¿Qué es el social engineering? Explora en el artículo cinco ejemplos famosos de ataques de ingeniería social y descubre cómo estas tácticas engañan a las personas. En efecto, los seres humanos son seres intrínsecamente sociales, les gusta interactuar, comunicarse, trabajar y participar en actividades compartidas. Esta sociabilidad, basada en la confianza, facilita la cooperación y la convivencia dentro de los grupos humanos.
Sin embargo, estos mismos rasgos sociales también son explotados por los ciberdelincuentes con el objetivo de causar daño. Los ataques de ingeniería social aprovechan estas vulnerabilidades, utilizando el engaño y la suplantación de identidad para manipular a las personas y llevar a cabo acciones que sirvan a los intereses del estafador.
Así lo confirma el Informe de Verizon sobre investigaciones de filtraciones de datos (DBIR) de 2023, según el cual en el 82% de las filtraciones interviene un elemento humano.
A continuación se explica cómo se producen los ataques de ingeniería social y qué puede hacer usted para evitar que su personal sea objeto de ingeniería social.
¿Cómo se producen los ataques de ingeniería social?
Según un informe reciente, una organización media sufre 700 ataques de ingeniería social al año. Los ataques de ingeniería social adoptan muchas formas y evolucionan hacia otras nuevas para eludir su detección.
El objetivo de un ataque de ingeniería social es conseguir que alguien haga algo que beneficie al ciberdelincuente. Por ejemplo, engañar a una persona para que revele detalles financieros que luego se utilizan para llevar a cabo un fraude.
La ingeniería social no sólo se lleva a cabo mediante métodos digitales. Los ingenieros sociales recurrirán a cualquier táctica para construir las estructuras necesarias para engañar a la gente. Esto puede incluir el uso del teléfono o entrar en una oficina y charlar con el personal.
Los trucos de ingeniería social favoritos actualmente son:
Pretexting y tailgating: los atacantes se harán pasar por un compañero de trabajo o una persona con autoridad, por ejemplo, un agente de policía. Utilizarán esta apariencia para establecer la confianza con un objetivo a través de un método digital, por teléfono o en persona. Una vez establecida la confianza, el estafador intentará extraer información, como datos personales o financieros.
Además, los "tailgators" suelen llevar a cabo ataques físicos contra empresas, encontrando la forma de entrar en un edificio, colándose sin ser vistos o incluso invitados. Una vez dentro de un edificio, pueden utilizar herramientas fácilmente disponibles, como RubberDucky USB utilizado por los probadores de penetración legítimos, para robar datos, incluidas las credenciales de inicio de sesión.
Phishing: el phishing se presenta en varios formatos, como el correo electrónico, las llamadas telefónicas, las publicaciones en redes sociales y los mensajes de texto. Los mensajes de ataque de phishing encapsulan tácticas de ingeniería social, utilizando la simulación, la confianza y el impulso de hacer clic para animar a los destinatarios a divulgar información personal, como contraseñas y datos de tarjetas de crédito.
Un estudio del Gobierno del Reino Unido sobre ciberseguridad reveló que la gran mayoría (83%) de las empresas que identificaron un ciberataque dijeron que el phishing era el vector principal del mismo.
El spearphishing es la forma selectiva de phishing que lleva la ingeniería social a las mayores cotas de éxito. Los correos electrónicos de spearphishing son difíciles de diferenciar de los legítimos porque los estafadores hacen todo lo posible para que parezcan realistas, a menudo estableciendo relaciones de confianza con su objetivo. El spearphishing está detrás del 93% de los ciberataques, según el DBIR de 2018.
Baiting: este ataque de ingeniería social utiliza la seducción o el miedo a perderse (FOMO) para fomentar determinados comportamientos. Por ejemplo, a un empleado se le pueden ofrecer regalos si proporciona información personal o de la empresa o contraseñas.
¿Por qué son eficaces los ataques de ingeniería social?
Los seres humanos han evolucionado para actuar y comportarse de determinadas maneras para establecer estructuras sociales fuertes y cohesionadas. Elementos como la confianza son componentes vitales de las sociedades coherentes. Sin confianza, las relaciones fracasan.
Los estafadores entienden el comportamiento humano y la necesidad de establecer relaciones de confianza. También saben cómo manipular a la gente haciéndose pasar por una persona de confianza o generando confianza.
Otros comportamientos humanos, como el deseo de hacer un buen trabajo, no meterse en problemas o no perderse algo bueno, también son objeto de abuso por parte de los ciberdelincuentes. Todas estas acciones naturales que realizamos a diario en nuestra vida doméstica y laboral son susceptibles de ser explotadas por los ciberdelincuentes que pretenden robar datos y acceder a las redes para realizar actos maliciosos.
Social engineering: 5 ejemplos famosos de ataques de ingeniería social
Los ejemplos de ingeniería social aparecen regularmente en la prensa, pero aquí hay cinco para darle una idea de cómo funciona la ingeniería social:
Hotel Marriott: un grupo de hackers utilizó tácticas de ingeniería social para robar 20 GB de datos personales y financieros de un hotel Marriott. Los piratas informáticos engañaron a un empleado del hotel Marriott para que les diera acceso a su ordenador.
Departamento de Trabajo de los Estados Unidos (DoL): se trataba de un ataque de ingeniería social que robaba las credenciales de inicio de sesión de Office 365. El ataque utilizó un sofisticado phishing basado en dominios suplantados de forma inteligente que parecían el dominio legítimo del DoL. Los mensajes de correo electrónico parecían proceder de un empleado de alto nivel del DoL que les invitaba a presentar una oferta para un proyecto gubernamental. Al hacer clic en el botón de la oferta, el empleado accedía a un sitio de phishing utilizado para robar credenciales.
Usuarios de Zoom: una campaña de phishing dirigida a empleados afectó al menos a 50.000 usuarios. Los ingenieros sociales utilizaron el miedo al despido para animar a los empleados a hacer clic en un enlace para reunirse con RRHH a través de Zoom. Al hacer clic en el enlace, el empleado accedía a un sitio de inicio de sesión de Zoom falso diseñado para robar contraseñas.
FACC (fabricante austriaco de aviones): FACC perdió alrededor de 42 millones de euros cuando la empresa fue víctima de una sofisticada estafa de correo electrónico comercial (BEC). Se suplantó la cuenta de correo electrónico del director general de la empresa y se utilizó para enviar un correo electrónico "urgente" solicitando una transferencia de fondos. Este correo electrónico engañó a un empleado encargado de pagar la cuenta, que accedió a la solicitud, ingresando el dinero en la cuenta del estafador.
Llamada de atención de Crowdstrike: Incluso los proveedores de seguridad están sintiendo la fuerza de la ingeniería social. Crowdstrike se ha convertido en un peón involuntario en el juego de los ingenieros sociales. Los estafadores están utilizando la marca de confianza de Crowdstrike y otros proveedores de seguridad para enviar correos electrónicos de phishing a los empleados. El correo electrónico contiene detalles de una posible infección de malware y un número de teléfono al que llamar para eliminar el malware instalado. Si el empleado llama al número, se le engaña para que dé al atacante acceso a su ordenador.
Cómo protegerse contra los ataques de social engineering
La ingeniería social tiene éxito porque la técnica manipula nuestras acciones cotidianas. Esto hace que sea difícil para los empleados darse cuenta de que son parte de un ataque de ingeniería social.
La ingeniería social debe formar parte de la conversación en torno a la concienciación sobre la seguridad, y las políticas de seguridad deben reflejarlo. Sin embargo, hay formas prácticas de garantizar que los empleados estén al tanto de los trucos que utilizan los estafadores de ingeniería social:
Haga que la ingeniería social forme parte de su cultura de seguridad:
- Involucrar al personal en las actualizaciones periódicas sobre la ingeniería social y su funcionamiento.
- Asegúrese de que la ingeniería social forma parte de su formación periódica de concienciación en materia de seguridad.
- Incluya la ingeniería social en los carteles del mes de concienciación sobre seguridad y envíe boletines informativos al personal sobre los problemas causados por la ingeniería social.
Implemente simulaciones de phishing: utilice una plataforma avanzada de simulación de phishing para formar al personal sobre el aspecto de los correos electrónicos de phishing y para probar su respuesta a un correo electrónico de phishing. Adapta estos correos a las distintas funciones de tu organización y basa las simulaciones en tácticas conocidas utilizadas por los estafadores.
Pruebas de penetración en su empresa y su personal: establezca varios escenarios de prueba para ver cómo responde el personal a posibles intentos de ingeniería social. Esto puede incluir pruebas para ver lo fácil (o difícil) que es entrar en el edificio.
Además, ponga a prueba al personal y su respuesta ante personas desconocidas. Por ejemplo, haga pasar a los probadores por limpiadores o contratistas y vea hasta dónde pueden llegar para extraer información sobre su empresa o pedir acceso a un ordenador.
