La gran mayoría de los ciberataques hoy en día (hasta el 97% según Symantec) se deben a la ingeniería social. Y es que, si hay algo que la caracteriza es su capacidad para engañarnos y obtener información sin que, en la mayoría de las ocasiones, seamos conscientes de ello hasta que es demasiado tarde.
Porque en eso consiste la ingeniería social: en obtener información confidencial (credenciales de acceso, información relevante, acceso a equipos o redes…) valiéndose de engaños de todo tipo para ganarse la confianza de la víctima.
Los ataques de phishing o cualquier ataque basado en la instalación de malware del tipo que sea tienen su base en la ingeniería social. Mediante un engaño (un e-mail en el que el ciberdelincuente se hace pasar por un contacto o una entidad de confianza, por ejemplo) y valiéndose de otro tipo de información sobre nosotros obtenida de fuentes abiertas (nuestros gustos, nuestro empleo, aficiones, costumbres, etc.) consiguen que les facilitemos información confidencial, hagamos clic en el enlace que nos proponen o nos descargamos el archivo que nos envían. Phishing, spear phishing o el fraude del CEO son ejemplos que utilizan la ingeniería social para conseguir sus objetivos.
Y es que, sabido que los humanos somos el eslabón más débil de la seguridad de una empresa, desde el punto de vista del ciberdelincuente, es mucho más rentable y sencillo engañar a la víctima que tratar de explotar una vulnerabilidad técnica del sistema, de ahí la apabullante estadística del informe de Symantec.
¿Cuáles son las técnicas más utilizadas en ingeniería social?
Comprender los diferentes vectores de ataque para este tipo de delito es clave cuando se trata de prevención. Así es como lo hacen los malos:
- Escenario inventado (pretexting)
El ciberdelincuente se inventa un escenario que puede ser conocido o familiar para la víctima potencial, lo que aumenta las posibilidades de que caiga en la trampa. Es una técnica que implica un cierto conocimiento real de la víctima (datos personales, de trabajo, aficiones, gustos, costumbres…) generalmente obtenidas de sus redes sociales.
- Suplantación de identidad (phishing)
Es el proceso más extendido, del que ya hemos hablado en multitud de ocasiones. El ciberdelincuente, mediante el envío de un e-mail en el que suplanta la identidad de un contacto conocido o una entidad de confianza para la víctima, trata de convencerle de que haga alguna acción concreta: pinchar en un enlace, descargarse un adjunto, obtener unas credenciales…
- Spear Phishing
Una variante del phishing en el que el ataque se enfoca y dirige a una persona u organización concreta con el objetivo de penetrar en su red. El ataque de spear phishing se realiza después de una profunda investigación sobre el objetivo y su posición dentro de la organización, de manera que no solo suplantan la identidad del remitente sino también su manera de escribir o el tipo de mensajes que envía.
Es por tanto una combinación de las dos primeras técnicas, el phishing y el estudio de la víctima necesaria en el pretexting.
- Cebos
El cebo, como su propio nombre indica, consiste en colocar al alcance de la víctima potencial algo que llame su atención y provoque la interacción deseada.
Un USB abandonado con una carpeta llamada “Confidencial”, por ejemplo, o un enlace a un supuesto vídeo espectacular o escandaloso son cebos casi perfectos que llevan funcionando desde el inicio de los tiempos.
Evidentemente, una vez que se accede al USB o se descarga el supuesto vídeo, el dispositivo de la víctima es comprometido, lo que permite que el ciberdelincuente tenga acceso total a la organización.
- Rogueware
El software de seguridad fraudulento, en los últimos años, se ha convertido en una amenaza creciente y seria para la seguridad de cualquier dispositivo. Es tan popular que incluso se ha colado en ocasiones en las tiendas oficiales de aplicaciones como si fueran genuinos.
Debemos desconfiar de programas y aplicaciones con nombres rimbombantes y de desarrolladores poco conocidos. Y, por supuesto, de cualquier aviso que nos salte durante la navegación que nos advierta que nuestro ordenador está infectado con millones de virus y que si no instalamos su software poco menos que explotará.
- Water-Holing
Esta técnica consiste en identificar los sitios web que los empleados de una organización visitan con regularidad y, por tanto, confía en ellos (como puede ser, por ejemplo, los medios de comunicación o blogs que suelen leer).
El ciberdelincuente analiza esos sitios web en busca de vulnerabilidades que puedan ser explotadas (mediante inyección de código, por ejemplo) cuando los empleados de la organización objetivo los visiten. Dado que los visitan a diario y confían en ellos, normalmente las medidas de precaución se relajan.
Cuidemos en quien confiamos
Conocer algunas de las técnicas empleadas por los ciberdelincuentes ayudan a mitigar el efecto de un ataque de ingeniería social, pero pueden no detenerlo por completo.
Al margen de mantener todas las medidas de seguridad física al 100%, deberíamos mantener los privilegios al mínimo requerido para cada tarea y asegurarnos de que todos los miembros de la organización estén concienciados de la importancia de los ataques de ingeniería social.
Un nivel saludable de desconfianza, que roce incluso la paranoia, puede ser la herramienta más efectiva para no ser víctima de este tipo de ataque.