptar medidas preventivas adecuadas, si un atacante se cuela a través de una brecha de seguridad desconocida, aquí tienes un plan de respuesta a incidentes que te ayudará a mantenerte reactivo sin confusión.

Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Explora más artículos de G2

La mejor plataforma de auditoría para grandes corporaciones
Recomendaciones para aplicaciones de CDP para empresas SaaS
Software de contabilidad fácil de usar con capacidades de nómina
Aplicaciones de gestión de información de productos mejor valoradas