La ingeniería social es una de las técnicas más comunes que utilizan los actores de amenazas para aprovecharse de una persona o empresa. Estos ataques se basan en el engaño y no utilizan exclusivamente métodos de penetración basados ​​en tecnología como lo harían los piratas informáticos tradicionales, y esa es una de las razones por las que son tan peligrosos.

Si bien estos piratas informáticos (a veces denominados ingenieros sociales) en realidad pueden aprovechar las vulnerabilidades tecnológicas, se basan principalmente en la manipulación psicológica para ganarse la confianza de sus víctimas o para engañarlas para que cometan fallas de seguridad. Una vez que tienen éxito, los ingenieros sociales rápidamente ponen en práctica sus planes engañosos.

En este artículo, exploraremos por qué estos ataques son una amenaza tan peligrosa en comparación con otras formas de malware y qué pueden hacer las empresas para prevenirlos.

La insidia de la ingeniería social

Uno de los principales peligros de la ingeniería social es el hecho de que los piratas informáticos pueden eludir otras medidas de ciberseguridad simplemente engañando a los usuarios. E incluso en los ataques más insidiosos, los usuarios ni siquiera se dan cuenta de que los han engañado.

En un ataque de ingeniería social, un actor de amenazas engañó a los usuarios para que dieran sus credenciales de inicio de sesión u otra información confidencial al atacante. En el ataque más simple, los piratas informáticos utilizan correo electrónico no deseado que está diseñado para parecerse a una comunicación legítima de un remitente de confianza (por ejemplo, un banco o un cliente). El enlace del correo electrónico lleva al usuario a una página de inicio de sesión falsa que captura su información de inicio de sesión y la pone a disposición de los atacantes.

Pero ese es solo un método. Para lograr su objetivo, los piratas informáticos se dirigen cada vez más a personas específicas y emplean tácticas personalizadas para ganarse la confianza de sus víctimas, quienes a) tienen acceso a los sistemas en los que quieren infiltrarse, o b) actúan como una puerta de entrada para llegar a otras personas.

Además, los ataques no se limitan al correo electrónico. La ingeniería social también se puede realizar por teléfono, por chat o incluso en persona.

Siempre más refinado, más convincente y más específico

La ingeniería social es peligrosa porque puede ser muy convincente. Incluso la persona más detallista puede ser víctima de uno de estos métodos cuidadosamente elaborados.

Para lanzar un ataque de ingeniería social sofisticado y dirigido, los delincuentes primero examinan a las personas que quieren explotar al descubrir información personal y cosas sobre su entorno.

Para hacer esto, podrían:

• Leer información personal de fuentes en línea, como, por ejemplo, de directorios de empleados de empresas, perfiles de LinkedIn o redes sociales.
• Hacerse pasar por un tercero y charlar con los empleados por teléfono, correo electrónico o sistema de mensajería.
• Una vez que confían en ellos, pueden enviar correos electrónicos amistosos, mensajes de texto u otros mensajes electrónicos para engañar a sus víctimas para que hagan clic en enlaces o compartan información confidencial.

Los ataques personales son menos comunes, pero los perpetradores pueden hacer todo lo posible para estudiar a sus víctimas. Por ejemplo, podrían:

• Supervisar el comportamiento cuando los clientes ingresan a una empresa y observan cuándo los empleados dejan sus pantallas de computadora, botes de basura o archivadores desatendidos.
• Observan los cambios de turno para ver si las áreas de seguridad están desatendidas o cuando ciertas personas están de servicio.
• Observan las relaciones interpersonales en el lugar de trabajo, observan qué personas se llevan bien y cuáles no, y usan este conocimiento para ganarse la confianza de ciertos empleados.
• Inician conversaciones con el objetivo de familiarizarse.

Aprovechando el miedo y la desorientación

Muchos ataques adoptan un enfoque más directo, utilizando amenazas, tácticas de miedo o un sentido de urgencia para que sus víctimas actúen. Por ejemplo, pueden generar miedo enviando mensajes de que una cuenta bancaria ha sido comprometida o que alguien tiene un problema con la contraseña y el empleador cortará el acceso si no la cambias AHORA (con un enlace útil, por supuesto).

Esencialmente, los ingenieros sociales se basan en la confianza, el engaño y, en última instancia, en el error humano. Las estadísticas muestran que aproximadamente el 98% de los ciberataques utilizan alguna forma de ingeniería social. Es una de las amenazas más peligrosas que enfrentan las empresas. Sin embargo, evitar este riesgo no significa necesariamente agregar protecciones adicionales a los activos digitales, ya que estas herramientas no pueden mitigar el comportamiento humano. Sin embargo, comprender las tácticas puede ayudar a identificar estos esquemas y evitar que se engañe a los usuarios.

Consecuencias peligrosas de la ingeniería social

Los efectos de un ataque de ingeniería social pueden ser catastróficos y de gran alcance, según los sistemas a los que puedan acceder los piratas informáticos. El problema es que un ataque inicial exitoso puede conducir a una mayor ingeniería social o entrega de malware que permita a los atacantes penetrar más profundamente en tus sistemas.

Los peores escenarios incluyen:

• Los piratas informáticos roban tus datos más valiosos, incluida la información confidencial del cliente o la propiedad intelectual
• Amenazas de chantaje para hacer públicos tus datos si no pagas.
• Se introduce malware destructivo como el ransomware que bloquea tus archivos
• Tiempo de inactividad después de que el actor de la amenaza desconectara los sistemas
• Pérdidas financieras debido al tiempo de inactividad y los costos de recuperación

Desafortunadamente, el error humano es una vulnerabilidad que ni siquiera los mejores sistemas de ciberseguridad pueden prevenir por completo. Si bien hay algunos pasos que puedes seguir para limitar el acceso de intrusos, como por ejemplo, podrías establecer controles de acceso más estrictos en los directorios de archivos, pero la mejor manera de reducir el riesgo es crear conciencia y capacitar a tus empleados y a ti mismo.

¿Cómo se compara la ingeniería social con el malware tradicional?

El malware tradicional solo puede llegar hasta cierto punto una vez que se descubre «en la naturaleza» porque una vez que se conoce la amenaza, la mayoría de los sistemas antimalware pueden detectarla. Podría decirse que la ingeniería social es más peligrosa porque solo se necesita una sola persona para sorprenderte y eludir tus otras ciberdefensas.

Nuevamente, las técnicas de engaño son esenciales para los atacantes de ingeniería social. El error humano ocupa un lugar destacado en la lista cuando se trata de debilidades de seguridad organizacional. Esta es la diferencia clave entre la ingeniería social y el malware. La ingeniería social se basa en las debilidades humanas para que el ataque sea lo suficientemente exitoso como para eludir las protecciones de ciberseguridad. En otras palabras, una persona debe revelar información al mundo exterior o ser engañada para que realice una acción que proporcione a los piratas informáticos las credenciales o la información que necesitan.

Por otro lado, los ataques de malware tradicionales se centran más en las vulnerabilidades tecnológicas. Estos ataques tienden a tener lugar de forma encubierta y, a menudo, sin ninguna ayuda «interna» de los empleados u otras personas importantes (por ejemplo, proveedores).

Tácticas comunes de ingeniería social

Si bien el phishing es la forma más común, la ingeniería social puede usar una variedad de habilidades y métodos engañosos para lograr sus objetivos. Veamos algunas tácticas diferentes que utilizan para robar credenciales y entrar en tus sistemas seguros.

Correos electrónicos de suplantación de identidad: los correos electrónicos de suplantación de identidad dependen en gran medida de la suplantación de identidad para engañar a los usuarios para que revelen sus credenciales de inicio de sesión a varios sistemas seguros o hacer clic en un enlace que lleva a que sus credenciales de inicio de sesión se vean comprometidas. Las líneas de asunto pueden ser llamativas («Tu cuenta ha sido comprometida») o sutiles («Factura recibida»). Los correos electrónicos a menudo imitan el diseño, el tono y el diseño de los mensajes legítimos de una empresa real, como: un banco. A veces, los atacantes también «falsifican» una dirección de correo electrónico o un sitio web en el que se puede hacer clic.

Pretextos: Al pretextar, el atacante finge ser una persona legítima para ganarse la confianza y acceder a la información confidencial deseada. También puede crear una identidad falsa con una apariencia autoritaria para ganarse la confianza de la víctima.

Vishing: Vishing es una técnica de ingeniería social en la que el actor de amenazas utiliza un servicio de VoIP que le permite falsificar su número de teléfono o engañar a los usuarios por teléfono. Para hacer esto, un perpetrador puede hacerse pasar por alguien del departamento de TI o un tercero para convencer a la víctima de que proporcione sus credenciales.

Cebo: este enfoque de ingeniería social se aprovecha de la curiosidad humana. La forma en que funciona es engañar a la víctima para que obtengas algo útil si sigues las instrucciones dadas. Por ejemplo, el atacante podría enviar un archivo malicioso disfrazado de software útil o una actualización del software utilizado por la empresa de la víctima.

Ataques de quid pro quo: una variante del cebo: Quid pro quo promete al usuario una ventaja o un servicio si realizas una determinada acción. Por ejemplo, puedes recibir una llamada de un pirata informático que se hace pasar por un profesional de la tecnología y el pirata informático ofrece ayuda de TI gratuita cuando el usuario inicia sesión en un sitio web en particular o descarga un archivo. Incluso podría pedirle a la víctima que apague su software antivirus para que pueda «verificar» algo. Por supuesto, esto abre la puerta para aprovechar la empresa rápidamente.

Importancia de la sensibilización y la formación de los usuarios

Todas las organizaciones, grandes y pequeñas, deben tomar en serio los riesgos y amenazas que plantea la ingeniería social. Además de la ciberseguridad y otras salvaguardas de emergencia importantes, como: copias de seguridad de datos, las empresas también deben considerar las vulnerabilidades asociadas con la ingeniería social.

A medida que la ingeniería social se ha vuelto más complicada, la sofisticación seguirá aumentando. Para evitar ser víctima de un ataque de ingeniería social, las organizaciones deben concienciar a los usuarios y brindar capacitación. Estas dos medidas pueden contribuir en gran medida a garantizar que los empleados no se conviertan en víctimas de la ingeniería social.

A continuación, se indican algunos pasos clave a seguir:

• Realiza capacitaciones obligatorias en ciberseguridad al menos una vez al año y siempre que sea nuevo.
• Crea una política clara y fácil de leer. Explica detenidamente cómo los empleados deben manejar las solicitudes de información confidencial o credenciales.
• Muestra a los empleados cómo detectar intentos de phishing. Normalmente, incluso con campañas sofisticadas, hay señales que los usuarios pueden ver.
• Desarrolla un proceso de informes que los empleados puedan seguir si sospechan de un intento de ingeniería social (o un intento exitoso).
• Enseña al personal cómo detectar señales de engaño; dar ejemplos de diferentes enfoques que utilizan estos delincuentes.

Los errores simples pueden dañar a toda una organización. Si bien mejorar la seguridad desde una perspectiva tecnológica es importante, los tomadores de decisiones no deben olvidarse de la ingeniería social cuando invierten en estrategias de ciberseguridad.