1. PRETEXTING

Es un ataque de Ingeniería social que utiliza el engaño y argumentos falsos. En pocas palabras, el atacante simula situaciones ficticias para obtener información personal, sensible o privilegiada y utilizarla con fines delictivos. El Pretexting a menudo implica investigar el objetivo antes del ataque. El objetivo principal del actor de la amenaza es ganar la confianza del objetivo y explotarlo a través de una llamada telefónica o en persona.

Debido a la falta de concienciación y a los pocos procesos de seguridad que se utilizan tanto en las llamadas telefónicas como en la vida real (cara a cara), lo habitual es que el ingeniero social consiga la información que estaba buscando. Lo que está claro es que cuanta menos información puedan encontrar de manera online sobre una persona, más segura estará.

2. DUMPSTER DIVING

Este ataque de Ingeniería Social consiste en explorar la “basura” con el objetivo de buscar información valiosa. Esta técnica es muy utilizada, ya que, muchas veces, las personas suelen tirar a la papelera documentos importantes sobre sí mismos o sobre la empresa en la que trabajan, y los ingenieros sociales lo saben. Por ello, la mayoría de las empresas e instituciones utilizan la trituración como forma de destrucción de la información, no obstante, aunque se rompa en pedazos pequeños, el ingeniero social puede volver a armarlo. De hecho hay sistemas que juntan el puzzle de forma automática, ya sea una fotografía o un documento de texto. Cuanto más pequeños y simétricos los trozos mejor.

3. SHOULDER SURFING

Este ataque de Ingeniería Social está intrínsicamente relacionado con la ingenuidad de las personas. Consiste en espiar físicamente a las víctimas para conseguir información confidencial como las credenciales de acceso a un sistema, equipo, plataforma, etc. Puede parecer una técnica poco utilizada, sin embargo, es bastante común, ya que muchas personas tienden a escribir las claves en un papel pegado a la pantalla del ordenador, a escribirlas en sus dispositivos sin tener en cuenta que alguien les puede estar observando por detrás. Es habitual en cajeros bancarios pero también en el transporte público o en la oficina.

4. BAITING

Este tipo de ataque de Ingeniería Social es muy efectivo y está relacionado con el uso de pendrives ( llaves maya ) con software malicioso. El ingeniero social, antes de llevar a cabo cualquier acción en cuanto al pendrive, estudia a la víctima con la finalidad de descubrir cuál es su vulnerabilidad y poder explotarla. De esta manera, el atacante pondrá un cebo a la víctima que provoque que, lo más probable, caiga en la trampa. Una vez que introduzca el pendrive en el equipo, el sistema será infectado y el ingeniero social podrá acceder a los datos personales y a la información confidencial.

Un ataque habitual a una organización es dejar decenas de usb’s medio escondidos en un parqueo corporativo, en las salas de descanso o en los baños. A mayor cantidad de usb’s mayor probabilidad de que un morboso lo introduzca en su ordenador.

5. PHISHING

Este ataque de Ingeniería Social consiste en simular ser una persona, empresa o institución para que la víctima se confíe y haga una acción, ya sea hacer clic o facilitarnos información clave. Esta técnica es aún más peligrosa cuando está dirigida a un objetivo determinado como, por ejemplo, un empleado que tiene acceso a diferentes sistemas dentro de su organización. Como alternativa al Phishing tal y como hemos mencionado está el Spear Phishing. No varía mucho respecto al tradicional, pero en este caso tiene un trabajo detrás, ya que el ciberdelincuente previamente busca información de la víctima para poder enviar un ataque más personalizado. Estos ataques pueden tener un mayor éxito, ya que al ir dirigidos a una persona concreta es más probable que terminen por abrirlo y caigan en la trampa. El spear phishing es una estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas. Aunque su objetivo a menudo es robar datos para fines maliciosos, los cibercriminales también pueden tratar de instalar malware en la computadora de la víctima.

Un ataque de whaling es un método que usan los cibercriminales para simular ocupar cargos de nivel superior en una organización y así atacar directamente a los altos ejecutivos u otras personas importantes dentro de ella, con el objeto de robar dinero, conseguir información confidencial u obtener acceso a sus sistemas informáticos con fines delictivos. El whaling, también conocido como CEO fraud, es similar al phishing en cuanto a que usa métodos, como la suplantación de sitios web y correos electrónicos, para engañar a la víctima y hacer que revele información confidencial o haga transferencias de dinero, entre otras acciones.

A diferencia de las estafas de phishing (que no tienen un objetivo específico) y de spear phishing (que tiene como objetivo personas en específico), el whaling lleva el ataque al siguiente nivel: no solo está dirigido a estas personas importantes, también lo hace de una forma en que parezca que las comunicaciones fraudulentas provienen de una persona influyente o que tiene un cargo de nivel superior dentro de la organización. De esta estrategia proviene el nombre de “whaling” (caza de ballenas, en inglés): un ataque específico dirigido a los “peces gordos” de las empresas, como el director ejecutivo (CEO) o el gerente de finanzas. Esto incorpora un elemento de ingeniería social al ataque, ya que los empleados sienten la obligación de responder a las solicitudes de una persona que consideran importante.

6. SMISHING

Este ataque de Ingeniería Social consiste en enviar mensajes de texto (SMS) con enlaces maliciosos con el objetivo de obtener información privada. Esta técnica es muy eficaz (para los delincuentes) porque las personas suelen tender a confiar más en los mensajes de texto que en los correos electrónicos. Es común que los ingenieros sociales envíen un mensaje de texto indicando que, si no pincha en el enlace e introduce su información personal, le pasará una acción negativa concreto. Por ello, es fundamental no responder SMS ni hacer clic en ningún enlace, a no ser que conozcamos dicho número y, además, esperemos dicha información. Contrasta siempre con el remitente cualquier SMS con enlace.

7. VISHING

Este ataque de Ingeniería Social consiste en hacerse pasar por una fuente fiable, a través de una llamada telefónica, para engañar a las víctimas y que faciliten sus datos personales, alegando supuestas razones de seguridad. El modus operandi es el siguiente: primero, la víctima recibe un mensaje de texto enviado supuestamente por una entidad financiera que indica que alguien está utilizando su cuenta bancaria de forma ilícita o que tiene que resolver un determinado problema (normalmente urgente). Acto seguido, la víctima recibe una llamada telefónica en la que una supuesta operadora le pide sus datos personales y bancarios. Una vez finalizada la llamada, el ingeniero social tiene en su poder información clasificada y puede robar a la víctima su dinero o vender la información a cibercriminales.

8. SEXTORSION

Este ataque de Ingeniería Social consiste en chantajear a la víctima para que envíe dinero al ingeniero social a cambio de no distribuir por Internet imágenes o vídeos comprometedores. En ocasiones dispone de dicha información comprometida, pero en muchas ocasiones es mentira o es un montaje. Para ello, los atacantes suelen infectar las cuentas con códigos maliciosos con el objetivo de que sean las propias víctimas las que les envíen el material incriminatorio. Una vez que consiguen el material, es cuando amenazan a la víctima con hacerlo público. La gran mayoría de los afectados por este tipo de ataque son adolescentes o hombres adultos.

El phishing es cuando los atacantes envían correos electrónicos maliciosos diseñados para engañar a las personas para que caigan en una estafa. A menudo, la intención es hacer que los usuarios revelen información financiera, credenciales del sistema u otros datos confidenciales.

El phishing es un ejemplo de ingeniería social: una colección de técnicas que los estafadores usan para manipular la psicología humana. Las técnicas de ingeniería social incluyen la falsificación, el desvío y la mentira, todo lo cual puede desempeñar un papel en los ataques de phishing. En un nivel básico, los correos electrónicos de phishing utilizan la ingeniería social para alentar a los usuarios a actuar sin pensar las cosas.

Historia del phishing

El término “phishing” surgió a mediados de la década de 1990, cuando los piratas informáticos comenzaron a utilizar correos electrónicos fraudulentos para “buscar” información de usuarios desprevenidos. Dado que estos primeros piratas informáticos a menudo se denominaban “phreaks“, el término se conoció como “phishing”, con “ph”. Los correos electrónicos de phishing intentan atraer a las personas y hacer que muerdan el anzuelo. Y, una vez enganchados, tanto el usuario como la organización están en problemas. Como muchas amenazas comunes, la historia del phishing comienza en la década de 1990. Cuando AOL era un sistema de contenido popular con acceso a Internet, los atacantes usaban phishing y mensajería instantánea para hacerse pasar por empleados de AOL y engañar a los usuarios para que divulgaran sus credenciales para secuestrar cuentas.

La Figura anterior -parte izquierda- muestra la pantalla de configuración del sistema de ataque incluido con AOHell (AOHell era una aplicación de Windows que se usaba para simplificar el ‘craqueo’ usando AOL.). Aquí la persona elige entre los mensajes carnada integrados o crea los suyos propios. Los mensajes se envían automáticamente a los suscriptores de AOL solicitando sus contraseñas o información de tarjeta de crédito. Para que un novato pudiera usar el sistema, se mostró de manera destacada un botón de Ayuda que brindaba información sobre el concepto y explicaba cómo usar el sistema para robar contraseñas y tarjetas de crédito de manera efectiva.

La Figura anterior -parte derecha- es una recreación precisa de un ataque de phishing en curso desde el punto de vista del phisher. Los mensajes se envían rápidamente a los ocupantes de una sala de chat. El usuario espera a que a cada persona se le envíe un mensaje. Luego se le solicita que localice la siguiente sala de chat para phishing. El phisher se dirige a una habitación tras otra hasta que un empleado de AOL cancela la cuenta. Él mismo no se comunica con los objetivos. Las respuestas entrantes aparecen solo brevemente en la pantalla y se registran para su posterior recuperación.

 

En la década de 2000, los atacantes recurrieron a las cuentas bancarias. Se utilizaron correos electrónicos de phishing para engañar a los usuarios para que divulgaran las credenciales de su cuenta bancaria. Los correos electrónicos contenían un enlace a un sitio malicioso que se parecía al sitio bancario oficial, pero el dominio era una variación similar del nombre de dominio oficial (por ejemplo, paypai.com en lugar de paypal.com). Más tarde, los atacantes buscaron otras cuentas como eBay y Google para usar las credenciales secuestradas para robar dinero, cometer fraude o enviar spam a otros usuarios.

El insecto del amor LOVE BUG de 2000

Un cambio de táctica hizo que el mundo fuera víctima del virus del amor el 4 de mayo de 2000. A partir de Filipinas, los buzones de correo de todo el mundo se llenaron con un mensaje titulado “ILOVEYOU”. El cuerpo del mensaje simplemente decía “Por favor revise la CARTA DE AMOR adjunta que viene de mí”. Aquellos que no pudieron resistirse a desenterrar a su enamorado secreto, abrieron lo que pensaron que era un archivo .txt inofensivo, solo para desatar un gusano que dañó la máquina local. El gusano sobrescribía los archivos de imagen y enviaba una copia de sí mismo a todos los contactos del usuario en su libreta de direcciones de Outlook. ‘LoveBug’ mostró cómo hacer que el spam se envíe solo y que, con un virus ingeniosamente diseñado que se aprovechaba de la psicología humana y las fallas técnicas, el malware podía acumular una enorme cantidad de víctimas. En total, se cree que alrededor de 45 millones de PC con Windows fueron atacadas.

El email spoofing, o correo de suplantación de identidad, es una técnica empleada en los ataques de spam y de phishing para hacerle pensar a un usuario que un mensaje proviene de una persona o entidad que conocen o en la que confían. En los ataques de spoofing, el remitente falsifica los encabezados del correo electrónico para que el software cliente muestre la dirección de remitente fraudulenta, que la mayoría de los usuarios acepta tal como la ven. A menos que inspeccionen cuidadosamente el encabezado, los usuarios solamente verán el remitente falso en el mensaje. Si es un nombre que reconocen, es más probable que confíen en este. De esta manera, hacen clic en enlaces malintencionados, abren archivos adjuntos que contienen malware, envían datos delicados y hasta hacen transferencias de dinero de la empresa.

El correo de suplantación de identidad es posible debido a la manera en que están diseñados los sistemas de correo electrónico. Una aplicación cliente les asigna una dirección de remitente a los mensajes salientes; los servidores de correo electrónico saliente no tienen forma de saber si la dirección de remitente es legítima o si es falsa.

Los servidores destinatarios y el software antimalware pueden ayudar a detectar y filtrar los mensajes suplantados. Desafortunadamente, no todos los servicios de correo electrónico cuentan con protocolos de seguridad. Aun así, los usuarios pueden revisar los encabezados de correo electrónico que todo mensaje contiene, para así determinar si la dirección ha sido falsificada.

Domain spoofing (falsificación de Dominio) El siguiente tipo de phishing que queremos mencionar se conoce como falsificación de dominio. Este método de ataque utiliza correo electrónico o sitios web fraudulentos. La suplantación de dominio ocurre cuando un ciberdelincuente “suplanta” el dominio de una organización o empresa para: hacer que sus correos electrónicos parezcan provenir del dominio oficial, o haga que un sitio web falso parezca real adoptando el diseño del sitio real y utilizando una URL similar o caracteres Unicode que parezcan caracteres ASCII. ¿Como es eso posible? En el caso de un ataque basado en correo electrónico, un ciberdelincuente falsifica un nuevo encabezado de correo electrónico que hace que parezca que el correo electrónico se origina en la dirección de correo electrónico legítima de una empresa. En una suplantación de dominio de un sitio web, el ciberdelincuente crea un sitio web fraudulento y con un dominio que parece legítimo o es cercano al original (apple.com vs apple.co, por ejemplo).

Un ataque de spear phishing (phishing selectivo) es una forma de phishing dirigida. A diferencia de los correos electrónicos generales de phishing, que utilizan tácticas similares al spam para atacar a miles de personas en campañas masivas de correo electrónico, los correos electrónicos de phishing selectivo se dirigen a personas específicas dentro de una organización. Utilizan tácticas de ingeniería social para ayudar a adaptar y personalizar los correos electrónicos para sus víctimas previstas. Pueden usar líneas de asunto de correo electrónico que serían temas de interés para los destinatarios del correo electrónico para engañarlos para que abran el mensaje y hagan clic en enlaces o archivos adjuntos. ¿Por qué es tan importante el spear phishing? Porque el 91 % de los ciberataques comienzan con un correo electrónico de spear phishing. El objetivo suele ser robar datos o instalar malware en la computadora del destinatario para obtener acceso a su red y cuentas. Desafortunadamente, es posible que los métodos de seguridad tradicionales no detengan este tipo de ataques porque están tan altamente personalizados que muchos filtros de spam tradicionales podrían pasarlos por alto.

La caza de ballenas (whaling), una forma de spear phishing. En lugar de apuntar a personas de nivel inferior dentro de una organización, el ciberdelincuente se dirige a ejecutivos de alto nivel como directores ejecutivos, directores financieros y directores de operaciones. El objetivo es engañar al ejecutivo para que revele información confidencial y datos corporativos. Estos objetivos se seleccionan cuidadosamente debido a su acceso y autoridad dentro de una organización. Estos ataques a menudo utilizan correo electrónico y suplantación de identidad de sitios web. A diferencia de los correos electrónicos generales de phishing, estos mensajes se basan en tácticas de ingeniería social que utilizan información que obtienen de Internet y varias plataformas de redes sociales. Están muy adaptados a sus audiencias y, a menudo, incluyen: El nombre de la víctima, Título del trabajo, y detalles básicos que hacen que las comunicaciones parezcan legítimas.

Empresa aeroespacial despide a director general tras pérdida de 58 millones de dólares por caza de ballenas.

El director general de la empresa aeroespacial austriaca FACC fue despedido por su participación en un ataque ballenero que le costó a la empresa alrededor de 58 millones de dólares en 2016. Un comunicado de la compañía dijo que el director ejecutivo, Walter Stephen, había “violado gravemente sus deberes” al permitir que ocurriera el ataque. El dueño de una pequeña empresa pierde $ 50,000 La caza de ballenas no solo significa que las grandes empresas pierden millones de dólares, las pequeñas empresas también se ven afectadas. En una entrevista con NPR, “Mark”, el propietario de una pequeña empresa de bienes raíces, habló sobre cómo fue víctima de un ataque de adquisición de cuenta. En este sofisticado ataque cibernético, un hacker interrumpió la conversación por correo electrónico de Mark con su socio y aprovechó la oportunidad para desviar una transferencia bancaria por $50,000.

SMISHING

Este ataque de Ingeniería Social consiste en enviar mensajes de texto (SMS) con enlaces maliciosos con el objetivo de obtener información privada. Esta técnica es muy eficaz (para los delincuentes) porque las personas suelen tender a confiar más en los mensajes de texto que en los correos electrónicos.

Es común que los ingenieros sociales envíen un mensaje de texto indicando que, si no pincha en el enlace e introduce su información personal, le pasará una acción negativa concreto.

Por ello, es fundamental no responder SMS ni hacer clic en ningún enlace, a no ser que conozcamos dicho número y, además, esperemos dicha información. Contrasta siempre con el remitente cualquier SMS con enlace.

Llamada Telefónica: el atacante intenta suplantar a otro usuario o entidad de confianza para que le brinden los datos que requiere. Se hace pasar por un agente de un Banco para solicitar la actualización de su información personal.

A pesar de ser múltiples y varias las técnicas utilizadas por los ciberdelincuentes para manipular a sus víctimas como vimos anteriormente, los ingenieros sociales suelen seguir una serie de principios básicos:

Reciprocidad: Los humanos somos por naturaleza recíprocos con nuestros actos. Si alguien nos ofrece algo, tendemos a ofrecerle también algo nosotros. Si alguien nos trata mal, estaremos más susceptibles a pagarle con la misma moneda. Un «instinto» social muy arraigado en nuestra naturaleza, y por ende, fácilmente manipulable. La próxima vez que alguien le ofrezca un trabajo de ensueño desde su casa en el que solo tiene que meter dinero de una cuenta a otra y se queda un % por cada transacción, desconfíe. Si es tan sencillo de hacer, ¿por qué no lo hacen ellos?

“Ayúdeme para poderle ayudar…” /

“Si no me das las claves de acceso, el sistema y los datos no estarán disponibles.”

Urgencia: Un clásico entre los clásicos. ¡Aproveche esta oferta! ¡Hasta fin de existencias! ¡Durante los próximos cinco minutos…! Es uno de los mantras habituales de las ventas, en este caso extrapolado al cibercrimen. La mayoría de los ataques de ingeniería social, sobre todo los de hunting, enganchan a las víctimas por medio de la urgencia. Tienes 24 horas para enviarme X datos del banco o Hacienda te pondrá la consabida multa. Comparte ahora mismo este artículo entre todos tus contactos de Facebook y ganaras 100 de oro para gastar en esta aplicación… ¿seguimos?

“La fecha límite es hoy a las 4pm, de otra forma, atacaremos sus sistemas.”

Consistencia: Somos animales de costumbres. Si hemos dado nuestra palabra (y la acción no nos va a ocasionar un grave trastorno), tendemos más a cumplir que a no hacerlo. El caso de ingeniería social más habitual utilizando este principio es aquel en el que un miembro del equipo técnico de un servicio (o de una empresa) le pide que realice X labores habituales. Aunque una de ellas sea «rara», como ya se ha comprometido la acabará haciendo junto al resto. Y el criminal ya tendrá seguramente acceso a los servicios de la compañía en su nombre.

“Mira todas nuestras excelentes críticas y testimonios…”

Confianza: Nuestras escasas defensas bajan cuando nuestro interlocutor nos cae bien o está alineado con nuestros intereses. Por no hablar de nuevo de la novia rusa, no es raro que altos directivos o trabajadores con acceso a contenido o servicios confidenciales (gobierno, corporaciones, política, militar,…) sean «seducidos» por supuestos perfiles semejantes (no tienen por qué ser del sexo opuesto, aunque tiende a ayudar) que se ganan su confianza lo suficiente como para que tengan un descuido y puedan aprovecharse de él. A continuación, es cuando esa chica morena, ejecutiva de cuentas de X institución, se transforma en un hombre que le extorsiona con desvelar contenido inapropiado enviado la noche anterior sino cumple al milímetro sus exigencias.

“¿Estoy llamando a la mejor oficina de ventas de software?”

Autoridad: Si un compañero cualquiera le pide las credenciales de acceso de un servicio, seguramente lo mire con desconfianza. Pero si quien lo hace es el jefe, la cosa cambia. La usurpación de identidad juega un papel decisivo, bien sea real (robo del perfil digital del jefe) o aparentada (clonado de perfiles o emails muy parecidos).

“Esta es una llamada de Pedro Pedregal, agente del O.I.J. “Intimidación:  “Si no quieres ser el responsable de las pérdidas económicas…“

Validación social: Como seres sociales que somos, buscamos la aprobación del colectivo. Por tanto, si en un email alguien nos pide específicamente que hagamos algo raro, es posible que nos lo pensemos. Pero si en esa misma conversación hay varios conocidos más (por ejemplo trabajadores de la misma compañía), y ninguno reclama, entenderemos que no hay ningún problema y acataremos las normas, vengan de quien vengan.

“A Steve Jobs le gustaba este artículo.“

¿CÓMO PODEMOS DEFENDERNOS DE LA INGENIERÍA SOCIAL?

La pregunta del millón. Y la respuesta es que no hay un método infalible. Cualquiera, absolutamente cualquiera, es susceptible de caer en un ataque de ingeniería social. Da igual que sea el panadero de la esquina, o Edward Snowden. Si el ataque es lo suficientemente meticuloso, lo suficientemente sofisticado, cualquier persona va a caer.

Ahora bien, afortunadamente la mayoría de ataques son toscos, impersonales y masivos. Y aquí no hay excusa que valga. Ahora que ya conocemos los 6 principios básicos de la ingeniería social, se trata de contrarrestarlos.