¿Sabes cómo funciona un ciberataque que utiliza ingeniería social?

 

Cuando hablamos de ingeniería social, nos referimos a los ciberataques en los que se abusa de la buena fe de las personas para que realicen acciones que puedan interesar al ciberdelincuente. Si lo situamos en el contexto de la ciberseguridad, nos referimos a la manipulación psicológica que tiene como finalidad, por ejemplo, que un usuario haga clic en un enlace, descargue un archivo que infecte su equipo o revele información confidencial, ya sean datos personales, credenciales de acceso, información bancaria, etc. 

En este contexto, a un ciberdelincuente le resultará más sencillo y económico lanzar ataques basados en el engaño o la manipulación que los que requieran de infraestructura o pericia tecnológica para explotar alguna vulnerabilidad informática, aunque con frecuencia se combinan. Así, además del concepto de VIP (Very Important Person), que todos relacionamos con personas famosas, de alto nivel, categoría o posición, hay que añadir el concepto de VAP (Very Attacked Person), acuñado por Proofpoint. Un ejemplo de ambos conceptos lo podríamos ver en el CEO de una empresa, considerado VIP, y que con el tiempo ha pasado a ser el objeto de los ciberdelincuentes, como ocurre en el whaling, el phishing dirigido a «peces gordos».
Es decir, los ciberdelincuentes han marcado como principal objetivo a las personas que forman parte de las organizaciones, sin importar el puesto que ocupen en la misma, pues se trata de presas fáciles que les podrían permitir llegar a sus objetivos. 

El principal método utilizado para llevar a cabo los ataques basados en ingeniería social es el correo electrónico, ya sea el corporativo o el personal. De esta forma, los ciberdelincuentes utilizan todo tipo de emails: 

• Los de phishing, que intentan obtener (literalmente «pescar») credenciales,
• correos (spoofing), que suplantan la identidad del remitente, 
• los que contienen enlaces a páginas falsas, 
• los que incitan a la descarga de algún archivo malicioso. 

Por ello, es importante saber identificarlos y aplicar medidas para no caer en estos engaños y evitar así que nuestra empresa se vea involucrada, detectando el fraude.

Cada ciberataque de ingeniería social es único, y se identifica como tal. Sin embargo, comparten unas características que hacen que el ciclo de vida sea igual para todos, distinguiéndose cuatro fases:

Recolección de información

A esta fase también se la conoce como footprinting. Esta fase para el ciberdelincuente consiste en acumular toda la información posible sobre la persona o personas que van a engañar: trabajo, entorno, ambiente, etc., para así saber con quién interactúa o con quién se relaciona. Si se trata de una empresa o sus empleados, la información a recopilar será:

• Listas de empleados, números de teléfono, direcciones de correo, etc.
• Organigrama de la organización para idear, por ejemplo, la suplantación de un directivo (lo que se conoce como fraude del CEO).
• Nombres de departamentos, gabinetes, equipos de trabajo, etc.
• Proveedores de servicios tecnológicos, suministradores de material u otro tipo de proveedores, bancos, etc.
• Ubicación física. 

Se trata de una fase previa al engaño, denominada «preataque». 

Manipulación

En esta fase el ciberdelincuente ejerce la manipulación psicológica aprovechando la confianza ganada en la etapa anterior. Para ello, utiliza todo tipo de técnicas, por ejemplo, apelando al respeto a la autoridad, a la voluntad de ser útil, al temor a perder algo, a la posición o influencia, a la urgencia, etc. El objetivo será sonsacar todo tipo de información, especialmente la confidencial, que podrá ser posteriormente utilizada para entrar en el sistema que se pretende explotar, sobre todo si son credenciales. Otras veces el objetivo es conseguir que realice alguna acción por él: instalar un programa, enviar algunos correos, hacer algún ingreso…

Salida

Una vez se ha extraído la información que se buscaba, el ciberdelincuente hará todo lo que esté en su mano para impedir que cualquier tipo de sospecha pudiera recaer sobre él, asegurándose de no dejar pruebas que pudieran relacionarle con el ataque. De esta forma, podrá seguir realizando entradas al sistema en un futuro para continuar explotando su fuente de información. 

La fórmula para protegerse ante los ataques de ingeniería social es conocer cómo funcionan. Por ello, tenemos que procurar que todos en la empresa reciban la formación y concienciación suficiente para evitar que los ciberdelincuentes consigan sus objetivos. No olvides que los empleados de una empresa son los elementos más importantes de la cadena de la ciberseguridad.