Saber detectar las señales de un ataque de ingeniería social puede ayudar a evitar que este tipo de ataques tengan éxito y a proteger los datos y sistemas sensibles de su organización.
¿Por qué pasar por la molestia de derribar una puerta cuando puedes pedirle a alguien que te entregue la llave? Este escenario es la analogía que describe por qué la ingeniería social se ha convertido en la técnica de ciberataque más utilizada.
El informe 2021 Verizon Data Breach Investigation Report ha observado una tendencia al alza en el uso de la ingeniería social desde 2017. Otro informe identificó un aumento del 270 % en los ciberataques basados en ingeniería social en 2021.
Es muy difícil detectar los signos de la ingeniería social porque funciona manipulando el comportamiento cotidiano de nuestra vida diaria. Entonces, ¿cómo puede saber un empleado si es objeto de una estafa de ingeniería social?
¿Qué es la ingeniería social?
Comprender los distintos elementos utilizados durante la ingeniería social ayuda a detectar los signos de un ataque de ingeniería social.
Los ciberdelincuentes siempre están buscando formas de acceder a información confidencial o manipular un proceso empresarial para causar daños. Estos daños varían, incluyendo las estafas de Business Email Compromise (BEC) y la infección por malware.
Ambos tipos de ciberataques van en aumento: Las estafas BEC costaron a las empresas globales más de 43 mil millones de dólares en los cinco años hasta 2021, con un aumento del 65% en las pérdidas entre julio de 2019 y diciembre de 2021; la investigación encontró que el 71% de las empresas fueron víctimas de un ataque de malware malicioso en 2021. Las sofisticadas y complejas estafas de ingeniería social están detrás de estos aumentos.
La ingeniería social se aprovecha del comportamiento humano para que los individuos lleven a cabo acciones que beneficien al defraudador. En otras palabras, los estafadores consiguen que los individuos hagan el trabajo sucio por ellos sin saberlo. Las tácticas utilizadas por los estafadores durante un ataque de ingeniería social se basan en la manipulación del comportamiento, el engaño y los trucos psicológicos. Esta manipulación se ve favorecida por el desconocimiento del individuo objetivo.
La ingeniería social es un método de ataque sutil basado en la inteligencia. Los investigadores Abid y otros han identificado las etapas típicas del ciclo de vida de un ataque de ingeniería social:
- Recogida de información: reconocimiento para identificar patrones de comportamiento, aplicaciones utilizadas y procesos empresariales que puedan ser explotados. Esto permite establecer un nivel de confianza con el objetivo y la inteligencia para explotar esa confianza.
- Desarrollo de la relación: esta confianza se utiliza para desarrollar relaciones en preparación para la siguiente etapa.
- Explotación: la tarea maliciosa se lleva a cabo, por ejemplo, haciendo clic en un enlace de un correo electrónico de phishing o activando una transferencia bancaria de dinero.
- Ejecución: la última etapa en la que el hacker recibe dinero o accede a las credenciales de inicio de sesión para instalar el ransomware o acceder a información sensible.
Teniendo en cuenta las etapas de un ataque de ingeniería social, ¿cómo puede detectar un ataque de ingeniería social antes de que sea demasiado tarde?
Cinco señales de que estás siendo manipulado socialmente
Algunas de las señales más evidentes son también las más difíciles de detectar, ya que se disfrazan de acontecimientos habituales. Sin embargo, el arte de detectar lo inesperado o cuando algo simplemente "no está bien" es algo que la formación periódica de concienciación sobre la seguridad ayuda a establecer.
He aquí cinco signos típicos de la ingeniería social:
Un anexo o enlace inesperado
Los ataques de phishing y smishing (phishing móvil) suelen contener un archivo adjunto o un enlace a un sitio web malicioso. El propio correo electrónico contendrá motivadores de comportamiento típicos, como urgencia, presión emocional, curiosidad, miedo y amenazas, y otras afirmaciones preocupantes, como una amenaza de seguridad. El ataque de phishing animará al destinatario a abrir un archivo adjunto o hacer clic en un enlace utilizando estas presiones emocionales.
Piensa antes de hacer clic, antes de abrir un archivo adjunto. ¿Parece legítimo el mensaje? Comprueba si hay señales de phishing, como "¿coincide la dirección de correo electrónico del remitente con el nombre de dominio esperado? ¿El lenguaje y la gramática del correo electrónico no son correctos?
Consulte la Guía definitiva de MetaCompliance sobre el phishing para conocer más señales reveladoras de los correos electrónicos de phishing.
Una petición inusual
Los estafadores pueden delatarse a sí mismos pidiendo algo un poco inesperado. Esto es especialmente notorio si el estafador se hace pasar por otra persona de la empresa, tal vez un director financiero o un director general.
Las estafas BEC, por ejemplo, pueden consistir en el envío a los empleados del departamento de contabilidad de un correo electrónico de phishing selectivo que parece provenir de un ejecutivo de nivel superior que pide que se realice una transferencia de dinero inmediata y urgente. Otros correos electrónicos de phishing pueden pedir al destinatario que abra un archivo adjunto con una grabación de voz, etc.
Si una solicitud parece fuera de lo normal e inusual, deténgase y piense: ¿podría ser una estafa? A continuación, realice una sencilla comprobación: llame a la persona que supuestamente ha enviado la solicitud y pregunte si es legítima.
Una petición o demanda urgente
La urgencia es un excelente ejemplo de táctica utilizada para manipular las emociones humanas. Si una solicitud urgente también parece venir de la alta dirección o del nivel C, tómate un momento para comprobar la legitimidad de la solicitud.
El compromiso del correo electrónico empresarial (BEC) a menudo implica la manipulación emocional de los empleados que trabajan en el departamento de finanzas. Por ejemplo, un estafador de BEC intentará presionar a un empleado para que transfiera dinero mediante la amenaza de pérdida de negocio si no actúa rápidamente.
Vuelve a comprobar la solicitud y llama a la persona que supuestamente ha hecho la solicitud.
Una oferta demasiado buena para ser verdad
Los ciberdelincuentes a veces utilizan el chantaje o la coacción para extraer información, especialmente durante la fase de recopilación de información de un ataque de ingeniería social.
Piénsatelo dos veces si recibes una oferta de dinero o un premio por compartir información empresarial o personal, ya que podría tratarse de un intento de piratear tu cuenta.
Una petición en las redes sociales de alguien que no reconoces
En los seis meses transcurridos hasta junio de 2021, LinkedIn eliminó más de 66 millones de spam y estafas en la plataforma, 232.000 de ellos tras la denuncia de un usuario. Los piratas informáticos crean cuentas falsas en las redes sociales y luego se ponen en contacto con ellos. Los estafadores utilizan las redes sociales para recabar información y entablar relaciones con sus objetivos y sus contactos.
Si recibes una solicitud de conexión en una plataforma de redes sociales, comprueba el perfil del solicitante y busca señales de que pueda ser falso. Por ejemplo, ¿tiene un perfil completo y un historial laboral, tiene recomendaciones legítimas, etc.?
La ingeniería social funciona y seguirá haciéndolo hasta que aprendamos a detectar las señales. Una formación de concienciación sobre seguridad que incorpore la educación en tácticas de ingeniería social dota a los empleados de los conocimientos necesarios para impedir que los estafadores se aprovechen de su comportamiento.