Los ataques de ingeniería social son muy comunes y utilizados por los cibercriminales debido a su alta eficiencia, además de que ellos han aprendido que la forma más fácil de robar la información de sus víctimas y obtener acceso a sus cuentas o infectar sus sistemas, es simplemente engañándolos.

¿Qué es la ingeniería social?

Básicamente, es engañar y convencer a alguien para que realice una acción en particular. Los cibercriminales utilizan la ingeniería social para provocar que las víctimas compartan su información personal, ejecuten archivos maliciosos o les proporcionen acceso a datos restringidos.

Ataques de ingeniería social más comunes

Existen muchos ataques de ingeniería social utilizados por los cibercriminales. Entre los más comunes se encuentran: phishing, spear phishing, baiting, tailgating, vishing o smishing.

El ataque de phishing comienza con un señuelo, al recibir un correo electrónico que parece ser de un remitente confiable. Regularmente tiene un alto sentido de urgencia y solicita una acción inmediata, como abrir un enlace a un sitio falso, descargar archivos o enviar información personal como usuarios y contraseñas. Existen variantes de esta técnica dependiendo el medio que se utilice: un correo electrónico dirigido a un cierto objetivo (spear phishing), mensaje SMS (smishing) o llamada telefónica (vishing).

En el tailgating, una persona busca obtener acceso a un área restringida en la que no puede estar. Se utiliza a otra persona para acceder al sitio restringido (un centro de datos, por ejemplo) que resguarda información sensible o confidencial, con el fin de realizar acciones como: robo, daño, sabotaje o terrorismo.

Otro tipo de ataque es el baiting que emplea medios físicos y se basa en la curiosidad o avaricia de la víctima para tomarlos y ver su contenido, por ejemplo, el dejar tirada o abandonada una memoria USB infectada con malware para que alguien en particular la recoja y pueda introducirla en algún equipo de cómputo. Una vez que se ejecuta en el ordenador, el malware hará su trabajo.

¿Qué podemos hacer para defendernos?

Especialmente para estos tipos de ataques, la mejor defensa es concientizar y educar al usuario. Si algo parece sospechoso o se identifica algo extraño, puede ser un ataque; por lo que es necesario implementar programas o entrenamientos de “concientización de seguridad” para enseñar a los empleados a no caer en estas trampas.

Regularmente, este tipo de ataques siempre contiene alguna de las siguientes características que permitirán identificarlos:

• Correos electrónicos con enlaces, archivos adjuntos, acciones solicitadas con sentido de urgencia (pagar facturas, SAT, compra de productos, etc.) o de curiosidad (el mensaje es demasiado bueno para ser verdad como: ganar la lotería, un viaje, un premio).
• Cualquier presión para ignorar las políticas o procedimientos de seguridad implementados en la organización.
• Solicitudes de información confidencial a la que no deberían tener acceso o que ya deberían conocer, como números de cuenta o contraseñas, por mencionar algunos.
• Correos electrónicos o mensajes usurpando la identidad de otra persona que se conoce, pero el contenido no parece ser de ella; la redacción puede ser extraña o la firma no ser correcta.
• Correos electrónicos que tienen supuestamente como remitente un compañero de trabajo o una empresa legítima, pero el correo electrónico se envía de una cuenta personal como @gmail.com.

Muchos ataques de ingeniería social son muy elaborados y difíciles de detectar; adicionalmente, el desconocimiento en seguridad por parte de los usuarios incrementa su efectividad. Es importante atender las siguientes recomendaciones:

• Si sospechas que fuiste víctima de phishing, contacta a las autoridades competentes (CONDUSEF, INAI).
• Si revelaste información financiera, contacta de inmediato al banco para bloquear cuentas y tarjetas, y realiza los cambios correspondientes.
• En caso de exponer información de la organización en la que trabajas, repórtalo de inmediato a tu jefe y al administrador de la red.

Fuentes:

https://www.sans.org/presentations/phishing/
https://www.sans.org/white-papers/38745/
https://webtribunal.net/blog/social-engineering-statistics/
https://www.proofpoint.com/us/blog/threat-insight/how-threat-actors-hijack-attention-2022-social-engineering-report