Ingeniería Social: 8 ataques a los que hay que prestarle atención

La ingeniería social es un arma peligrosa que muchos cibercriminales utilizan para lograr sus nefastos objetivos. Se vale de la manipulación psicológica para engañar a las personas y conseguir que revelen información confidencial o personal. A diferencia de la piratería tradicional, que se basa en la explotación de vulnerabilidades de software, la ingeniería social se centra en las vulnerabilidades humanas.

Estos son los tipos más comunes de ataques de ingeniería social en 2024 y ejemplos del mundo real para resaltar su impacto.

Phishing: anzuelo, sedal y plomada

El phishing  es uno de los ataques de ingeniería social más comunes. Consiste en enviar comunicaciones fraudulentas, normalmente correos electrónicos, que parecen proceder de una fuente legítima. El objetivo es engañar a los destinatarios para que proporcionen información confidencial, como credenciales de inicio de sesión o datos financieros.

Ejemplo:  En 2022,  un sofisticado ataque de phishing  tuvo como objetivo robar credenciales de Office 365, en el que los atacantes se hicieron pasar por el Departamento de Trabajo de EE. UU. (DoL). Esta estafa ejemplifica la creciente sofisticación y la naturaleza convincente de los intentos de phishing modernos.

Spear Phishing: ingeniería social de precisión

El phishing selectivo es una versión más específica del phishing. Si bien los ataques de phishing suelen enviarse a muchos destinatarios con un enfoque de “barro contra la pared”, el phishing selectivo se dirige a personas o empresas específicas. El actor malintencionado personaliza el mensaje en función de la información sobre el objetivo, haciéndolo más convincente.

Ejemplo:  Mientras los líderes mundiales deliberaban sobre la mejor respuesta a las crecientes tensiones entre Rusia y Ucrania, Microsoft emitió una advertencia en febrero de 2022 sobre una nueva  campaña de phishing dirigida por un grupo de piratas informáticos ruso contra entidades del sector público y ONG ucranianas.

Según se informa, el grupo, conocido como Gamaredon y rastreado por Microsoft como ACTINIUM, había atacado a “organizaciones críticas para la respuesta de emergencia y para garantizar la seguridad del territorio ucraniano” desde 2021.

Pretextos: cómo dominar el arte de la ingeniería social

El pretexto es otra forma de ingeniería social que consiste en crear un escenario inventado para robar información. Estas estafas utilizan las mismas técnicas de ingeniería social que los estafadores han utilizado durante siglos para manipular a sus víctimas, como el engaño, la validación, la adulación y la intimidación. El atacante finge necesitar la información para confirmar la identidad de la víctima o para ayudar en una supuesta emergencia.

A nivel organizacional, un actor que utiliza pretextos puede tomar medidas exhaustivas para hacerse pasar por figuras de confianza, como gerentes, compañeros de trabajo o clientes. Esto podría implicar la fabricación de identidades mediante direcciones de correo electrónico, sitios web o perfiles de redes sociales fraudulentos.

En escenarios más elaborados, el atacante podría concertar reuniones cara a cara con sus objetivos. Por ejemplo, un pirata informático que se hace pasar por un representante de un proveedor podría programar una reunión para obtener acceso a datos confidenciales de los clientes. El atacante intenta parecer creíble durante estos encuentros y establecer una relación con su objetivo. Al establecer confianza, el atacante aumenta la probabilidad de que su objetivo acceda a las solicitudes de información confidencial, creyendo que son legítimas.

Deepfakes: Ver no es creer

Los deepfakes, que utilizan inteligencia artificial (IA) para crear audio, video o imágenes realistas pero falsas que se hacen pasar por personas reales, se utilizan cada vez más en diversos ataques de ingeniería social para crear escenarios convincentes pero fraudulentos. Aprovechan audio y video manipulados para engañar a las víctimas y lograr que revelen información confidencial o realicen acciones que de otra manera no harían.

Ejemplo: En 2019, un  ataque deepfake tuvo como objetivo a una empresa energética con sede en el Reino Unido. Los actores maliciosos utilizaron audio generado por IA para hacerse pasar por la voz del director ejecutivo de la empresa matriz. Llamaron al director ejecutivo de la empresa objetivo y le ordenaron que transfiriera alrededor de 243.000 dólares a un proveedor húngaro con urgencia. La voz era tan convincente que el ejecutivo accedió a la solicitud.

No tan quid pro quo

Otro tipo de ingeniería social son los ataques quid pro quo, que consisten en ofrecer un servicio o beneficio a cambio de información. Los atacantes pueden prometer soporte técnico, software gratuito u otros servicios para persuadir a las víctimas de que revelen información confidencial.

Ejemplos: Uno de los ataques quid pro quo más frecuentes consiste en estafadores que se hacen pasar por representantes de la Administración del Seguro Social de Estados Unidos (SSA). Estos estafadores se ponen en contacto con personas al azar y les piden que confirmen sus números de Seguro Social con falsas excusas, lo que facilita el robo de identidad.

Otra posibilidad es que los actores maliciosos identificados por la Comisión Federal de Comercio (FTC) creen sitios web falsificados de la SSA para obtener información personal de manera ilícita. Lo más alarmante es que los atacantes no necesitan ser tan astutos, ya que incidentes anteriores han demostrado que los empleados de oficina están dispuestos a divulgar sus contraseñas a cambio de artículos baratos como bolígrafos o barras de chocolate.

Trampas de miel: amor, mentiras y hurto

Las trampas de miel consisten en crear personajes falsos en línea para establecer relaciones románticas con las víctimas. El objetivo es ganarse la confianza de la víctima y explotarla para obtener beneficios económicos o acceder a información confidencial.

Ejemplo:  Según informes policiales, un hombre de la isla de Vancouver perdió 150.000 dólares en  una estafa romántica . Durante varios meses, el estafador le pidió dinero para billetes de avión, facturas médicas y otros gastos.

Piggybacking: Hacerse un viaje

Otras dos amenazas muy extendidas son el tailgating y el piggybacking. El tailgating, en esencia, es el acceso no autorizado a espacios seguros, que los malhechores obtienen explotando la confianza de usuarios reales. Implica obtener acceso físico a un área restringida siguiendo a alguien con acceso legítimo y explotando la cortesía de otros para ingresar sin la debida autorización. También puede implicar la clonación de credenciales, el uso de dispositivos desatendidos o la suplantación de identidad. El piggybacking ocurre cuando alguien intenta aprovecharse del intento de extorsión de un hacker.

Ejemplo: En 2018, un individuo admitió su culpabilidad en el Tribunal de la Corona de Reading, Inglaterra, por  acceso no autorizado a una computadora y chantaje mientras trabajaba en Oxford Biomedica, una empresa de terapia genética. Hubo un incidente en el que la empresa se enfrentó a una demanda de rescate de $370,000 en Bitcoin después de un ataque.

Un empleado (irónicamente parte del equipo de respuesta) alteró las notas de rescate para redirigir los pagos a su billetera de criptomonedas, lanzando efectivamente un ataque separado contra su empleador.

Compromiso de correo electrónico empresarial: el juego de la suplantación de identidad

El ataque cibernético a correos electrónicos comerciales (BEC, por sus siglas en inglés) es un sofisticado ciberataque en el que los delincuentes recopilan meticulosamente información sobre la estructura de una organización y sus principales ejecutivos. Con este conocimiento, explotan la confianza asociada a los puestos de alto rango, como el director financiero, para  manipular a los empleados para que transfieran fondos o divulguen información confidencial.

Al obtener acceso a la cuenta de correo electrónico de un ejecutivo, los atacantes  se hacen pasar por él para solicitar transacciones financieras urgentes, como el pago de facturas fraudulentas. Aprovechan la naturaleza sensible al tiempo de estas transacciones para minimizar las posibilidades de detección.

El BEC es uno de los ataques más comunes y uno de los tipos de ciberdelito más costosos. Según el FBI, entre 2013 y 2022 los ataques BEC causaron aproximadamente 50.800 millones de dólares en pérdidas en todo el mundo.

Luchando contra la explotación

Los ataques de ingeniería social son una plaga cada vez mayor en el panorama digital actual. Se aprovechan de la psicología humana en lugar de las debilidades tecnológicas, lo que hace que sea especialmente difícil defenderse de ellos. La concienciación y la educación son fundamentales para combatir estos ataques.

Las empresas deben integrar las siguientes recomendaciones en su formación sobre concienciación en seguridad:

  • Tenga cuidado con los correos electrónicos de fuentes desconocidas. Si recibe un correo electrónico sospechoso, verifique su legitimidad comunicándose directamente con el remitente por teléfono o en persona.
  • Desconfíe de las ofertas no solicitadas. Si algo parece demasiado bueno para ser verdad, es probable que así sea.
  • Bloquee siempre su computadora portátil cuando se aleje de su estación de trabajo para evitar el acceso no autorizado.
  • Invierta en un software antivirus. Si bien ninguna solución antivirus ofrece una protección infalible, puede reforzar significativamente las defensas contra las tácticas de ingeniería social.
  • Familiarícese con la política de privacidad de su empresa para comprender los protocolos relacionados con los permisos de acceso para personas externas.
  • Validar las solicitudes urgentes de los contactos internos antes de tomar medidas, principalmente las que involucran transacciones financieras o información confidencial.
  • Fomentar una cultura de concienciación sobre los riesgos para mantener a los empleados alerta. La ingeniería social se nutre de errores humanos, por lo que es fundamental incorporar la concienciación sobre la seguridad en la mentalidad organizacional. Los empleados deben saber cómo reconocer y denunciar posibles incidentes con prontitud.

Al comprender los tipos comunes de ataques de ingeniería social y reconocer sus implicaciones en el mundo real, las personas y las organizaciones pueden protegerse mejor de estas amenazas generalizadas.

Fuente: tripwire