¿Cuál es el principal objetivo de los ciberdelincuentes cuando atacan a una empresa o usuario? Conseguir información confidencial que pueda poner en riesgo la reputación de una organización o persona, con el fin de sacar un rendimiento económico a cambio de no hacerla pública.
No obstante, esto no es lo único que consiguen lanzando sus ataques, sino que, para las empresas, ese ciberataque no supone sólo la pérdida de dinero, sino también una mancha en su imagen de marca y reputación, además de la pérdida de confianza de los usuarios.
Los ciberdelincuentes, para lanzar estos ataques, utilizan técnicas como la ingeniería social.
La ingeniería social es una técnica de manipulación diseñada por los ciberdelincuentes con el objetivo de engañar a los usuarios para que realicen alguna acción concreta que pueda exponer sus datos como por ejemplo: datos bancarios, documentos o informes confidenciales, contraseñas, etc., y así robarlos.
La ingeniería social se utiliza para manipular, influenciar o chantajear a los usuarios para que realicen acciones específicas o revelen información confidencial. En este caso, no se utilizan vulnerabilidades técnicas o brechas de seguridad en los sistemas informáticos, sino que lo que intentan es manipular a los usuarios para conseguir acceder a estos.
Esta práctica se lleva a cabo para conseguir diferentes objetivos:
Obtener información confidencial: El objetivo principal de la ingeniería social es conseguir información confidencial, como por ejemplo: contraseñas, números de tarjeta de crédito y otra información valiosa. Una técnica muy utilizada para conseguir este objetivo es la suplantación de identidad.
Poder acceder a sistemas o redes de terceros sin autorización: Su objetivo es persuadir a los usuarios para que les revelen contraseñas y así, acceder a los sistemas como si fueran un usuario autorizado. Una manera de disminuir las probabilidades de ser descubierto.
Propagar malware: Como hemos comentado, la ingeniería social intenta influenciar o manipular a los usuarios. Por eso, los ciberdelincuentes pueden utilizar esta técnica para persuadir a un usuario para que descargue un archivo o clique en un enlace infectado, y así, ejecutar malware en la infraestructura informática.
Objetivos económicos: Los ciberdelincuentes pueden utilizar la ingeniería social para realizar estafas o fraudes financieros. Pueden convencer a los usuarios para que realicen transferencias o transacciones bancarias ilícitas.
Dañar la reputación de una corporación: La ingeniería social también puede utilizarse entre empresas de un mismo sector para dañar la reputación de una de ellas.
Sin embargo, la ingeniería social no se utiliza solo para llevar a cabo planes maliciosos por parte de los ciberdelincuentes, sino que esta también puede ser una aliada para la ciberseguridad.
En el ámbito de la seguridad informática, los especialistas en ciberseguridad emplean la ingeniería social para evaluar la susceptibilidad de una organización a ciberataques, desde la parte más humana (empleados) hasta la parte más técnica (infraestructura informática).
Algunos usos de la ingeniería social en seguridad informática:
Para prevenir y concienciar: La formación de empleados es la clave para evitar caer en la trampa de los ciberdelincuentes que utilizan la ingeniería social. Las corporaciones y su personal deben conocer las posibles amenazas a las que están expuestos, de esta manera, reconocerlas y evitarlas a tiempo.
Para la creación de políticas y procedimiento de seguridad: Las empresas deben establecer políticas y procedimientos de seguridad sólidos que incluyan medidas como la autenticación de dos factores, la revisión de permisos de acceso y la supervisión de actividades sospechosas.
Para realizar pruebas de penetración y evaluación de riesgos: Las empresas pueden realizar pruebas de penetración y evaluaciones de riesgos para identificar posibles vulnerabilidades en sus sistemas y procedimientos, lo que incluye la evaluación de su vulnerabilidad ante un ataque de ingeniería social.
Para incrementar la seguridad de los sistemas: Analizar las vulnerabilidades de un sistema a través de la ingeniería social aporta otro enfoque diferente referente a la seguridad de la empresa. Normalmente nos fijamos en las vulnerabilidades más técnicas del sistema, obviando los errores que podrían cometer los empleados y que podrían ser motivo de la entrada de malware en una empresa. Este enfoque ayuda a implementar nuevas medidas de seguridad más enfocadas a las aplicaciones y programas que utilizan los usuarios para desempeñar su actividad empresarial.
Al igual que cualquier otra tecnología, como ves, la ingeniería social puede utilizarse tanto para fines ilícitos como lícitos.
La ingeniería social se utiliza para vulnerar el derecho a la privacidad de las personas en el ámbito personal, gubernamental y corporativo. Se pueden utilizar los diferentes medios para conseguir persuadir o manipular a un usuario:
Correo electrónico
Teléfono
SMS
Redes sociales
El phishing es uno de los tipos de ataques basados en la ingeniería social más utilizados por los ciberdelincuentes debido a su alto nivel de efectividad.
Estos ataques son lanzados a través del correo electrónico. Los ciberdelincuentes suplantan la identidad de una organización, marca o persona para conseguir que el receptor por ejemplo, se descargue un archivo o clique en un determinado enlace. Al hacerlo, se ejecuta malware directamente en el sistema informático, provocando que el ciberdelincuente tenga acceso a él.
Encontramos diferentes tipos de phishing que puedes ver en este artículo.
A continuación puedes ver algunos ejemplos de casos reales de phishing con las siguientes noticias:
Una “ballena” de Ethereum pierde 13.000 ETH en un ataque de phishing
Así es el último phishing ‘casi perfecto’ a través de Wallapop para hacerse con tus datos bancarios
El Spear Phishing, en vez de lanzar un ataque en masa y aleatoriamente como se hace con el phishing, selecciona a unas empresas y organizaciones determinadas para lanzar sus ataques y conseguir así, información específica. Normalmente se trata de datos financieros, militares o de propiedad intelectual.
Estos también son lanzados a través del correo electrónico.
Algún caso real de Spear Phishing:
El Vishing no es muy diferente que el phishing, lo único que cambia es la vía o canal por el que se transmite.
Vhishing hace referencia a los fraudes que se lanzan mediante llamadas telefónicas con el objetivo de conseguir datos personales, sobre todo datos bancarios.
Ejemplos de casos reales de vishing:
Intentan estafar a varias farmacias de la provincia de Zamora
Más de diez millones de números de teléfono españoles a la venta en la Deep Web
El aviso de la Policía sobre el aumento de timos de 'vishing'
Consiste en crear un perfil falso en redes sociales. Normalmente este suplanta la identidad de una marca o empresa reconocida y escribe a los usuarios para obtener sus datos, por ejemplo con el pretexto que han ganado un sorteo. Otra manera que tienen de conseguirlo es creando perfiles falsos personales para ganarse su confianza.
Algunos ejemplos:
Hackean la cuenta oficial de Instagram del Estado Mayor de la Defensa y la llenan de fotos eróticas
Bloquean nuevas páginas que ofrecían inhabilitar cuentas de Instagram bajo demanda
Secuestran las cuentas de Instagram de empresas e influencers y exigen rescates
Consiste en crear un escenario falso donde la víctima se siente obligada a cooperar bajo falsos pretextos. Por ejemplo, un estafador puede hacerse pasar por un policía o un auditor de una organización para intimidar a otra persona y obligarla a compartir información confidencial.
Los atacantes consiguen con esta técnica que los usuarios les proporcionen información confidencial a cambio de un regalo.
Hemos pedido a Chat GPT que nos redactara un correo electrónico de ejemplo, con un mensaje persuasivo.
Además aquí puedes ver un caso real de baiting:
Más de un 35% de las empresas fueron objetivo de 'baiting' a través del mail
Este tipo de ciberataques se dan cuanto un ciberdelincuente infecta los sitios web que visitan con regularidad sus objetivos, para lograr que, al momento en que el usuario inicia sesión o proporciona datos de acceso, éste consiga robarlos para violar su red o instalar malware que le permita acceder a ella.
Mencionamos algún ejemplo:
- En diciembre de 2012, los ciberdelincuentes llevaron a cabo un ataque abrevadero. Aprovecharon una vulnerabilidad de seguridad de día cero en Internet Explorer 8.0 de Microsoft.
- En 2015, la cadena de televisión francesa TV5Monde fue víctima de un ataque a un abrevadero. Los atacantes aprovecharon una vulnerabilidad en una aplicación web de terceros para obtener acceso a los sistemas de la red. Una vez dentro, los piratas informáticos borraron datos, secuestraron cuentas e interrumpieron la programación de TV5Monde durante más de 17 horas.
Los ciberdelincuentes infectan un dispositivo, como por ejemplo un USB y cuando este se utiliza en un equipo específico, se dedica a recolectar datos. Este tipo de ingeniería social actualmente no es muy popular, puesto que con la llegada de la nube, el uso de este tipo de dispositivos ha disminuido.
Algunas recomendaciones para protegerte de este tipo de amenazas:
¿Alguien te pide datos personales y confidenciales a través de correo electrónico o por redes sociales? Desconfía: Compartir información como números de tarjetas, contraseñas o cualquier tipo de información confidencial o datos sensibles no es nada recomendable si quieres preservar tu privacidad.
Verifica la identidad del usuario que te está contactando: No compartas información personal sin antes verificar la identidad de la persona o corporación que te las está pidiendo. Podría ser un caso de suplantación de identidad.
Cuidado con lo que compartes en redes sociales: Las redes sociales se han convertido en el escaparate de una persona: quién es, qué hace, con quién va, qué le gusta, etc. Los ciberdelincuentes se encargan de recopilar esta información para acercarse a ti de forma lícita y sin levantar sospechas.
Alerta con los correos electrónicos: Asuntos suculentos, remitente desconocido, ¿usuario que te pide una información que usualmente te la pide otra persona?, faltas de ortografía en el mensaje, letras cambiadas por carácteres… podía ser una alerta de que se trata de un ataque de phishing. Antes de descargar ningún documento o clicar en algún enlace, asegúrate de que el mensaje proviene de fuentes fiables.
Utiliza la verificación de doble factor: La 2FA se trata de añadir una capa extra de protección a tu información, un paso más para asegurar que eres tú el que está intentando acceder a la cuenta y no un tercero no autorizado.
Ejecuta pruebas de concienciación de seguridad: Realiza simulacros de ataques de ingeniería social en tu organización para evaluar la preparación de tus empleados y mejorar su capacitación.
Importante disponer de una estrategia de ciberseguridad y políticas de actuación sólidas: Las políticas o estrategias de ciberseguridad se trata de una guía de buenas prácticas para la empresa donde se recogen los planes, procedimientos y procesos que determinan cómo una empresa debe o tiene que proteger toda su información. Su principal objetivo es preservar la confidencialidad e integridad de la información, así como, garantizar la continuidad de un sistema para el desarrollo de la actividad empresarial.
Tomando estas medidas y precauciones minimizamos el riesgo de sufrir ciberataques de ingeniería social. No obstante, la educación, concienciación y la implementación de otras soluciones de ciberseguridad como las que ofrecemos en ESED, serán fundamentales para que esta prevención sea efectiva.
Para cualquier duda o más información sobre nuestras soluciones, puedes contactar con nosotros sin ningún compromiso.
Además, ofrecemos una auditoría gratuita para analizar el estado de tus sistemas y conocer su nivel de seguridad.