Ingeniería Social

Introducción#

Cuando se trata de seguridad cibernética, la mayoría de las personas piensa en ataques técnicos como la inyección SQL, la secuencias de comandos entre sitios, los ataques de hombre en el medio o el malware. Sin embargo, los ataques más comunes y efectivos a menudo no son nada técnicos. La ingeniería social es el arte de manipular a las personas para que revelen información confidencial. Cada ciberdelito comienza con un ataque de ingeniería social.

Aquí está la definición de Wikipedia:

En el contexto de la seguridad de la información, la ingeniería social es la manipulación psicológica de personas para que realicen acciones o revelen información confidencial. Un tipo de engaño con fines de recopilación de información, fraude o acceso al sistema, se diferencia de un "timo" tradicional en que a menudo es uno de los muchos pasos en un esquema de fraude más complejo.[1] También se ha definido como "cualquier acto que influya en una persona para que tome una acción que puede o no estar en su mejor interés."

El tipo de información que buscan estos criminales puede variar, pero cuando se atacan a individuos, los criminales generalmente están tratando de engañarte para que les des tus contraseñas, información personal o acceso a tu computadora para instalar en secreto software malicioso, que les dará acceso a tus contraseñas e información bancaria, además de darles control sobre tu computadora.

¿Cómo funciona la ingeniería social?#

Los ataques de ingeniería social ocurren en uno o más pasos. La mayoría de los ataques de ingeniería social se basan en la comunicación real entre atacantes y víctimas. A menudo, las víctimas son atacadas por múltiples atacantes durante un período prolongado de tiempo, y los ataques se diseñan cuidadosamente para evitar la detección. Un ataque exitoso incluye los siguientes pasos:

1. Investigación: El atacante recopila información sobre el objetivo, como posibles puntos de entrada y protocolos de seguridad débiles necesarios para llevar a cabo el ataque. En el mundo de hoy, es muy fácil encontrar información sobre una persona en línea. Por ejemplo, puedes encontrar la dirección de correo electrónico, número de teléfono y hasta la dirección del hogar de una persona en su perfil de redes sociales. También puedes averiguar dónde trabaja, qué hace y con quién trabaja. Esta información se puede utilizar para crear un correo electrónico de phishing muy convincente o una llamada telefónica en el siguiente paso.

2. Cebo: El atacante usa esa información para crear un escenario creíble para atraer a la víctima a hacer lo que el atacante quiere. Por ejemplo, el atacante puede llamar a la víctima y hacerse pasar por un agente de servicio al cliente de su banco, pidiéndole que verifique su información de cuenta. O, podrían llamar a un empleado en una empresa y hacerse pasar por una persona de soporte técnico, pidiéndole que restablezca su contraseña.

3. Jugar con emociones: El atacante juega con las emociones para que la víctima actúe de inmediato, sin pensar. Por ejemplo, el atacante podría amenazar a la víctima con multas, penalidades o enjuiciamientos si no cumple con la solicitud de inmediato. O, pueden apelar a la avaricia de la víctima, prometiéndole una gran suma de dinero o recompensa a cambio de su ayuda.

4. Ejecutar: El atacante lleva a cabo el ataque, que puede tomar cualquier número de formas. Por ejemplo, podrían:

   • Engañar a la víctima para que instale malware en su computadora.
   • Engañar a la víctima para que revele información sensible en un correo electrónico o por teléfono.
   • Engañar a la víctima para que envíe dinero al atacante.
   • Engañar a la víctima para que haga clic en un enlace malicioso en un correo electrónico o mensaje de texto.

Los pasos anteriores pueden ocurrir en un período de tiempo muy corto, o pueden ocurrir a lo largo de semanas o meses. El atacante puede dirigirse a una persona, o pueden dirigirse a un grupo de personas. La conexión puede establecerse a través de una llamada telefónica, correo electrónico, mensaje de texto o chats en redes sociales. Pero finalmente concluye con una acción que tomes, como compartir tu información o exponerte a malware.

Tipos de ataques de ingeniería social#

Existen muchos tipos de ataques de ingeniería social, y cada uno tiene su propio propósito y objetivo. Aquí están algunos de los tipos más comunes de ataques de ingeniería social:

Phishing Masivo#

El phishing masivo es el tipo más común de ataque de ingeniería social. Es un tipo de ataque de phishing en el que el atacante envía millones de correos electrónicos a personas al azar, esperando que algunas de ellas caigan en la estafa. Los correos electrónicos generalmente se envían desde una dirección de correo electrónico falsa y a menudo contienen un enlace a un sitio web malicioso o un archivo adjunto malicioso. El objetivo del ataque es engañar a la víctima para que haga clic en el enlace o abra el archivo adjunto, lo que instalará malware en su computadora.

Ejemplo#

Imagina que recibes un correo electrónico no solicitado en tu bandeja de entrada con un asunto tentador que dice que has ganado un gran premio en efectivo. El título del correo electrónico afirma que has ganado $1,000,000 y que debes reclamar tu premio de inmediato.

Al abrir el correo electrónico, encuentras un mensaje que te felicita por tu supuesta victoria en la lotería. Puede incluir promesas extravagantes, como una cantidad de dinero que cambia la vida. Por lo general, el correo electrónico contiene un enlace o información de contacto para que reclames tus ganancias.

Este correo electrónico muestra las señales clásicas de un ataque de phishing masivo:

1. No solicitado: Nunca participaste en ninguna lotería o concurso, por lo que no deberías haber ganado ningún premio.

2. Demasiado bueno para ser verdad: La promesa de una gran cantidad de dinero sin razón aparente es una táctica común utilizada para atraer a las víctimas.

3. Acción urgente: El correo electrónico puede afirmar que debes actuar rápidamente para reclamar tu premio, creando un sentido de urgencia.

4. Solicitudes de Información Personal o Dinero: Para "reclamar" tu premio, es posible que se te pida que proporciones información personal, pagues tarifas o transfieras dinero para cubrir los supuestos costos de procesamiento.

Spear Phishing#

El spear phishing es un tipo de ataque de phishing en el que el atacante se dirige a una persona o grupo específico. El atacante investigará al objetivo y luego le enviará un correo electrónico personalizado que parece venir de una fuente confiable. El correo electrónico generalmente contendrá un enlace a un sitio web malicioso o un archivo adjunto malicioso. El objetivo del ataque es engañar a la víctima para que haga clic en el enlace o abra el archivo adjunto, lo que instalará malware en su computadora. A diferencia del phishing masivo, los ataques de spear phishing están altamente dirigidos y personalizados, y tienen mucho más probabilidades de éxito.

Ejemplo#

En este escenario de spear phishing, recibes un correo electrónico que parece ser de un colega o alguien que conoces. El correo electrónico contiene un asunto que sugiere que es un aviso de seguridad importante. Lo que hace que el spear phishing sea diferente del phishing regular es que el atacante se dirige a un individuo específico y a menudo posee algún conocimiento sobre el objetivo.

Al abrir el correo electrónico, encuentras un mensaje que dice ser de tu asesor de TI, Carlos. Se dirige a ti por tu nombre completo y menciona una supuesta brecha de seguridad en tu cuenta de trabajo. El correo electrónico te solicita que hagas clic en un enlace o descargues un archivo adjunto para asegurar tu cuenta. Haces clic en el enlace, y te lleva a un sitio web que parece exactamente la página de inicio de sesión de tu empresa. Introduces tu nombre de usuario y contraseña, y ahora el atacante tiene acceso a tu cuenta.

Este correo electrónico muestra las señales clásicas de un ataque de spear phishing:

1. Personalización: El correo electrónico te dirige por tu nombre completo, dándole una apariencia de legitimidad.

2. Urgencia: El mensaje transmite un sentido de urgencia, insinuando que necesitas tomar medidas inmediatas para abordar un problema de seguridad.

3. Solicitudes de Acción: El correo electrónico te pide que hagas clic en un enlace o descargues un archivo adjunto. Estos enlaces o archivos adjuntos a menudo contienen malware o sitios de phishing.

Baiting#

El baiting es un tipo de ataque de ingeniería social en el que el atacante ofrece algo tentador a la víctima a cambio de su información personal. Por ejemplo, el atacante puede ofrecer una tarjeta de regalo gratis o una descarga de película gratis a cambio de la dirección de correo electrónico de la víctima. El objetivo del ataque es engañar a la víctima para que entregue su información personal, que el atacante luego puede utilizar para robar su identidad o cometer fraude. Aprovecha la curiosidad o la avaricia de la víctima.

Ejemplo#

En este escenario de baiting, los atacantes dejan una unidad USB en un lugar público, como una cafetería o un estacionamiento. La unidad USB está etiquetada como "Confidencial" o "Privado", y contiene un programa malicioso que instalará malware en la computadora de la víctima cuando lo conecte. El objetivo del ataque es engañar a la víctima para que conecte la unidad USB a su computadora, lo que instalará malware en su computadora.

Conectas la unidad USB a tu computadora, esperando encontrar información valiosa. Parece contener un archivo llamado "Datos_Confidenciales_Proyecto.csv". Mientras intentas abrir el archivo, se activa un script oculto que infecta tu computadora con malware.

En este ataque de baiting:

1. El cebo es la unidad USB, que está etiquetada como "Confidencial" o "Privado", haciéndola atractiva para cualquiera que la encuentre, especialmente en un entorno profesional o laboral.
2. Factor de Curiosidad: La curiosidad humana se aprovecha como una vulnerabilidad, incitando a las personas a tomar acciones que de otro modo evitarían.

Watering Hole#

El watering hole es un tipo de ataque de ingeniería social en el que el atacante se dirige a un grupo específico de personas infectando un sitio web que es probable que visiten. Por ejemplo, el atacante puede infectar un sitio web de noticias popular o un sitio de redes sociales popular. El objetivo del ataque es engañar a la víctima para que visite el sitio web infectado, lo que instalará malware en su computadora.

Ejemplo#

Un grupo de atacantes pretende comprometer la seguridad de una asociación de industria específica que representa a una comunidad de profesionales de ciberseguridad. Los atacantes pretenden robar datos sensibles e infiltrar los sistemas de expertos en ciberseguridad.

Los atacantes identifican un sitio web conocido y respetado utilizado por esta comunidad. En este caso, eligen el sitio web oficial de la asociación de la industria de ciberseguridad. Los atacantes identifican y explotan una vulnerabilidad en el sitio web de la asociación de la industria. Pueden usar métodos técnicos como inyección SQL o cross-site scripting (XSS) para obtener acceso no autorizado al sistema de gestión de contenido del sitio. Una vez que obtienen acceso al sitio web, los atacantes inyectan código malicioso en las páginas del sitio. Este código está diseñado para entregar malware a los visitantes de las páginas comprometidas.

Luego, los atacantes esperan a que los profesionales de ciberseguridad visiten el sitio web. Saben que muchos expertos en ciberseguridad revisan regularmente el sitio en busca de actualizaciones, noticias y recursos.

A medida que los profesionales de ciberseguridad visitan el sitio web de la asociación de la industria para leer artículos, asistir a seminarios web o descargar recursos, exponen involuntariamente sus dispositivos al malware inyectado. El malware puede robar información sensible, como credenciales de inicio de sesión o datos personales. También puede proporcionar a los atacantes un punto de apoyo para lanzar más ataques, incluidos spear phishing o explotando vulnerabilidades conocidas en los sistemas de las víctimas.

En este ataque de watering hole:

1. El abrevadero es el sitio web de la asociación de la industria, que es un destino popular para los profesionales de ciberseguridad.
2. Audiencia Objetivo: Los atacantes se dirigen a un grupo específico de personas, en este caso, profesionales de ciberseguridad.
3. Explotación de la Confianza: Los atacantes explotan la confianza que los profesionales de ciberseguridad tienen en el sitio web de la asociación de la industria.
4. Explotación de Vulnerabilidades: Los atacantes explotan vulnerabilidades en el sistema de gestión de contenido del sitio web para inyectar código malicioso en las páginas del sitio.

Cómo protegerte de los ataques de ingeniería social#

Protegerte de los ataques de ingeniería social requiere una combinación de conciencia, escepticismo y buenas prácticas. Aquí hay algunos pasos esenciales para protegerte contra los ataques de ingeniería social:

1. Edúcate: Aprende sobre las tácticas comunes de ingeniería social, incluidas phishing, pretexting, baiting y tailgating. Mantente informado sobre las últimas técnicas y tendencias de ingeniería social.

2. Verifica la Identidad: Siempre verifica la identidad de las personas u organizaciones que solicitan tu información personal o sensible. No te fíes únicamente de números de teléfono, correos electrónicos o sitios web proporcionados por la persona que te contacta. Usa información de contacto oficial obtenida independientemente de fuentes confiables.

3. Cuestiona las Solicitudes: Sé escéptico ante solicitudes no solicitadas de información personal, financiera o confidencial. Las organizaciones legítimas generalmente no solicitan este tipo de información a través de correo electrónico o teléfono. Si alguien solicita información sensible, pregunta por qué es necesario y cómo se utilizará.

4. Desconfía de la Urgencia y la Presión: Los ingenieros sociales a menudo crean un sentido de urgencia para apresurarte a tomar decisiones sin pensar. Toma tu tiempo para considerar las solicitudes u ofertas. Verifica la legitimidad de la situación.

5. Asegura el Acceso Físico: Protege tu espacio de trabajo físico contra el acceso no autorizado. Bloquea tu computadora y dispositivos cuando no estén en uso. Ten precaución al permitir que personas desconocidas ingresen a áreas seguras.

6. Capacitación para Empleados: Si eres parte de una organización, proporciona capacitación sobre la concienciación de la ingeniería social para los empleados. Enséñales a reconocer y reportar actividades sospechosas.

7. Usa Fuentes Confiables: Obtén información de fuentes confiables y verificadas. Evita confiar en sitios web no oficiales o noticias no verificadas.

8. Cifrado de Datos: Cifra datos sensibles, tanto en reposo como durante la transmisión, para protegerlos del acceso no autorizado.

Practica Comportamientos Seguros en Línea#

Para desarrolladores y dueños de negocios. Si estás desarrollando una aplicación web, debes seguir las mejores prácticas para proteger a tus usuarios de ataques de ingeniería social. Hay muchas formas de habilitar seguridad adicional para tu aplicación:

1. Usa contraseñas seguras. La mayoría de las personas utilizan contraseñas débiles que son fáciles de adivinar según su información personal. Para implementar un sistema de gestión de identidades de usuario seguro y confiable, debes habilitar políticas de contraseñas seguras. Esto evitará que los usuarios utilicen sus contraseñas débiles sin las medidas de seguridad adecuadas.
2. Habilita la autenticación multifactor. La autenticación multifactor (MFA) agrega una capa adicional de seguridad a la cuenta de los usuarios al requerir que ingresen un código desde su teléfono u otro dispositivo además de las contraseñas. Esto hace que sea mucho más difícil para los atacantes acceder a la cuenta de tus clientes. Incluso si las contraseñas de tus clientes son comprometidas, los atacantes no podrán acceder a sus cuentas sin el segundo factor.
3. Cifra los datos de los usuarios. Cifrar los datos de los usuarios es una buena manera de protegerlos del acceso no autorizado. Si un atacante obtiene acceso a tu base de datos, no podrá leer los datos sin la clave de cifrado. Esto evitará que roben la información personal de tus clientes.
4. Rota frecuentemente las claves de acceso. Las claves de acceso se utilizan para acceder a los recursos de tu aplicación. Si un atacante obtiene acceso a tus claves de acceso, podrá acceder a los recursos de tu aplicación sin tu permiso. Para evitar esto, debes rotar frecuentemente las claves de acceso.
5. Usa sistemas de autenticación modernos. Los protocolos de autenticación modernos como OAuth 2.0 y OpenID Connect son mucho más seguros que los protocolos anteriores como SAML y WS-Federation. Utilizan algoritmos criptográficos modernos y son mucho más difíciles de atacar.
6. Pre-registra las URLs de redirección del inicio de sesión y los dispositivos Si estás utilizando OAuth 2.0 o OpenID Connect para la autenticación, deberías pre-registrar las URLs de redirección para el inicio de sesión y los dispositivos. Esto evitará que los atacantes utilicen las cuentas de tus clientes para iniciar sesión en tu aplicación desde sus propios dispositivos.