Explore en el artículo cinco ejemplos famosos de ataques de ingeniería social y descubra cómo estas tácticas engañan a las personas. Los humanos son seres intrínsecamente sociales, que disfrutan mezclándose, comunicándose, trabajando y compartiendo actividades. Esta sociabilidad, arraigada en la confianza, facilita la cooperación y la coexistencia dentro de los grupos humanos.

Sin embargo, estos mismos rasgos sociales también son explotados por los ciberdelincuentes que pretenden causar daño. Los ataques de ingeniería social capitalizan estas vulnerabilidades, empleando el engaño y la suplantación de identidad para manipular a las personas para que realicen acciones que sirvan a los propósitos del estafador.

Así lo corrobora el Informe de Verizon sobre investigaciones de filtraciones de datos (DBIR) de 2023, según el cual en el 82% de las filtraciones interviene un elemento humano.

A continuación le explicamos cómo se producen los ataques de ingeniería social y qué puede hacer para evitar que su personal sea objeto de ingeniería social.

¿Cómo se producen los ataques de ingeniería social?

Según un informe reciente, la organización media experimenta 700 ataques de ingeniería social al año. Los ataques de ingeniería social adoptan muchas formas y evolucionan hacia otras nuevas para eludir su detección.

El cometido de un ataque de ingeniería social es conseguir que alguien haga algo que beneficie a un ciberdelincuente. Por ejemplo, engañar a una persona para que revele detalles financieros que luego se utilizarán para llevar a cabo un fraude.

La ingeniería social no sólo se lleva a cabo utilizando métodos digitales. Los ingenieros sociales recurrirán a cualquier táctica para construir las estructuras necesarias para engañar a la gente. Esto puede incluir utilizar el teléfono o entrar en una oficina y charlar con el personal.

Entre los trucos de ingeniería social favoritos actuales se incluyen:

Pretextos y seguimientos: los atacantes fingirán ser un compañero de trabajo o una persona con autoridad, por ejemplo, un agente de policía. Utilizarán esta apariencia para establecer confianza con un objetivo a través de un método digital, por teléfono o en persona. Una vez establecida la confianza, el estafador intentará extraer información, como datos personales o detalles financieros.

Además, los «tailgators» suelen llevar a cabo ataques físicos contra las empresas, encontrando la forma de entrar en un edificio, pasando desapercibidos o incluso invitados. Una vez dentro de un edificio, pueden utilizar herramientas fácilmente disponibles, como RubberDucky USB utilizado por los probadores de penetración legítimos, para robar datos, incluidas las credenciales de inicio de sesión.

Phishing: el phishing se presenta en varios sabores, como el correo electrónico, las llamadas telefónicas, las publicaciones en redes sociales y los mensajes de texto. Los mensajes de ataque de phishing encapsulan tácticas de ingeniería social, utilizando la simulación, la confianza y el impulso de hacer clic para animar a los destinatarios a divulgar información personal, como contraseñas y datos de tarjetas de crédito.

Un estudio del Gobierno británico sobre ciberseguridad reveló que la gran mayoría (83%) de las empresas que identificaron un ciberataque afirmaron que el phishing fue el vector principal del ataque.

El spearphishing es la forma dirigida de phishing que lleva la ingeniería social a las mayores cotas de éxito. Los correos electrónicos de spearphishing son difíciles de diferenciar de los legítimos porque los estafadores hacen todo lo posible para que parezcan realistas, a menudo formando relaciones de confianza con su objetivo. El spearphishing está detrás del 93% de los ciberataques, según el DBIR de 2018.

Baiting: este ataque de ingeniería social utiliza la seducción o el miedo a perderse algo (FOMO) para fomentar determinados comportamientos. Por ejemplo, se puede ofrecer a un empleado regalos gratuitos si facilita información personal o de la empresa o contraseñas.

¿Por qué son eficaces los ataques de ingeniería social?

Los seres humanos han evolucionado para actuar y comportarse de determinadas maneras con el fin de establecer estructuras sociales fuertes y cohesionadas. Elementos como la confianza son componentes vitales de las sociedades coherentes. Sin confianza, las relaciones fracasan.

Los estafadores entienden el comportamiento humano y la necesidad de establecer relaciones de confianza. También entienden cómo manipular a la gente haciéndose pasar por una persona de confianza o generando confianza.

Otros comportamientos humanos, como el afán por hacer un buen trabajo, no meterse en problemas o no perderse algo bueno, también son objeto de abuso por parte de los ciberdelincuentes. Todas estas acciones naturales que llevamos a cabo a diario en nuestra vida doméstica y laboral están abiertas a la explotación por parte de los ciberdelincuentes que pretenden robar datos y acceder a las redes para llevar a cabo actos maliciosos.

5 ejemplos de ataques de ingeniería social

Los ejemplos de ingeniería social aparecen regularmente en la prensa, pero aquí le presentamos cinco para que se haga una idea de cómo funciona la ingeniería social:

HotelMarriott: un grupo de piratas informáticos utilizó tácticas de ingeniería social para robar 20 GB de datos personales y financieros de un hotel Marriott. Los piratas informáticos engañaron a un asociado del Hotel Marriott para que diera acceso a la banda de piratas informáticos al ordenador del asociado.

Departamento de Trabajo de EE.UU. (DoL): se trataba de un ataque de ingeniería social que robaba las credenciales de inicio de sesión de Office 365. El ataque utilizó un sofisticado phishing basado en dominios suplantados ingeniosamente que parecían iguales al dominio legítimo del DoL. Los correos electrónicos parecían proceder de un alto empleado del DoL que les invitaba a presentar una oferta para un proyecto gubernamental. Al hacer clic en el botón de la oferta, el empleado accedía a un sitio de phishing utilizado para robar credenciales.

Usuarios de Zoom: una campaña de phishing dirigida a los empleados afectó al menos a 50.000 usuarios. Los ingenieros sociales utilizaron el miedo al despido para animar a los empleados a hacer clic en un enlace para reunirse con RRHH a través de Zoom. Al hacer clic en el enlace, el empleado accedía a un sitio falso de inicio de sesión de Zoom diseñado para robar contraseñas.

FACC (fabricante austriaco de aviones): FACC perdió unos 42 millones de euros cuando la empresa fue víctima de una sofisticada estafa de correo electrónico comercial comprometido (BEC). Se suplantó la identidad de la cuenta de correo electrónico del director general de la empresa y se utilizó para enviar una solicitud «urgente» de transferencia de fondos. Este correo engañó a un empleado encargado del pago de cuentas que accedió a la solicitud, ingresando el dinero en la cuenta del estafador.

Llamada de CrowdstrikeIncluso los proveedores de seguridad están sintiendo la fuerza de la ingeniería social. Crowdstrike se ha convertido en un peón involuntario en el juego de los ingenieros sociales. Los estafadores están utilizando la marca de confianza de Crowdstrike y otros proveedores de seguridad para enviar correos electrónicos de phishing a los empleados. El correo electrónico contiene detalles de una posible infección por malware y un número de teléfono al que llamar para eliminar el malware instalado. Si el empleado llama al número, se le engaña para que dé al atacante acceso a su ordenador.

Cómo protegerse contra los ataques de ingeniería social

La ingeniería social tiene éxito porque la técnica manipula nuestras acciones cotidianas. Esto hace que a los empleados les resulte difícil darse cuenta de que forman parte de un ataque de ingeniería social.

La ingeniería social debe formar parte de la conversación en torno a la concienciación sobre la seguridad, y las políticas de seguridad deben reflejarlo. Sin embargo, existen formas prácticas de garantizar que los empleados estén al corriente de los trucos que utilizan los estafadores de la ingeniería social:

Haga que la ingeniería social forme parte de su cultura de seguridad:

  1. Imparta al personal actualizaciones periódicas sobre la ingeniería social y su funcionamiento.

  2. Asegúrese de que la ingeniería social forma parte de su formación periódica sobre concienciación en materia de seguridad.

  3. Incluya la ingeniería social en los carteles del mes de concienciación sobre la seguridad y envíe boletines informativos al personal sobre los problemas causados por la ingeniería social.

Implemente simulaciones de phishing: utilice una plataforma avanzada de simulación de phishing para formar al personal sobre el aspecto de los correos electrónicos de phishing y para poner a prueba su respuesta a un correo electrónico de phishing. Adapte estos correos electrónicos a las distintas funciones de su organización y base las simulaciones en tácticas conocidas utilizadas por los estafadores.

Pruebe la penetración de su empresa y de su personal: establezca varios escenarios de prueba para ver cómo responde el personal a los posibles intentos de ingeniería social. Esto puede incluir pruebas para ver lo fácil (o difícil) que es conseguir entrar en el edificio.

Asimismo, ponga a prueba al personal y su respuesta ante individuos desconocidos. Por ejemplo, haga pasar a los probadores por limpiadores o contratistas y vea hasta dónde pueden llegar extrayendo información sobre su empresa o solicitando acceso a un ordenador.

phishing img francés

[faq_posts]