Ingeniería social: ¿Qué es? ¿Qué tipos hay? ¿Cómo identificarlos? ¿Cómo protegernos?
Cuando la mayoría de gente oye la palabra «ciberamenaza» se imagina algún tipo de malware o a un ciberdelincuente que busca aprovecharse de las vulnerabilidades de un software. Sin embargo, en la actualidad, los seres humanos son el punto débil de cualquier estrategia de ciberseguridad, y es precisamente de esta vulnerabilidad de la que se aprovecha la ingeniería social.
En la actualidad, los ataques son mucho más sofisticados: los ciberdelincuentes adaptan las historias utilizadas para obtener información de su objetivo y su contexto e incorporan otras amenazas como el phishing en sus campañas. Los ataques de estos grupos organizados pueden conseguir beneficios mucho mayores, por ejemplo, engañando al empleado de una empresa para que envíe millones de euros a cuentas en el extranjero.
A menudo, estos ataques utilizan la manipulación y la persuasión para que las víctimas infrinjan los procedimientos de seguridad habituales. Son tan eficaces, porque se basan en la tendencia de las personas a confiar en los demás o explotan su curiosidad por ofertas o nuevas informaciones que actúan como cebo.
Tipos de ataques de ingeniería social
Baiting o «anzuelo»
El baiting consiste en tender una trampa, como puede ser dejar al alcance una memoria USB cargada con malware. Si la recoge alguien que siente curiosidad por saber lo que contiene y la conecta a su unidad USB, su sistema quedará infectado. De hecho, hay una memoria USB que es capaz de destruir ordenadores: se carga con la energía del dispositivo USB y luego la libera con una subida de potencia tan fuerte que daña el dispositivo al cual está conectada.
Pretextos
Este ataque utiliza un pretexto para captar la atención y hacer que la víctima pique el anzuelo y proporcione información. Por ejemplo, una encuesta en Internet puede antojarse inofensiva a primera vista y luego solicitar los datos bancarios. O puede presentarse alguien con un portapapeles y anunciarte que están realizando una auditoría de los sistemas internos, pero tal vez esa persona no sea quien dice ser y te sustraiga información valiosa.
Phishing
Los ataques de phishing consisten en enviar un mensaje de correo electrónico o de texto que finge ser de una fuente fiable y en el cual se solicita información. Una variante muy conocida de este tipo de ataques son los mensajes de correo electrónico que fingen proceder de un banco y solicitan a sus clientes que confirme su información de seguridad, cuando, en realidad, lo que hacen es redirigirlos a una página web fraudulenta donde se registran sus credenciales de inicio de sesión. El «spear phising» pone la diana en una única persona de una empresa, a quien supuestamente un ejecutivo de rango superior le envía un mensaje de correo electrónico en el que le solicita información confidencial.
Vishing y smishing
Estos tipos de ataque de ingeniería social son variantes del phishing: el «vishing» o «voice fishing» consiste, simplemente, en llamar por teléfono a alguien y solicitarle datos. El delincuente puede hacerse pasar por un colega del trabajo, por ejemplo, puede fingir ser del departamento de informática y solicitar la información de inicio de sesión. Por su parte, el smishing utiliza mensajes SMS para intentar obtener esta información.
Quid pro quo
Dicen que «un intercambio justo no es un robo», pero, en este caso, sí que lo es. Muchos ataques de ingeniería social convencen a las víctimas de que obtendrán algo a cambio de los datos o el acceso que proporcionan. El scareware funciona de esta manera y promete a los usuarios de ordenadores una actualización para lidiar con un problema de seguridad urgente cuando, en realidad, es el propio scareware lo que representa esa amenaza maliciosa a la seguridad.
Spam a contactos y hackeo del correo electrónico
Este tipo de ataque comporta hackear las cuentas de correo electrónico o redes sociales de una persona para acceder a sus contactos. A continuación, se les comunica a los contactos que la persona ha sufrido un robo o ha perdido todas sus tarjetas de crédito y se les solicita que transfieran dinero a una cuenta. Otra táctica es que un supuesto «amigo» te envíe un «vídeo que no puedes perderte» que incluya malware o un troyano keylogger.
Diferencia entre farming y hunting
Por último, cabe tener presente que algunos ataques de ingeniería social son mucho más sofisticados. La mayoría de los planteamientos sencillos que hemos descrito son una forma de «hunting». Básicamente, se trata de entrar, hacerse con la información y largarse.
No obstante, algunos tipos de ataques de ingeniería social implican entablar una relación con la persona objetivo para extraerle información en el transcurso de un período más dilatado. Esta táctica se conoce como «farming» y es más arriesgada para el atacante, porque tiene más probabilidades de ser descubierto. Sin embargo, si la infiltración es fructífera, puede sustraer mucha más información.
Cómo identificar un ataque que utiliza ingeniería social
• Dirección falsificada: es habitual que el atacante utilice un dominio similar al oficial para intentar que el objetivo no se dé cuenta. Un sistema de protección del correo electrónico impedirá que los remitentes falsos accedan a la bandeja de entrada de un usuario objetivo. En su ausencia, es importante buscar errores ortográficos.
• Solicitudes de amistad extrañas: no es raro que un atacante comprometa una cuenta de correo electrónico y envíe mensajes a la lista de contactos de la víctima. Los mensajes suelen ser breves y no están personalizados, por lo que hay que dudar a la hora de hacer clic en enlaces de amigos si el mensaje no parece propio de esa persona.
• No tengas prisa
Cómo evitar ser una víctima de estos ciberataques
• Informarse sobre los ataques más habituales o recientes de ingeniería social.
• No interactuar con webs directamente desde enlaces. En su lugar, escribir el dominio en el buscador.
• Identificar la información confidencial y ser consciente de qué datos se están divulgando, por ejemplo, en redes sociales. En general, evitar compartir demasiada información personal en Internet.
• Utilizar contraseñas únicas con diversos tipos de caracteres puede hacerlas más difíciles de descifrar.
• Actualizar los softwares antimalware para que detecten amenazas recientes.
• Desconfiar de cualquier solicitud de datos o dinero. Antes de actuar, hacer preguntas y verificar la identidad del remitente.
• Verifica la fuente: Plantéate un momento de dónde procede la comunicación, en lugar de confiar en ella a ciegas. Una memoria USB aparece de la nada en tu mesa de trabajo, ¿y no sabes qué es? ¿Recibes porque sí una llamada de teléfono diciéndote que has heredado cinco millones de dólares? ¿El director ejecutivo de tu empresa te envía un correo electrónico solicitándote un montón de información de empleados concretos? Todos estos ejemplos suenan sospechosos y deberían tratarse como tales.

