Informes como el 2022 Verizon’s Data Breach Investigations Report (DBIR) sitúan al ser humano como componente central en el 82% de los ciberataques. Los estafadores utilizan técnicas basadas en la ingeniería social para engañar a las personas para que realicen acciones que beneficien al pirata informático.

La ingeniería social es un término general que abarca muchas tácticas utilizadas para manipular a los empleados y a otros usuarios. He aquí seis de los tipos más comunes de ingeniería social y cómo evitar que los piratas informáticos los exploten con éxito en su organización.

Seis de los ataques de ingeniería social más comunes

1. Phishing e ingeniería social

El spear-phishing, una forma dirigida de phishing, está implicado en el 93% de los ciberataques, según el DBIR de 2018. La forma menos dirigida de phishing sigue siendo la segunda forma más común de táctica de ciberataque, según Cisco.

El phishing es el medio perfecto para permitir a los piratas informáticos manipular a los seres humanos, por lo que se engloba dentro de la ingeniería social. El phishing se manifiesta de varias formas. Ya se han mencionado el phishing y el spear phishing, pero los hackers utilizarán cualquier medio de comunicación, incluidos los mensajes de texto y las llamadas telefónicas (SMShing y Vishing), para animar a la gente a hacer clic en un enlace a un sitio web malicioso, proporcionar información personal o descargar un archivo adjunto infectado.

2. Medios sociales para la ingeniería social

Las redes sociales proporcionan una mina de oro de información que los ciberdelincuentes pueden utilizar para atacar a personas, aplicaciones, redes y datos: los estafadores necesitan datos para alimentar los ciberataques, incluido el Business Email Compromise (BEC).

Cuando los empleados u otras personas comparten información en los medios sociales, los defraudadores estarán vigilando. Según un trabajo de investigación, las empresas experimentan los siguientes problemas cuando los empleados comparten información en los medios sociales:

    • compartir demasiada información

    • pérdida de información confidencial

    • mayor exposición a litigios

El documento concluye que los medios sociales proporcionan un medio abierto para compartir que complica los retos de la ingeniería social.

3. Ir a rebufo y a cuestas

El tailgating es una de las estafas de ingeniería social más antiguas del libro. El tailgating, o piggybacking, suele considerarse una estafa física, pero también puede ser digital. En el mundo físico, el tailgating se ejemplifica con el estafador que se cuela en el edificio de oficinas de una empresa sin ser visto. Los defraudadores saben cómo pasar desapercibidos, lo que les permite acceder a un edificio sin autorización o «ir a cuestas» de alguien que entra en un edificio.

Una vez dentro, pueden engañar a los empleados para que compartan credenciales de cuentas, como contraseñas, o utilizar herramientas de pirateo para robar datos directamente de los ordenadores. Incluso pueden utilizar el viejo truco de mirar por encima de los hombros de alguien que haya iniciado sesión en un área sensible de la red.

4. Pretextos

Los estafadores suelen necesitar datos para garantizar el éxito de una estafa mediante ingeniería social. Como ya se ha mencionado, el pirata informático puede recopilar información para engañar a una persona utilizando las redes sociales, el phishing y el tailgating. El pretexting utiliza la ingeniería social para hacer creer a la gente que el estafador es alguien con autoridad o autorizado para estar en un lugar determinado: en otras palabras, el estafador se hace pasar por alguien.

Por ejemplo, pueden hacerse pasar por un contratista o un ejecutivo de nivel C; esto puede parecer improbable, pero un defraudador confiado puede conseguirlo en una gran organización con múltiples oficinas.

5. Cebo

A la gente le encantan las cosas gratis, y el baiting utiliza este comportamiento para engañar a los empleados para que entreguen información como datos sensibles o detalles financieros. Por ejemplo, el estafador elegirá a un empleado o le enviará un correo electrónico masivo ofreciéndole un producto gratuito, como la descarga de una película. Si el empleado pulsa el botón de descarga, el resultado es un dispositivo infectado.

Esta es una forma eficaz de instalar malware. Un ejemplo de esto en acción fue la versión pirata de Juego de Tronos, que se convirtió en el programa de televisión más infectado por malware de todos los tiempos en 2018; en total, 126.340 usuarios se infectaron con malware al descargar la versión pirata del programa de televisión.

6. Quid Pro Quo

Quid Pro Quo es una frase latina (esto por aquello) utilizada para describir un intercambio de algo por bienes o servicios. Los ciberdelincuentes quieren datos, y un Quid Pro Quo es una forma de hacerse con esos datos.

Un ataque Quid Pro Quo típico funcionaría así: un empleado recibe una llamada del «soporte técnico» que le dice que hay un ataque de ransomware en marcha y que necesita eliminar el virus antes de que dañe el trabajo del empleado. Para ello, el pirata informático debe tener el nombre de usuario y la contraseña del empleado. Si el empleado cae en esta treta, el hacker tendrá acceso a la red de la empresa, que podrá utilizar para escalar privilegios a áreas más sensibles.

Tres formas de proteger a sus empleados de los ataques de ingeniería social

1. Establezca procesos y políticas

A menudo, los ingenieros sociales necesitan apoyarse en procesos deficientes que les permitan explotar las lagunas de seguridad. Por ejemplo, en el tailgating, el intruso puede depender de la falta de controles sobre las personas que entran en un edificio. A menudo, los ingenieros sociales dependen de la confianza en las figuras de autoridad para animar a un empleado a actuar, como transferir dinero, como se experimentó en una estafa BEC.

La mayoría de las estafas de ingeniería social necesitan datos, por lo que los estafadores recurren a las redes sociales o al phishing para obtener la información que necesitan para llevar a cabo un ciberataque. Los procesos sólidos que añaden controles y equilibrios cada vez que se produce una acción como la transferencia de dinero o datos pueden ayudar a prevenir un ataque de ingeniería social. Las políticas que garantizan que los empleados no compartan demasiado en las plataformas de los medios sociales ayudan a evitar esta forma de captación de datos.

2. Forme a los empleados en tácticas de ingeniería social

La ingeniería social adopta muchas formas, y los ciberdelincuentes que están detrás de los ataques de ingeniería social ajustan estas estafas para evitar ser detectados. Por lo tanto, los paquetes de formación para la concienciación sobre la seguridad deben incluir formación sobre los trucos de la ingeniería social, incluidos los seis timos descritos anteriormente.

La formación debe hacerse de forma atractiva y utilizar módulos de formación que sean interesantes, divertidos e informativos.

La plataforma de concienciación sobre seguridad también debería ofrecer formas de capturar la tasa de éxito de un paquete de formación para garantizar que su organización pueda actualizar y ajustar la formación para crear los mejores resultados posibles. La formación de los empleados para reconocer los ataques de ingeniería social debe realizarse con regularidad para captar los cambios en los patrones de las amenazas.

3. Utilice programas de phishing simulado

El phishing es una técnica fundamental en la que se basan muchos ataques de ingeniería social. Detectar los signos reveladores de un correo electrónico u otro mensaje de phishing es una primera línea de defensa vital contra los ataques de ingeniería social.

El software de simulación de phishing proporciona plantillas que pueden adaptarse para reflejar los trucos actuales de ingeniería social. A continuación, se envían como de costumbre a los empleados y a otros asociados de la empresa. Si un usuario hace clic en un enlace malicioso o va a descargar un archivo adjunto, la plataforma de phishing simulado intervendrá con una lección sobre lo que ocurriría si continuara con esa acción.