Todo lo que necesitas saber de los peligros de la ingeniería social

fraud-scam-phishing-caution-deception-concept

Todo lo que necesitas saber de los peligros de la ingeniería social

 

La ingenier√≠a social es una de las t√©cnicas m√°s comunes que utilizan los actores de amenazas para aprovecharse de una persona o empresa.¬†Estos ataques se basan en el enga√Īo y no utilizan exclusivamente m√©todos de penetraci√≥n basados ‚Äč‚Äčen tecnolog√≠a como lo har√≠an los piratas inform√°ticos tradicionales, y esa es una de las razones por las que son tan peligrosos.

Si bien estos piratas inform√°ticos (a veces denominados ingenieros sociales) en realidad pueden aprovechar las vulnerabilidades tecnol√≥gicas, se basan principalmente en la manipulaci√≥n psicol√≥gica para ganarse la confianza de sus v√≠ctimas o para enga√Īarlas para que cometan fallas de seguridad.¬†Una vez que tienen √©xito, los ingenieros sociales r√°pidamente ponen en pr√°ctica sus planes enga√Īosos.

En este artículo, exploraremos por qué estos ataques son una amenaza tan peligrosa en comparación con otras formas de malware y qué pueden hacer las empresas para prevenirlos.

La insidia de la ingeniería social

Uno de los principales peligros de la ingenier√≠a social es el hecho de que los piratas inform√°ticos pueden eludir otras medidas de ciberseguridad simplemente enga√Īando a los usuarios.¬†E incluso en los ataques m√°s insidiosos, los usuarios ni siquiera se dan cuenta de que los han enga√Īado.

En un ataque de ingenier√≠a social, un actor de amenazas enga√Ī√≥ a los usuarios para que dieran sus credenciales de inicio de sesi√≥n u otra informaci√≥n confidencial al atacante.¬†En el ataque m√°s simple, los piratas inform√°ticos utilizan correo electr√≥nico no deseado que est√° dise√Īado para parecerse a una comunicaci√≥n leg√≠tima de un remitente de confianza (por ejemplo, un banco o un cliente).¬†El enlace del correo electr√≥nico lleva al usuario a una p√°gina de inicio de sesi√≥n falsa que captura su informaci√≥n de inicio de sesi√≥n y la pone a disposici√≥n de los atacantes.

Pero ese es solo un m√©todo.¬†Para lograr su objetivo, los piratas inform√°ticos se dirigen cada vez m√°s a personas espec√≠ficas y emplean t√°cticas personalizadas para ganarse la confianza de sus v√≠ctimas, quienes a) tienen acceso a los sistemas en los que quieren infiltrarse, o b) act√ļan como una puerta de entrada para llegar a otras personas.

Además, los ataques no se limitan al correo electrónico. La ingeniería social también se puede realizar por teléfono, por chat o incluso en persona.

Siempre más refinado, más convincente y más específico

La ingeniería social es peligrosa porque puede ser muy convincente. Incluso la persona más detallista puede ser víctima de uno de estos métodos cuidadosamente elaborados.

Para lanzar un ataque de ingeniería social sofisticado y dirigido, los delincuentes primero examinan a las personas que quieren explotar al descubrir información personal y cosas sobre su entorno.

Para hacer esto, podrían:

  • Leer informaci√≥n personal de fuentes en l√≠nea, como, por ejemplo, de directorios de empleados de empresas, perfiles de LinkedIn o redes sociales.
  • Hacerse pasar por un tercero y charlar con los empleados por tel√©fono, correo electr√≥nico o sistema de mensajer√≠a.
  • Una vez que conf√≠an en ellos, pueden enviar correos electr√≥nicos amistosos, mensajes de texto u otros mensajes electr√≥nicos para enga√Īar a sus v√≠ctimas para que hagan clic en enlaces o compartan informaci√≥n confidencial.

Los ataques personales son menos comunes, pero los perpetradores pueden hacer todo lo posible para estudiar a sus víctimas. Por ejemplo, podrían:

  • Supervisar el comportamiento cuando los clientes ingresan a una empresa y observan cu√°ndo los empleados dejan sus pantallas de computadora, botes de basura o archivadores desatendidos.
  • Observan los cambios de turno para ver si las √°reas de seguridad est√°n desatendidas o cuando ciertas personas est√°n de servicio.
  • Observan las relaciones interpersonales en el lugar de trabajo, observan qu√© personas se llevan bien y cu√°les no, y usan este conocimiento para ganarse la confianza de ciertos empleados.
  • Inician conversaciones con el objetivo de familiarizarse.

Aprovechando el miedo y la desorientación

Muchos ataques adoptan un enfoque m√°s directo, utilizando amenazas, t√°cticas de miedo o un sentido de urgencia para que sus v√≠ctimas act√ļen.¬†Por ejemplo, pueden generar miedo enviando mensajes de que una cuenta bancaria ha sido comprometida o que alguien tiene un problema con la contrase√Īa y el empleador cortar√° el acceso si no la cambias AHORA (con un enlace √ļtil, por supuesto).

Esencialmente, los ingenieros sociales se basan en la confianza, el enga√Īo y, en √ļltima instancia, en el error humano.¬†Las estad√≠sticas muestran que aproximadamente el 98% de los ciberataques utilizan alguna forma de ingenier√≠a social.¬†Es una de las amenazas m√°s peligrosas que enfrentan las empresas.¬†Sin embargo, evitar este riesgo no significa necesariamente agregar protecciones adicionales a los activos digitales, ya que estas herramientas no pueden mitigar el comportamiento humano.¬†Sin embargo, comprender las t√°cticas puede ayudar a identificar estos esquemas y evitar que se enga√Īe a los usuarios.

Consecuencias peligrosas de la ingeniería social

Los efectos de un ataque de ingenier√≠a social pueden ser catastr√≥ficos y de gran alcance, seg√ļn los sistemas a los que puedan acceder los piratas inform√°ticos.¬†El problema es que un ataque inicial exitoso puede conducir a una mayor ingenier√≠a social o entrega de malware que permita a los atacantes penetrar m√°s profundamente en tus sistemas.

Los peores escenarios incluyen:

  • Los piratas inform√°ticos roban tus datos m√°s valiosos, incluida la informaci√≥n confidencial del cliente o la propiedad intelectual
  • Amenazas de chantaje para hacer p√ļblicos tus datos si no pagas.
  • Se introduce malware destructivo como el ransomware que bloquea tus archivos
  • Tiempo de inactividad despu√©s de que el actor de la amenaza desconectara los sistemas
  • P√©rdidas financieras debido al tiempo de inactividad y los costos de recuperaci√≥n

Desafortunadamente, el error humano es una vulnerabilidad que ni siquiera los mejores sistemas de ciberseguridad pueden prevenir por completo. Si bien hay algunos pasos que puedes seguir para limitar el acceso de intrusos, como por ejemplo, podrías establecer controles de acceso más estrictos en los directorios de archivos, pero la mejor manera de reducir el riesgo es crear conciencia y capacitar a tus empleados y a ti mismo.

¬ŅC√≥mo se compara la ingenier√≠a social con el malware tradicional?

El malware tradicional solo puede llegar hasta cierto punto una vez que se descubre ¬ęen la naturaleza¬Ľ porque una vez que se conoce la amenaza, la mayor√≠a de los sistemas antimalware pueden detectarla.¬†Podr√≠a decirse que la ingenier√≠a social es m√°s peligrosa porque solo se necesita una sola persona para sorprenderte y eludir tus otras ciberdefensas.

Nuevamente, las t√©cnicas de enga√Īo son esenciales para los atacantes de ingenier√≠a social.¬†El error humano ocupa un lugar destacado en la lista cuando se trata de debilidades de seguridad organizacional.¬†Esta es la diferencia clave entre la ingenier√≠a social y el malware.¬†La ingenier√≠a social se basa en las debilidades humanas para que el ataque sea lo suficientemente exitoso como para eludir las protecciones de ciberseguridad.¬†En otras palabras, una persona debe revelar informaci√≥n al mundo exterior o ser enga√Īada para que realice una acci√≥n que proporcione a los piratas inform√°ticos las credenciales o la informaci√≥n que necesitan.

Por otro lado, los ataques de malware tradicionales se centran m√°s en las vulnerabilidades tecnol√≥gicas.¬†Estos ataques tienden a tener lugar de forma encubierta y, a menudo, sin ninguna ayuda ¬ęinterna¬Ľ de los empleados u otras personas importantes (por ejemplo, proveedores).

Tácticas comunes de ingeniería social

Si bien el phishing es la forma m√°s com√ļn, la ingenier√≠a social puede usar una variedad de habilidades y m√©todos enga√Īosos para lograr sus objetivos.¬†Veamos algunas t√°cticas diferentes que utilizan para robar credenciales y entrar en tus sistemas seguros.

Correos electr√≥nicos de¬†suplantaci√≥n de identidad: los¬†correos electr√≥nicos de suplantaci√≥n de identidad dependen en gran medida de la suplantaci√≥n de identidad para enga√Īar a los usuarios para que revelen sus credenciales de inicio de sesi√≥n a varios sistemas seguros o hacer clic en un enlace que lleva a que sus credenciales de inicio de sesi√≥n se vean comprometidas.¬†Las l√≠neas de asunto pueden ser llamativas (¬ęTu cuenta ha sido comprometida¬Ľ) o sutiles (¬ęFactura recibida¬Ľ).¬†Los correos electr√≥nicos a menudo imitan el dise√Īo, el tono y el dise√Īo de los mensajes leg√≠timos de una empresa real, como: un banco.¬†A veces, los atacantes tambi√©n ¬ęfalsifican¬Ľ una direcci√≥n de correo electr√≥nico o un sitio web en el que se puede hacer clic.

Pretextos: Al pretextar, el atacante finge ser una persona legítima para ganarse la confianza y acceder a la información confidencial deseada. También puede crear una identidad falsa con una apariencia autoritaria para ganarse la confianza de la víctima.

Vishing:¬†Vishing es una t√©cnica de ingenier√≠a social en la que el actor de amenazas utiliza un servicio de VoIP que le permite falsificar su n√ļmero de tel√©fono o enga√Īar a los usuarios por tel√©fono.¬†Para hacer esto, un perpetrador puede hacerse pasar por alguien del departamento de TI o un tercero para convencer a la v√≠ctima de que proporcione sus credenciales.

Cebo: este enfoque de ingenier√≠a social se aprovecha de la curiosidad humana.¬†La forma en que funciona es enga√Īar a la v√≠ctima para que obtengas algo √ļtil si sigues las instrucciones dadas.¬†Por ejemplo, el atacante podr√≠a enviar un archivo malicioso disfrazado de software √ļtil o una actualizaci√≥n del software utilizado por la empresa de la v√≠ctima.

Ataques de quid pro quo:¬†una variante del cebo: Quid pro quo promete al usuario una ventaja o un servicio si realizas una determinada acci√≥n.¬†Por ejemplo, puedes recibir una llamada de un pirata inform√°tico que se hace pasar por un profesional de la tecnolog√≠a y el pirata inform√°tico ofrece ayuda de TI gratuita cuando el usuario inicia sesi√≥n en un sitio web en particular o descarga un archivo.¬†Incluso podr√≠a pedirle a la v√≠ctima que apague su software antivirus para que pueda ¬ęverificar¬Ľ algo.¬†Por supuesto, esto abre la puerta para aprovechar la empresa r√°pidamente.

Importancia de la sensibilización y la formación de los usuarios

Todas las organizaciones, grandes y peque√Īas, deben tomar en serio los riesgos y amenazas que plantea la ingenier√≠a social.¬†Adem√°s de la ciberseguridad y otras salvaguardas de emergencia importantes, como: copias de seguridad de datos, las empresas tambi√©n deben considerar las vulnerabilidades asociadas con la ingenier√≠a social.

A medida que la ingeniería social se ha vuelto más complicada, la sofisticación seguirá aumentando. Para evitar ser víctima de un ataque de ingeniería social, las organizaciones deben concienciar a los usuarios y brindar capacitación. Estas dos medidas pueden contribuir en gran medida a garantizar que los empleados no se conviertan en víctimas de la ingeniería social.

A continuación, se indican algunos pasos clave a seguir:

  • Realiza capacitaciones obligatorias en ciberseguridad al menos una vez al a√Īo y siempre que sea nuevo.
  • Crea una pol√≠tica clara y f√°cil de leer.¬†Explica detenidamente c√≥mo los empleados deben manejar las solicitudes de informaci√≥n confidencial o credenciales.
  • Muestra a los empleados c√≥mo detectar intentos de phishing.¬†Normalmente, incluso con campa√Īas sofisticadas, hay se√Īales que los usuarios pueden ver.
  • Desarrolla un proceso de informes que los empleados puedan seguir si sospechan de un intento de ingenier√≠a social (o un intento exitoso).
  • Ense√Īa al personal c√≥mo detectar se√Īales de enga√Īo;¬†dar ejemplos de diferentes enfoques que utilizan estos delincuentes.

Los errores simples pueden da√Īar a toda una organizaci√≥n.¬†Si bien mejorar la seguridad desde una perspectiva tecnol√≥gica es importante, los tomadores de decisiones no deben olvidarse de la ingenier√≠a social cuando invierten en estrategias de ciberseguridad.

Share the Post