Entre las muchas técnicas que se emplean en los ciberataques, el uso de la ingeniería social se erige como una de las más utilizadas por los ciberdelincuentes para llevar a cabo sus amenazas. Hoy en día, alrededor del 75% de los profesionales en ciberseguridad considera los ataques de phishing y de ingeniería social como la principal amenaza para las organizaciones, según un reciente informe de CS Hub 22. Una amenaza que, lejos de disminuir, sigue proliferando e incrementado su sofisticación para conseguir sus objetivos.
Gabriel Bergel, experto en ciberseguridad, cofundador de 8.8 Computer Security Conference, y actual Associate Partner de Seguridad y Resiliencia en Kyndryl, analiza en esta entrevista con Bit Life media cómo han evolucionado estos ataques de ingeniería social, y las claves para hacerles frente.
Bit Life media (BLM): Lejos de disminuir, los ataques de ingeniería social siguen aumentando en volumen y en sofisticación. ¿Cómo has visto su evolución en los últimos años?
Gabriel Bergel (GB): Creo que no han cambiado mucho, lo que ha evolucionado han sido las temáticas. Históricamente la técnica más utilizada ha sido el phishing, porque siempre ha funcionado. Pero también el pretexting, la llamada de teléfono haciéndose pasar por alguien, como un familiar, un médico, o la policía. Por lo tanto, las estadísticas a día de hoy confirman que el phishing y el pretexting son las dos principales técnicas de ingeniería social.
Sin embargo, durante la pandemia, fue más fácil porque si enviaba un correo electrónico con un asunto sobre COVID-19 en español, me servía para toda Hispanoamérica. Un único correo, en un único idioma, servía para muchos países, porque todos estábamos viviendo la misma situación.
Las cifras que vimos de ingeniería social y fraude durante pandemia, probablemente no tengan precedentes y no sé si vamos a ver cifras similares. La ingeniería social cambió aprovechándose la incertidumbre. Por tanto, los engaños mutan y se transforman de acuerdo a la situación actual, pero las técnicas que se siguen utilizando son las mismas. La más novedosa es a través de las redes sociales. Estamos muy acostumbrados al phishing, y al correo electrónico, pero si este mismo aviso que nos envían por correo lo hacen por redes sociales, no somos tan conscientes, y la gente cae mucho.
BLM: ¿Qué es lo que más buscan conseguir los ciberdelincuentes con este tipo de ataques de ingeniería? ¿Para qué los utilizan?
GB: En general, las técnicas de ingeniería social se utilizan, principalmente, para todo tipo de ataques. Sin ir más lejos, en el sector de la salud es la principal técnica utilizada para poder infectar o tener acceso a una organización. También vemos casos con ofertas de trabajo muy bien diseñadas, o anuncios en LinkedIn que acaban infectando a la persona, a una específica y, a partir de ahí, comienza el ataque.
Tampoco hay que olvidar que se venden plataformas para hacer phishing, incluso con la base de datos. Por lo tanto, el phishing es la herramienta principal que utilizan los delincuentes y, si le ponemos una variante, ya sea una red social, SMS, o combinando diferentes medios, funciona mejor. Además, con toda la información que publicamos hoy en día en Internet, es muy fácil personalizar un ataque.
«Hay que invertir más en educación, en formación y capacitación, y las empresas no lo están haciendo.»
BLM: ¿Cómo pueden trabajar las organizaciones para concienciar a los empleados sobre los riesgos que entrañan este tipo de ataques en los que predomina el arte del engaño?
GB: Hay que invertir más en educación, en capacitación y formación. En Sudamérica, hay casos en los que un empleado ha caído en un ataque de phishing, ha infectado a la empresa, y lo han terminado despidiendo. Creo que eso no debe pasar a menos que ese empleado haya sido muy formado y capacitado, ya que debería ser la primera línea de defensa de una organización. Pero si no están capacitados, nunca van a poder serlo.
Hay que invertir más en educación, en formación y capacitación, y las empresas no lo están haciendo. Hoy en día existen muchas plataformas de ingeniería social, de phishing, y de smishing, entre otras, que te envían correos simulando un ataque y, si caes, te llevan automáticamente a una plataforma de e-learning. Esta formación es muy valiosa.
BLM: ¿Crees que la tecnología puede ayudar a eliminar estos errores humanos?
GB: Creo que la automatización y la robotización, nos va a ayudar mucho, pero, en mi opinión personal, creo que nunca se va a poder eliminar el factor humano. Hay tareas industriales que un robot puede hacer más rápido y mejor que una persona, pero ese robot siempre va a tener que configurarlo alguien, y lo va a tener que mantener. La automatización y la robotización deberían crear nuevas oportunidades de trabajo, pero nunca se va a eliminar el factor humano, siempre va a haber una persona detrás.
«El principal vector de ataque somos las personas, que es donde menos se ha invertido, y tenemos que reducir esta brecha.»
BLM: ¿Qué consejos darías a las organizaciones que quieren reducir estos errores humanos? ¿Qué pasos deberían seguir para abordar esta problemática?
GB: La ciberseguridad tiene que ser un proceso complementario. Obviamente, depende de la tecnología y de los procesos que se definan dentro de una empresa, pero también del factor humano, por lo que el trabajo tiene que ser conjunto. Cuando se acometen proyectos de concienciación, tiene que ser algo entre ciberseguridad, tecnología, Recursos Humanos, comunicaciones…
En Estados Unidos, las empresas más modernas, y en algunos países de Europa, tienen psicólogos y sociólogos dentro de su área de seguridad. Esto sucede aún en muy pocas empresas, pero el factor humano es muy importante y no podemos abordarlo con técnicos, hackers, o ingenieros. Hoy en día necesitamos darnos cuenta de que el principal vector de ataque somos las personas, que probablemente es donde menos se ha invertido en los últimos tiempos, y tenemos que buscar formas de reducir esta brecha.
Si no empezamos a pensar en el factor humano, y en cómo los temas psicológicos nos podrían terminar afectando, estamos cometiendo un error. Las áreas de ciberseguridad hoy tienen que abrirse un poco más e incorporar estos factores que afectan a las personas.
BLM: Con esta reflexión, ¿consideras que hay una falta de comunicación entre CIO y CISOS, así como con responsables de otras áreas de negocio?
GB: Efectivamente, porque la seguridad no depende exclusivamente de la tecnología. De hecho, probablemente cada vez depende menos de la tecnología. Hoy en día, la tecnología la puede comprar cualquier empresa, solo se necesita dinero. Pero las personas son muy diferentes. Podemos tener mucha tecnología, pero basta con un correo o una llamada a una persona desprevenida, o poco capacitada, para tirar todo por la borda. Tenemos que pensar que las personas son las que hoy en día toman las decisiones, manejan las plataformas y, por lo tanto, hay que hablar más con Recursos Humanos, y con el CEO.
No obstante, un tema muy importante es de quién depende el área de ciberseguridad. Generalmente, depende del departamento de tecnología, pero quizá no sea lo mejor porque la ciberseguridad ya no depende tanto de la tecnología. El CISO debería depender directamente del CEO, y muchos dicen que debería depender de la alta dirección porque: ¿qué pasa si el CEO está involucrado en algo? El CISO tiene la obligación de mirar al CEO como un empleado más, o como su igual, pero no puede ser su subordinado.
BLM: Los ciberdelincuentes están acostumbrados a engañarnos… si nos dejamos engañar. Pero también podemos ponerles trampas y contamos con soluciones y tecnologías para ello. Y ahí es donde entra en juego Kyndryl. ¿Cómo podemos engañar a los que nos intentan engañar a nosotros?
GB: Pagándoles con la misma moneda. La tecnología más antigua en este ámbito era la de los honeypots, que básicamente era una trampa, un sitio web falso. Funcionaba muy bien pero muy pocas empresas lo implementaban porque, en cierta manera, sentían que estaban abriendo un nuevo flanco de ataque. Quizás entonces la tecnología no estaba tan madura, pero hoy en día sí lo está y, de hecho, todas estas tecnologías se agrupan en lo que se denomina ‘deception’, que es básicamente usar la tecnología para engañar.
De este modo, puedo falsear una página web, o un servidor, o una autenticación vía VPN, o hacer simulaciones de pre-ataque… Se pueden hacer muchas cosas ya que la tecnología está muy madura. Incluso se puede dar el servicio bajo demanda o implementar dentro del cliente y son tecnologías con las que, básicamente, engañamos a los cibercriminales. Lo bueno de estas plataformas es que permiten implementar medidas de seguridad para cosas que son reales y que están sucediendo. Hoy en día, las plataformas de deception son la herramienta complementaria ideal para todo lo que ya existe en una empresa y pagarles a los cibercriminales con su misma moneda: engañándolos.