[18/02/2022] La ingeniería social es el arte de explotar la psicología humana -más que las técnicas de hacking- para obtener acceso a edificios, sistemas o datos.
Por ejemplo, en lugar de tratar de encontrar una vulnerabilidad de software, un ingeniero social podría llamar a un empleado y hacerse pasar por una persona de soporte de TI, tratando de engañar al empleado para que divulgue su contraseña.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Kevin Mitnick, un hacker famoso, ayudó a popularizar el término "ingeniería social” en los años noventa, aunque la idea y muchas de las técnicas existen desde que existen los estafadores.
Un ingeniero social astuto puede abrirse camino a través (o alrededor) de su organización. Esto es posible incluso si usted tiene todas las funciones necesarias en lo que respecta a proteger su centro de datos, sus implementaciones en la nube, la seguridad física de su edificio. Sigue siendo una amenaza a pesar de su inversión en tecnologías defensivas, políticas y procesos de seguridad adecuados y capacidad para medir su eficacia y mejora continua.
¿Cómo funciona la ingeniería social?
La frase "ingeniería social” abarca una amplia gama de comportamientos, y lo que todos tienen en común es que explotan ciertas cualidades humanas universales: codicia, curiosidad, cortesía, deferencia a la autoridad, etc. Si bien algunos ejemplos clásicos de ingeniería social tienen lugar en el "mundo real”-por ejemplo, un hombre con un uniforme de FedEx que entra a un edificio de oficinas- gran parte de nuestra interacción social diaria tiene lugar en línea, y ahí es donde la mayoría de los ataques de ingeniería social también suceden. Por ejemplo, es posible que no piense en el phishing o el smishing como tipos de ataques de ingeniería social, pero ambos se basan en engañarle, fingiendo ser alguien en quien confía o tentándole con algo que desea, para que descargue malware en su dispositivo.
Esto trae a colación otro punto importante, que es que la ingeniería social puede representar un solo paso en una cadena de ataque más grande. Un texto smishing utiliza la dinámica social para atraerlo con una tarjeta de regalo gratuita, pero una vez que toque el enlace y descargue el código malicioso, sus atacantes utilizarán sus habilidades técnicas para obtener el control de su dispositivo y explotarlo.
Ejemplos de ingeniería social
Una buena manera de tener una idea de qué tácticas de ingeniería social debe tener en cuenta es saber qué se ha utilizado en el pasado. Centrémonos en tres técnicas de ingeniería social, independientes de las plataformas tecnológicas, que han tenido mucho éxito para los estafadores.
Ofrecer un dulce. Como le dirá cualquier estafador, la forma más fácil de estafar a una marca es explotar su propia codicia. Esta es la base de la clásica estafa Nigerian 419, en la que el estafador trata de convencer a la víctima de que ayude a sacar dinero, supuestamente mal habido, de su propio país a un banco seguro, ofreciendo una parte de los fondos a cambio. Estos correos electrónicos del "príncipe nigeriano” han sido una broma corriente durante décadas, pero siguen siendo una técnica de ingeniería social eficaz que enamora a la gente: en el 2007, el tesorero de un condado escasamente poblado de Michigan entregó 1,2 millones de dólares en fondos públicos a un estafador de este tipo, en la esperanza de cobrar personalmente. Otro atractivo común es la perspectiva de un trabajo nuevo y mejor, que aparentemente es algo que muchos de nosotros queremos: en una enormemente vergonzosa violación de seguridad del 2011, RSA, la empresa de seguridad, se vio comprometida cuando al menos dos empleados de bajo nivel abrieron un archivo de malware adjunto a un correo electrónico de phishing con el nombre de archivo '2011 recruitment plan.xls'”.
Fingir hasta conseguirlo. Una de las técnicas de ingeniería social más simples -y sorprendentemente más exitosas- es simplemente pretender ser su víctima. En una de las primeras estafas legendarias de Kevin Mitnick, él obtuvo acceso a los servidores de desarrollo del sistema operativo de Digital Equipment Corporation simplemente llamando a la empresa, afirmando ser uno de sus principales desarrolladores y diciendo que tenía problemas para iniciar sesión; inmediatamente se le dio un nuevo nombre de usuario y contraseña. Todo esto sucedió en 1979, y uno pensaría que las cosas habrían mejorado desde entonces, pero estaría equivocado: en el 2016, un hacker obtuvo el control de una dirección de correo electrónico del Departamento de Justicia de Estados Unidos y la usó para hacerse pasar por un empleado, persuadiendo a una mesa de ayuda de entregarle un token de acceso para la intranet del Departamento de Justicia, diciendo que era su primera semana en el trabajo y que no sabía cómo funcionaba nada.
Muchas organizaciones tienen barreras destinadas a evitar este tipo de suplantaciones descaradas, pero a menudo se pueden eludir con bastante facilidad. En el 2005, cuando Hewlett-Packard contrató a investigadores privados para averiguar qué miembros del directorio de HP estaban filtrando información a la prensa, pudieron proporcionarles a los investigadores los últimos cuatro dígitos del número de seguro social de sus objetivos -que el soporte técnico de AT&T aceptó como prueba de identificación antes de entregar registros de llamadas detallados.
Actúa como si estuviese a cargo. La mayoría de nosotros estamos preparados para respetar la autoridad -o, como resultado, respetar a las personas que actúan como si tuvieran la autoridad para hacer lo que están haciendo. Puede explotar diversos grados de conocimiento de los procesos internos de una empresa para convencer a las personas de que tiene derecho a estar en lugares o ver cosas que no debería, o que una comunicación que proviene de usted realmente proviene de alguien a quien respetan. Por ejemplo, en el 2015, los empleados de finanzas de Ubiquiti Networks transfirieron millones de dólares en dinero de la empresa a estafadores que se hacían pasar por ejecutivos de la empresa, probablemente usando una URL similar en su dirección de correo electrónico. En el lado de la tecnología más baja, los investigadores que trabajaban para los tabloides británicos -entre finales de la década del los años dos mil y principios del 2010- por medio de puras mentiras, a menudo encontraban formas de obtener acceso a las cuentas de correo de voz de las víctimas, haciéndose pasar por otros empleados de la compañía telefónica; por ejemplo, un investigador privado convenció a Vodafone de restablecer el PIN del correo de voz de la actriz Sienna Miller, llamando y afirmando ser "John de control de crédito”.
A veces son las autoridades externas cuyas demandas cumplimos sin pensarlo mucho. El correo electrónico del jefe de la campaña de Hillary Clinton, John Podesta, fue hackeado por espías rusos en el 2016. Esto ocurrió cuando le enviaron un correo electrónico de phishing disfrazado como una nota de Google pidiéndole que restableciera su contraseña. Al tomar medidas que pensó que protegerían su cuenta, en realidad regaló sus credenciales de inicio de sesión.
5 tipos de ingeniería social
- Phishing, como señalamos anteriormente, que también incluye el smishing (cuando se usan los SMS) y el vishing (cuando se usa la voz). Estos ataques suelen ser de bajo esfuerzo, pero muy difundidos; por ejemplo, un phisher puede enviar miles de correos electrónicos idénticos con la esperanza de que alguien sea lo suficientemente crédulo para hacer clic en el archivo adjunto.
- Spear phishing, o whaling, es una variación de phishing de "alto perfil” para objetivos de alto valor. Los atacantes dedican tiempo a investigar a su víctima, que suele ser una persona de alto estatus, con mucho dinero, y las usan para crear comunicaciones únicas y personalizadas de estafa.
- El cebo es una parte clave de todas las formas de phishing y otras estafas también: siempre hay algo para tentar a la víctima, ya sea un mensaje de texto con la promesa de una tarjeta de regalo gratis o algo mucho más lucrativo o lascivo.
- El pretexto consiste en crear una historia, o un pretexto, para convencer a alguien de que entregue información valiosa o acceda a algún sistema o cuenta. El creador del pretexto podría encontrar parte de su información de identificación personal y usarla para engañarlo; por ejemplo, si sabe qué banco usa, podría llamarlo y decir que es un representante de servicio al cliente que necesita saber su número de cuenta para ayudar con un pago atrasado. O podrían usar la información para imitarlo: esta fue la técnica utilizada por los investigadores privados de HP que discutimos anteriormente.
- Los fraudes de correo electrónico comercial combinan varias de las técnicas anteriores. Un atacante obtiene el control de la dirección de correo electrónico de una víctima o logra enviar correos electrónicos que parecen provenir de esa dirección, luego comienza a enviar correos electrónicos a los subordinados en el trabajo, solicitando la transferencia de fondos a las cuentas que controlan.
Cómo detectar ataques de ingeniería social
Norton, la empresa de seguridad, ha hecho un buen trabajo al señalar algunas señales de alerta que podrían ser indicadores de un ataque de ingeniería social. Estos se aplican a todas las técnicas sociales y tecnológicas, y es bueno tenerlos en mente mientras intenta mantenerse en guardia:
- Alguien que conoce le envía un mensaje inusual: Robar o imitar la identidad en línea de alguien y luego minar sus círculos sociales es relativamente fácil para un atacante determinado, así que si recibe un mensaje de un amigo, pariente o compañero de trabajo que parece extraño, asegúrese de que realmente está hablando con ellos antes de actuar. Es posible que su nieta realmente no le haya comentado que está de vacaciones y necesite dinero, o que su jefe realmente quiera que transfiera una suma de seis cifras a un nuevo proveedor en Bielorrusia, pero eso es algo que debe verificar tres veces antes de presionar enviar.
- Un extraño está haciendo una oferta que es demasiado buena para ser verdad: Nuevamente, todos nos reímos de los correos electrónicos del príncipe nigeriano, pero muchos de nosotros aún caemos en estafas que nos engañan diciéndonos que estamos a punto de obtener algo que nunca esperábamos y que usted nunca pidió. Ya sea un correo electrónico que le afirma que ganó una lotería en la cual no participó, o un mensaje de texto de un número extraño que le ofrece una tarjeta de regalo gratis solo por pagar su factura telefónica a tiempo, si parece demasiado bueno para ser verdad, probablemente no lo sea.
- Sus emociones aumentan y tiene que actuar ahora: Los estafadores de ingeniería social juegan con emociones fuertes -miedo, codicia, empatía- para inculcar un sentido de urgencia, específicamente destinado a que no se detenga a pensar dos veces sobre escenarios como los que acabamos de describir. Una técnica particularmente perniciosa en este ámbito es una estafa de soporte técnico, que se aprovecha de las personas que ya están nerviosas por los ataques pero que no son muy conocedoras de la tecnología: usted escucha a una persona agresiva que afirma ser de Google o Microsoft, le informa que su sistema se ha visto comprometido y exige que cambie sus contraseñas de inmediato, engañándolo para que les revele sus credenciales en el proceso.
Cómo evitar ser víctima de la ingeniería social
Luchar contra todas estas técnicas requiere vigilancia y una mentalidad de confianza cero. Eso puede ser difícil de inculcar en la gente común; en el mundo corporativo, la capacitación en concientización sobre seguridad es la principal forma de evitar que los empleados sean víctimas de ataques de alto riesgo. Los empleados deben ser conscientes de que existe la ingeniería social y estar familiarizados con las tácticas más utilizadas.
Afortunadamente, la conciencia de la ingeniería social se presta a la narración de historias. Y las historias son mucho más fáciles de entender y mucho más interesantes que las explicaciones de fallas técnicas. Los cuestionarios y los posters humorísticos, o los que llaman la atención, también son recordatorios efectivos de no asumir que todos son quienes afirman ser.
Pero no es solo el empleado promedio el que necesita ser consciente de la ingeniería social. Como vimos, los ingenieros sociales se enfocan en objetivos de alto valor como los directores ejecutivos y los directores financieros. Los líderes senior a menudo se resisten a asistir a las capacitaciones obligatorias para sus empleados, pero deben ser los primeros en estar al tanto de estos ataques.
5 consejos para defenderse de la ingeniería social
El colaborador de CSO, Dan Lohrmann, ofrece los siguientes consejos:
- Entrene y vuelva a entrenar cuando se trate de concientización en seguridad. Asegúrese de contar con un programa integral de capacitación en concientización sobre seguridad, que se actualice regularmente, para abordar tanto las amenazas generales de phishing como las nuevas ciberamenazas específicas. Recuerde, no se trata solo de hacer clic en los enlaces.
- Proporcione una "presentación itinerante” informativa y detallada respecto a las últimas técnicas de fraude en línea para el personal clave. Sí, incluya a los altos ejecutivos, pero no olvide a nadie que tenga autoridad para realizar transferencias electrónicas u otras transacciones financieras. Recuerde que muchas de las historias reales que involucran fraude ocurren cuando se engaña al personal de nivel inferior, haciéndoles creer que un ejecutivo les está pidiendo que realicen una acción urgente, por lo general sin pasar por los procedimientos y/o controles normales.
- Revise los procesos, procedimientos y separación de funciones existentes para transferencias financieras y otras transacciones importantes. Si es necesario, agregue controles adicionales. Recuerde que la separación de funciones y otras protecciones pueden verse comprometidas en algún momento por amenazas internas, por lo que es posible que sea necesario volver a analizar las revisiones de riesgos dado el aumento de las amenazas.
- Considere nuevas políticas relacionadas con transacciones "fuera de banda” o solicitudes ejecutivas urgentes. Un correo electrónico de la cuenta de Gmail del director ejecutivo debería alertar automáticamente al personal, pero es necesario que comprendan las últimas técnicas implementadas por el lado oscuro. Necesita procedimientos de emergencia autorizados que todos entiendan bien.
- Revisar, perfeccionar y probar sus sistemas de gestión de incidentes y de notificación de phishing. Ejecute regularmente un ejercicio de simulación con la gerencia y con el personal clave. Ponga a prueba controles y áreas potenciales de vulnerabilidad mediante ingeniería inversa.
Tendencias de ingeniería social
El último informe de ISACA State of Security 2021, Part 2 (una encuesta de casi 3.700 profesionales de ciberseguridad global) descubrió que la ingeniería social es la causa principal de los perjuicios experimentados por las organizaciones, mientras que el Quarterly Threat Trends and Intelligence Report de PhishLabs reveló que, comparando la primera mitad de este año con el mismo período en el 2020, hubo un aumento del 22% en el volumen de ataques de phishing. Investigaciones recientes de Gemini también han ilustrado cómo los ciberdelincuentes usan técnicas de ingeniería social para eludir protocolos de seguridad específicos, como 3D Secure, para cometer fraude de pago.
Las tendencias de los ataques de ingeniería social suelen ser cíclicas, y suelen ir y venir con regularidad. Para Nader Henein, vicepresidente de investigación de Gartner, una tendencia importante es que la ingeniería social se ha convertido en un elemento estándar de las herramientas de ataque más grandes, y se implementa en combinación con otras herramientas contra organizaciones e individuos en un enfoque profesional y repetible. "Muchas de estas capacidades, ya sea phishing o el uso de deepfakes para convencer o coaccionar a los objetivos, se entregan en combinación como un servicio, con acuerdos de nivel de servicio y soporte”. Como resultado, la conciencia de ingeniería social y las pruebas posteriores son cada vez más necesarias y están presentes en la capacitación de seguridad en la mayoría de las organizaciones, agrega.
Jack Chapman, vicepresidente de inteligencia de amenazas en Egress, señala un aumento reciente en los ataques de ingeniería social de 'mensajes perdidos'. "Esto implica falsificar la cuenta de un empleado senior; el atacante enviará un correo electrónico a un colega más joven solicitándole que envíe un trabajo completado, como un informe”, comenta Chapman.
Para crear presión adicional, el atacante mencionará que el informe se solicitó por primera vez en un correo electrónico anterior ficticio, lo que lleva al destinatario a creer que se perdió un correo electrónico y no completó una tarea importante. "Esta es una forma muy efectiva de generar urgencia para responder, particularmente en un ambiente de trabajo remoto”, afirma Chapman. Además, los atacantes explotan cada vez más la adulación para animar a los destinatarios a hacer clic en sus enlaces maliciosos. "Una tendencia sorprendente que hemos visto es que los hackers envían tarjetas de cumpleaños. Los atacantes pueden usar OSINT para averiguar cuándo es el cumpleaños de su víctima y enviar un enlace para 'ver una tarjeta electrónica de cumpleaños' que en realidad es un enlace de phishing armado. A menudo, el destinatario no sospecha un ataque de phishing porque está demasiado ocupado siendo halagado por haber recibido una tarjeta en su cumpleaños”.
Según el CISO de Neosec, Renan Feldman, la mayoría de los ataques de ingeniería social actuales aprovechan las API expuestas. "La mayoría de los atacantes buscan acceso a esas API en lugar de acceder a un dispositivo o una red, porque en el mundo actual el negocio se ejecuta en plataformas de aplicaciones. Además, infiltrarse en una API es mucho más fácil que penetrar en una red empresarial y moverse lateralmente para apoderarse de la mayoría o todos los activos clave en ella. Por lo tanto, en los próximos dos años, es probable que veamos un aumento en la extorsión individual a través de las API. Con más y más datos comerciales moviéndose a las API, las organizaciones están reforzando sus controles contra el ransomware”.
Recursos de ingeniería social
Varios proveedores ofrecen herramientas o servicios para ayudar a realizar ejercicios de ingeniería social, y/o para concienciar a los empleados a través de medios como carteles y boletines.
También merece la pena consultar el kit de herramientas de ingeniería social de social-engineer.org, que se puede descargar gratuitamente. El kit de herramientas ayuda a automatizar las pruebas de penetración a través de la ingeniería social, incluyendo los ataques de spear phishing, la creación de sitios web de aspecto legítimo, los ataques basados en unidades USB, y más.
Otro buen recurso es The Social Engineering Framework.
Actualmente, la mejor defensa contra los ataques de ingeniería social es la educación del usuario y las capas de defensas tecnológicas para detectar y responder mejor a los ataques. La detección de palabras clave en los mensajes de correo electrónico o las llamadas telefónicas puede servir para descartar posibles ataques, pero incluso esas tecnologías serán probablemente ineficaces para detener a los ingenieros sociales expertos.
Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú
Puede ver también: