phishing
Identidad

Ingeniería social: definición, ejemplos y técnicas

La ingeniería social es el arte de explotar la psicología humana, más que las técnicas de hacking, para obtener acceso a edificios, sistemas o datos. Entrénate a detectar las señales.

phishing nigeriano

La ingeniería social es el arte de explotar la psicología humana, en lugar de las técnicas de hacking, para acceder a edificios, sistemas o datos.

Por ejemplo, en lugar de tratar de encontrar una vulnerabilidad de software, un ingeniero social podría llamar a un empleado y hacerse pasar por una persona de soporte de TI, tratando de engañar al empleado para que divulgue su contraseña.

El famoso hacker Kevin Mitnick ayudó a popularizar el término "ingeniería social" en los años 90, aunque la idea y muchas de las técnicas han existido desde que hay estafadores.

Incluso si tienes todas las ventajas y alertas cuando se trata de asegurar tu centro de datos, tus despliegues en la nube, la seguridad física de tu edificio, y has invertido en tecnologías defensivas, tienes las políticas y procesos de seguridad correctos y mides su eficacia y mejoras continuamente, todavía un ingeniero social astuto puede abrirse camino a través (o alrededor).

 

¿Cómo funciona la ingeniería social?

La expresión "ingeniería social" abarca una amplia gama de comportamientos, y lo que todos tienen en común es que explotan ciertas cualidades humanas universales: la codicia, la curiosidad, la cortesía, la deferencia a la autoridad, etc. Aunque algunos ejemplos clásicos de ingeniería social tienen lugar en el "mundo real" (un hombre con uniforme de FedEx que se abre paso en un edificio de oficinas, por ejemplo), gran parte de nuestra interacción social diaria tiene lugar en Internet, y es ahí donde también se producen la mayoría de los ataques de ingeniería social. Por ejemplo, es posible que no pienses en el phishing o el smishing como tipos de ataques de ingeniería social, pero ambos se basan en engañarte, fingiendo ser alguien en quien confías o tentándote con algo que quieres, para que descargues malware en tu dispositivo.

Esto trae a colación otro punto importante, y es que la ingeniería social puede representar un único paso en una cadena de ataque mayor. Un texto de smishing utiliza la dinámica social para seducirle con una tarjeta de regalo gratuita, pero una vez que pulse el enlace y descargue el código malicioso, los atacantes utilizarán sus habilidades técnicas para obtener el control de su dispositivo y explotarlo.

 

Ejemplos de ingeniería social

Una buena manera de hacerse una idea de las tácticas de ingeniería social a las que debe prestar atención es conocer las que se han utilizado en el pasado. Tenemos todos los detalles en un extenso artículo sobre el tema, pero de momento vamos a centrarnos en tres técnicas de ingeniería social, independientes de las plataformas tecnológicas, que han tenido mucho éxito para los estafadores.

Ofrecer algo dulce. Como le dirá cualquier estafador, la forma más fácil de estafar a un blanco es explotar su propia codicia. Esta es la base de la clásica estafa nigeriana 419, en la que el estafador intenta convencer a la víctima de que le ayude a sacar el dinero supuestamente mal habido de su país a un banco seguro, ofreciendo una parte de los fondos a cambio. Estos correos electrónicos de "príncipes nigerianos" son un chiste desde hace décadas, pero siguen siendo una técnica eficaz de ingeniería social en la que la gente cae: en 2007, el tesorero de un condado poco poblado de Michigan entregó 1,2 millones de dólares de fondos públicos a un estafador de este tipo con la esperanza de cobrar personalmente. Otro señuelo común es la perspectiva de un nuevo y mejor trabajo, que aparentemente es algo que demasiados de nosotros queremos: en una brecha enormemente embarazosa de 2011, la empresa de seguridad RSA se vio comprometida cuando al menos dos empleados de bajo nivel abrieron un archivo de malware adjunto a un correo electrónico de phishing con el nombre de archivo "2011 recruitment plan.xls".

Fingir hasta que lo consigas. Una de las técnicas de ingeniería social más sencillas -y sorprendentemente más exitosas- es simplemente fingir ser la víctima. En una de las primeras y legendarias estafas de Kevin Mitnick, consiguió acceder a los servidores de desarrollo del sistema operativo de Digital Equipment Corporation simplemente llamando a la empresa, diciendo que era uno de sus principales desarrolladores, y diciendo que tenía problemas para iniciar sesión; inmediatamente fue recompensado con un nuevo nombre de usuario y contraseña. Todo esto sucedió en 1979, y uno pensaría que las cosas han mejorado desde entonces, pero se equivocaría: en 2016, un hacker se hizo con el control de una dirección de correo electrónico del Departamento de Justicia de Estados Unidos y la utilizó para hacerse pasar por un empleado, engatusando a un servicio de asistencia para que le entregara un token de acceso a la intranet de la institución, diciendo que era su primera semana en el trabajo y que no sabía cómo funcionaba nada.

Muchas organizaciones cuentan con barreras destinadas a evitar este tipo de suplantaciones descaradas, pero a menudo se pueden eludir con bastante facilidad. Cuando Hewlett-Packard contrató a investigadores privados para averiguar qué miembros de la junta directiva de HP estaban filtrando información a la prensa en 2005, pudieron proporcionar a los investigadores privados los cuatro últimos dígitos del número de la seguridad social de sus objetivos, que el servicio técnico de AT&T aceptó como prueba de identificación antes de entregar registros de llamadas detallados.

Actúar como si estuvieras al mando. La mayoría de nosotros estamos preparados para respetar la autoridad o, como resultado, para respetar a las personas que actúan como si tuvieran autoridad para hacer lo que están haciendo. Puedes explotar distintos grados de conocimiento de los procesos internos de una empresa para convencer a la gente de que tienes derecho a estar en lugares o a ver cosas que no deberías, o de que una comunicación que viene de ti viene realmente de alguien a quien respetan. Por ejemplo, en 2015 los empleados de finanzas de Ubiquiti Networks transfirieron millones de dólares en dinero de la empresa a estafadores que se hacían pasar por ejecutivos de la compañía, probablemente utilizando una URL parecida en su dirección de correo electrónico. En el lado de la tecnología más baja, los investigadores que trabajaban para los tabloides británicos a finales de los años 00 y principios de los 10, a menudo encontraban maneras de obtener acceso a las cuentas de correo de voz de las víctimas haciéndose pasar por otros empleados de la compañía telefónica a través de un puro farol; por ejemplo, un IP convenció a Vodafone para restablecer el PIN del correo de voz de la actriz Sienna Miller llamando y diciendo ser "John de control de crédito."

A veces son autoridades externas cuyas exigencias cumplimos sin pensarlo mucho. El mandamás de la campaña de Hillary Clinton, John Podesta, sufrió el hackeo de su correo electrónico por parte de espías rusos en 2016, cuando le enviaron un correo de phishing, disfrazado de nota de Google, pidiéndole que restableciera su contraseña. Al tomar una medida que pensó que protegería su cuenta, en realidad regaló sus credenciales de inicio de sesión.

Cinco tipos de ingeniería social

  1. Phishing, como ya hemos dicho, que también incluye el smishing basado en texto y el vishing basado en voz. Estos ataques suelen ser de bajo esfuerzo pero de gran difusión; por ejemplo, un phisher puede enviar miles de correos electrónicos idénticos, con la esperanza de que alguien sea lo suficientemente crédulo como para hacer clic en el archivo adjunto.
  2. El spear phishing, o whaling, es una variante de phishing "de alto contacto" para objetivos de alto valor. Los atacantes dedican tiempo a investigar a su víctima, que suele ser una persona de alto estatus con mucho dinero de la que pueden separarse, para elaborar comunicaciones de estafa únicas y personalizadas.
  3. El cebo es una parte clave de todas las formas de phishing y también de otras estafas: siempre hay algo para tentar a la víctima, ya sea un texto con la promesa de una tarjeta de regalo gratuita o algo mucho más lucrativo o lascivo.
  4. El pretexto consiste en crear una historia, o pretexto, para convencer a alguien de que entregue información valiosa o acceso a algún sistema o cuenta. Un pretexto puede conseguir encontrar algunos de sus datos personales y utilizarlos para engañarle; por ejemplo, si sabe qué banco utiliza, puede llamarle y decir que es un representante de atención al cliente que necesita saber su número de cuenta para ayudarle con un pago atrasado. O bien, podrían utilizar la información para imitarle: esta fue la técnica utilizada por los investigadores privados de HP de la que hablamos anteriormente.
  5. Los fraudes por correo electrónico comercial combinan varias de las técnicas anteriores. Un atacante se hace con el control de la dirección de correo electrónico de la víctima o se las arregla para enviar correos electrónicos que parezcan proceder de esa dirección, y luego comienza a enviar correos electrónicos a los subordinados en el trabajo solicitando la transferencia de fondos a las cuentas que controlan.

Cómo detectar los ataques de ingeniería social

La empresa de seguridad Norton ha hecho un buen trabajo al esbozar algunas banderas rojas que podrían ser una señal de un ataque de ingeniería social. Estas señales se aplican tanto a las técnicas sociales como a las tecnológicas, y es bueno tenerlas en mente para intentar mantenerse en guardia:

  • Alguien conocido envía un mensaje inusual: Robar o imitar la identidad en línea de alguien y luego minar sus círculos sociales es relativamente fácil para un atacante decidido, así que si recibes un mensaje de un amigo, pariente o compañero de trabajo que parece extraño, asegúrate de que realmente estás hablando con él antes de actuar. Es posible que tu nieta esté realmente de vacaciones y necesite dinero, o que tu jefe quiera realmente que le envíes una suma de seis cifras a un nuevo proveedor en Bielorrusia, pero eso es algo que debes comprobar tres veces antes de pulsar enviar.
  • Un desconocido te hace una oferta demasiado buena para ser verdad: Una vez más, todos nos reímos de los correos electrónicos de príncipes nigerianos, pero muchos de nosotros seguimos cayendo en estafas que nos engañan diciéndonos que estamos a punto de conseguir algo que no esperábamos ni habíamos pedido. Tanto si se trata de un correo electrónico en el que se nos dice que hemos ganado una lotería en la que no habíamos entrado, como de un mensaje de texto de un número extraño en el que se nos ofrece una tarjeta regalo sólo por haber pagado la factura del teléfono a tiempo, si parece demasiado bueno para ser verdad, probablemente lo sea.
  • Tus emociones se intensifican y tienes que actuar ahora: Los estafadores de ingeniería social se aprovechan de las emociones fuertes -miedo, codicia, empatía- para inculcar un sentido de urgencia, específicamente para que no te detengas a pensar dos veces en escenarios como los que acabamos de describir. Una técnica especialmente perniciosa en este ámbito es la estafa de soporte técnico, que se aprovecha de las personas que ya están nerviosas por los hackeos, pero que no son muy expertas en tecnología: te llama una persona agresiva que dice ser de Google o Microsoft, te dice que tu sistema ha sido comprometido y te exige que cambies tus contraseñas de inmediato, engañándote para que les reveles tus credenciales en el proceso.

Cómo evitar ser víctima de la ingeniería social

La lucha contra todas estas técnicas requiere vigilancia y una mentalidad de Zero Trust (confianza cero). Esto puede ser difícil de inculcar en la gente común; en el mundo corporativo, la formación en materia de seguridad es la forma número uno de evitar que los empleados sean presa de ataques de alto riesgo. Los empleados deben ser conscientes de que la ingeniería social existe y estar familiarizados con las tácticas más utilizadas.

Afortunadamente, la concienciación sobre la ingeniería social se presta a la narración de historias. Y las historias son mucho más fáciles de entender y mucho más interesantes que las explicaciones de los fallos técnicos. Los concursos y los carteles llamativos o humorísticos también son recordatorios eficaces para no dar por sentado que todo el mundo es quien dice ser.

Pero no sólo el empleado medio debe ser consciente de la ingeniería social. Como hemos visto, los ingenieros sociales se centran en objetivos de gran valor, como los directores generales y los directores financieros. Los altos cargos a menudo se resisten a asistir a los cursos de formación que se imparten a sus empleados, pero necesitan ser conscientes de estos ataques más que nadie.

Cinco consejos para defenderse de la ingeniería social

Dan Lohrmann, colaborador de CSO, ofrece los siguientes consejos:

  1. Formar y volver a formar cuando se trata de la concienciación en materia de seguridad. Asegúrate de que dispones de un programa completo de formación en materia de seguridad que se actualiza periódicamente para abordar tanto las amenazas generales de phishing como las nuevas ciberamenazas dirigidas. Recuerda que no se trata sólo de hacer clic en los enlaces.
  2. Ofrezcer una sesión informativa itinerante y detallada sobre las últimas técnicas de fraude en línea al personal clave. Sí, incluye a los altos ejecutivos, pero no olvide a cualquiera que tenga autoridad para realizar transferencias u otras transacciones financieras. Recuerae que muchas de las historias reales de fraude se producen con personal de nivel inferior que se deja engañar haciéndole creer que un ejecutivo le pide que realice una acción urgente, normalmente saltándose los procedimientos y/o controles normales.
  3. Revisar los procesos, procedimientos y separación de funciones existentes para las transferencias financieras y otras transacciones importantes. Añadir controles adicionales, si es necesario. Recuerde que la separación de funciones y otras protecciones pueden verse comprometidas en algún momento por las amenazas internas, por lo que puede ser necesario volver a analizar las revisiones de riesgos dado el aumento de las amenazas.
  4. Considera nuevas políticas relacionadas con las transacciones "fuera de banda" o las solicitudes urgentes de los ejecutivos. Un correo electrónico procedente de la cuenta de Gmail del director general debería hacer saltar automáticamente la alarma entre el personal, pero éste debe conocer las últimas técnicas desplegadas por el lado oscuro. Necesitas procedimientos de emergencia autorizados que sean bien entendidos por todos.
  5. Revisa, perfecciona y prueba tus sistemas de gestión de incidentes y de notificación de phishing. Realiza un ejercicio de simulación con la dirección y con el personal clave de forma regular. Prueba los controles y haz ingeniería inversa de las posibles áreas de vulnerabilidad.

Tendencias de la ingeniería social

El último informe de ISACA State of Security 2021, Part 2 (una encuesta realizada a casi 3.700 profesionales de la ciberseguridad a nivel mundial) descubrió que la ingeniería social es la principal causa de los compromisos experimentados por las organizaciones, mientras que el Informe Trimestral de Tendencias e Inteligencia de Amenazas de PhishLabs reveló un aumento del 22% en el volumen de ataques de phishing en la primera mitad de este año en comparación con el mismo período de 2020. Una investigación reciente de Gemini también ha ilustrado cómo los ciberdelincuentes utilizan técnicas de ingeniería social para eludir protocolos de seguridad específicos, como 3D Secure, para cometer fraudes de pago.

Las tendencias de los ataques de ingeniería social suelen ser cíclicas, y suelen ir y venir con regularidad. Para Nader Henein, vicepresidente de investigación de Gartner, una tendencia significativa es que la ingeniería social se ha convertido en un elemento estándar de las grandes cajas de herramientas de ataque, que se despliega en combinación con otras herramientas contra organizaciones y personas en un enfoque profesional y repetible. "Gran parte de estas capacidades, ya sea el phishing o el uso de deepfakes para convencer o coaccionar a los objetivos, se están entregando en combinación como un servicio, con acuerdos de nivel de servicio y apoyo". Como resultado, la concienciación sobre la ingeniería social y las pruebas posteriores son cada vez más necesarias y están presentes en la formación sobre seguridad en la mayoría de las organizaciones, añade.

Jack Chapman, vicepresidente de inteligencia de amenazas de Egress, señala el reciente aumento de los ataques de ingeniería social por "mensajes perdidos". "Se trata de suplantar la cuenta de un empleado de alto nivel; el atacante enviará a un colega más joven un correo electrónico solicitando que le envíe un trabajo terminado, como un informe", explica a CSO.

Para crear una presión adicional, el atacante mencionará que el informe fue solicitado por primera vez en un correo electrónico anterior ficticio, haciendo creer al destinatario que ha perdido un correo electrónico y que no ha completado una tarea importante. "Esta es una forma muy eficaz de generar urgencia para responder, especialmente en un entorno de trabajo remoto", dice Chapman. Además, los atacantes aprovechan cada vez más los halagos para animar a los destinatarios a hacer clic en sus enlaces maliciosos. "Una tendencia sorprendente que hemos visto es la de los hackers que envían tarjetas de cumpleaños. Los atacantes pueden utilizar OSINT para averiguar cuándo es el cumpleaños de su víctima y enviar un enlace para 'ver una tarjeta electrónica de cumpleaños' que en realidad es un enlace de phishing armado. A menudo, el destinatario no sospecha que se trata de un ataque de phishing, porque está demasiado ocupado sintiéndose halagado por haber recibido una tarjeta en su cumpleaños".

Según el CISO de Neosec, Renan Feldman, la mayoría de los ataques de ingeniería social hoy en día aprovechan las APIs expuestas. "La mayoría de los atacantes buscan el acceso a esas APIs más que el acceso a un dispositivo o a una red, porque en el mundo actual el negocio se desarrolla en plataformas de aplicaciones. Además, vulnerar una API es mucho más fácil que penetrar en una red empresarial y desplazarse lateralmente para hacerse con la mayoría o todos los activos clave de la misma. Por lo tanto, en los próximos dos años, es probable que veamos un aumento de la extorsión individual a través de las API. Con cada vez más datos empresariales moviéndose hacia las API, las organizaciones están reforzando sus controles antiransomware."

Recursos de ingeniería social

Varios proveedores ofrecen herramientas o servicios para ayudar a realizar ejercicios de ingeniería social, y/o para concienciar a los empleados a través de medios como carteles y boletines.

También merece la pena consultar el kit de herramientas de ingeniería social de social-engineer.org, que se puede descargar gratuitamente. El kit de herramientas ayuda a automatizar las pruebas de penetración a través de la ingeniería social, incluyendo los ataques de spear phishing, la creación de sitios web de aspecto legítimo, los ataques basados en unidades USB, y más.

Otro buen recurso es The Social Engineering Framework.

Actualmente, la mejor defensa contra los ataques de ingeniería social es la educación de los usuarios y las capas de defensas tecnológicas para detectar y responder mejor a los ataques. La detección de palabras clave en los mensajes de correo electrónico o las llamadas telefónicas puede servir para descartar posibles ataques, pero incluso esas tecnologías serán probablemente ineficaces para detener a los ingenieros sociales expertos.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper