Técnicas de ingeniería social

El objetivo de un ciberataque es conseguir vulnerar la seguridad de la forma más rápida y menos costosa posible. Para ello, los hackers atacan el eslabón más débil de la seguridad de una empresa, las personas. Y es que, según un estudio realizado por Symantec, el 97% de los ataques se deben a la ingeniería social, pero, ¿sabes en realidad en qué consiste?

¿Qué es la ingeniería social?

Para entenderlo de forma sencilla, la ingeniería social se centra en que es más fácil dominar a las personas que a las máquinas. Partiendo de esto, los hackers utilizan distintas técnicas de manipulación psicológica con el objetivo de ganarse la confianza de las víctimas y siempre haciéndose pasar por contactos o entidades de confianza.

Como medios utilizan principalmente el correo electrónico, por su uso masivo, pero también puede tratar de realizar esta misma técnica a través de redes sociales, mensajería móvil o incluso llamadas telefónicas.

Para llevar a cabo el engaño, el ciberdelincuente aprovecha datos esenciales como nuestros gustos, empleo, costumbres…con el objetivo de que facilitemos la información confidencial que nos solicitan, hagamos clic en un enlace o incluso nos descarguemos un fichero.

Principios básicos de la ingeniería social

La ingeniería social se basa en la teoría de los 6 principios de la influencia y persuasión del Dr. Robert Cialdini, escritor del libro “Influence: the psychology of persuasion” de 1984, y que consisten en:

  1. Reciprocidad: las personas tratan a los demás según como perciben que son tratados. Si alguien nos regala algo, nos presta ayuda o nos ofrece algo, nos sentimos en deuda con esa persona y es más probable que le devolvamos el favor.
  2. Coherencia y compromiso: los humanos tendemos a ser coherentes con nuestras conductas previas. Es decir, somos más proclives a realizar acciones que ya hemos realizado anteriormente, aunque puedan darse en mayor o menor intensidad. Si hemos donado sangre alguna vez, y nos dan una tarjeta de donante, nos sentimos mejor si solemos hacer esto cada cierto tiempo, reforzando así la imagen que tenemos de nosotros mismos.
  3. Aprobación social: se trata de un mecanismo psicológico por el que tendemos a dejarnos llevar por el comportamiento social mayoritario u opinión pública. Por ejemplo, si un producto ya ha sido probado por una gran multitud de personas con buenas opiniones, lo aceptamos sin más, si por el contrario, ha sido rechazado, no perdemos el tiempo en probarlo. ¿Entre dos productos, uno con 5 estrellas y otro con 4 de similares características, cual escogerías?
  4. Autoridad: según este principio, las figuras con más autoridad o que son líderes gozan de mayor credibilidad. Destacar los títulos académicos o años de experiencia en un determinado ámbito, ofrece una mayor credibilidad a la persona que habla. Esto es utilizado en muchos bulos, como el que atribuía al premio nobel en Medicina Tasuko Honjo, haber dicho que el coronavirus “es un virus fabricado por el hombre”. Algo que tuvo que contradecir la propia Univesridad de Kyoto donde trabaja impartiendo clases el Profesor Honjo.
  5. Simpatía: el principio es simple, estamos más predispuestos a hacer las cosas que nos pida alguien agradable y simpático. Además, en este caso, la simpatía no tiene que estar necesariamente ligada a la belleza, pero sin embargo, si afectan otras características como la similaridad con esa persona o que participen en los mismos grupos o actividades que nosotros. Estamos más predispuestos, por ejemplo, a ayudar alguien que haya estudiado en nuestra misma universidad, aunque haya sido con una diferencia de 20 años.
  6. Escasez: cuando sabemos que algo está a punto de agotarse lo valoramos y deseamos mucho más. En publicidad se puede reconocer fácilmente a través de las “ofertas por tiempo limitado” o “edición limitada”. Los marcadores de cuenta atrás son objetos muy utilizados bajo este principio.

Técnicas más habituales de ataque por ingeniería social

Antes de pasar a ver las principales técnicas de ingeniería social hay que matizar que se pueden dividir en dos tipos, dependiendo del tipo de interacciones que requieran por parte del ciberdelincuente:

  1. Hunting (Cacería): busca afectar al mayor número de usuarios a través de una única acción de contacto.
  2. Farming (Granjeo): en este caso se realiza más de una comunicación para conseguir recopilar información de la víctima.

Ahora sí, vamos a analizar con detalle las técnicas más habituales:

  • Baiting (“Poner Cebo”): el objetivo es robar datos corporativos y para ello se deja al alcance de un empleado, o de varios, USBs infectados. Así, cuando los conecta al ordenador se ejecuta el software malicioso accediendo a toda la información de la empresa. Existen otro tipo de USBs, denominados Killer USBs que, a través de una descarga eléctrica al conectarlos al ordenador, son capaces de fundir los componentes internos del mismo.
  • Tailgating (“Ir a rebufo”): el arma secreta del ciberdelincuente no es otra que la simpatía. Buscan entrar físicamente a zonas de acceso restringido apoyándose en la cortesía de la víctima. En una empresa el ciberdelincuente puede esperar en la puerta de entrada simulando esperar a alguien o que ha perdido su identificación y conseguir acceder conjuntamente a la zona de acceso reservado para personal, aprovechándose de la cortesía de sujetar la puerta. También es muy usada en el transporte público para pasar por los tornos poniéndose muy cerca detrás o “yendo a rebufo” de otra persona que accede por ellos.
  • Phising (Pescar): es la técnica más extendida por los ciberdelincuentes y se basa en el envío de correos electrónicos que suplantan la identidad de conocidos o entidades con el objetivo de obtener datos personales, conseguir un clic de la víctima o incluso que se descargue un adjunto. Esta técnica en conjunto con los principios antes mencionados como, autoridad (bancos, empresas donde trabajamos, etc..) o escasez (premios u ofertas excepcionales), pueden resultar muy efectivos.
  • Pretexting (Suplantación de identidad): en este caso se necesitan ciertos datos de la víctima como sus datos personales, trabajo o costumbres y el atacante se presenta como alguien perteneciente a nuestro entorno (un compañero de RRHH), instituciones públicas (policía) o privadas (compañía del gas, bancos, etc..) que necesita corroborar con nosotros ciertos datos confidenciales. Como ya el atacante tiene cierta información de nosotros que ha recopilado en redes sociales y demás medios, es fácil caer en su trampa.
  • Shoulder Surfing (Mirar por encima del hombro):Parece de risa, pero es una técnica muy efectiva para descubrir las password, PIN o patrones de desbloqueo de un teléfono móvil, aplicación o red social. Este tipo de ataque de ingeniería social se suele realizar en sitios públicos concurridos, como los transportes, donde podemos ponernos muy cerca de la víctima sin que parezca una acción amenazante. Una vez conseguida esa password, el atacante tiene vía libre para realizar las acciones que desee. Esta técnica también se puede valer de espejos o ventanas y cámaras con zoom. Aunque a priori se usa en distancias cortas, el atacante también puede realizar estas técnicas desde un edificio contiguo de oficinas y ver la pantalla de ordenadores que estén orientados a las ventanas con ayuda de prismáticos, telescopios e incluso drones.

¿Cómo protegerse de estos ataques?

Los ciberdelincuentes cada vez perfeccionan más los ataques de ingeniería social gracias a la información que pueden obtener del usuario en el medio digital y por ello conviene protegerse de estos ataques para evitar fraudes a gran escala, tanto a nivel personal como corporativo. A continuación, dejamos los consejos básicos a seguir:

  • Comprobar la dirección de correo electrónico del remitente: cuando recibas un email que te solicite información sensible (financiera o personal) lo primero revisa la dirección del remitente, en la mayor parte de las veces verás que hablan en nombre de una empresa pero que la dirección no corresponde con la de la entidad que nombran.
  • No descargues contenido de remitentes desconocidos: ante la duda, mejor no descargar, así evitarás instalar software malicioso.
  • Instala y actualiza tu antivirus para estar siempre protegido.
  • No contestar a mensajes sospechosos y mucho menos proporcionando información confidencial.
  • Utilizar el sentido común: si nuestro banco quiere confirmar ciertos datos, es más probable que nos contacte por teléfono que mandándonos un email.
  • Atentos a las señales: en muchos casos los ciberdelincuentes traducen su mensaje a diversos idiomas y no está bien adaptado. Podemos localizar formas de expresión erróneas o de ortografía. Una entidad oficial no escribiría así, estos datos son suficientes para saber que estamos ante un fraude.
  • Elimina inmediatamente cualquier mensaje sospechoso.
  • Formación: es importante dedicar recursos en las empresas para prevenir estos ataques.

Como puedes comprobar, es mucho más fácil conseguir una password “hackeando” al humano que a la máquina, y que un ciberdelincuente no necesariamente debe de ser un experto/a informático/a o tener dispositivos de última tecnología para descifrar claves. Así que ya lo sabes, lee despacio y analiza antes de responder porque cualquier clic en falso puede suponer un hackeo innecesario.

2020-09-17T11:45:52+02:0017 septiembre, 2020|
Ir a Arriba