Ingeniería Social

La ciberseguridad se ha vuelto un tema relevante para los usuarios y organizaciones, debido a que las ciberamenazas continúan desarrollándose para ser cada día más sofisticadas. Aunque existen muchas técnicas complejas a nivel tecnológico, una de las prácticas más comunes de los ciberdelincuentes continúa siendo la ingeniería social.

A diferencia de otras técnicas, la ingeniería social está enfocada en el uso de la persuasión y manipulación de personas para obtener información o datos personales sensibles como contraseñas y datos bancarios, entre otros; mediante correos electrónicos apócrifos, mensajes SMS, llamadas telefónicas, etcétera, con el objetivo de suplantar la identidad de algún usuario, acceder a sistemas restringidos, eludir alguna regla de seguridad o reconocer un objetivo en específico.

Los atacantes intentan explotar la confianza o la falta de conocimiento de las víctimas, apelando a veces a un sentido de urgencia y ganando su confianza, para aprovecharse de sus emociones, engañarlas y así conseguir que compartan datos confidenciales o sensibles.

El riesgo de que un ataque sea exitoso es mayor cuando está dirigido a un usuario u organización en específico, donde solo es necesario que se comparta la información de relevancia que permita realizar el plan de ataque.

Métodos de ingeniería social: phishing, smishing y vishing

Uno de los métodos más comunes es el phishing, que implica el envío de correos electrónicos falsificados que parecen provenir de fuentes confiables, como bancos, servicios en línea o empresas reconocidas. Estos correos suelen incluir enlaces a sitios Web fraudulentos que intentan engañar a las víctimas para que ingresen su información. Por ejemplo, pueden solicitar que se inicie sesión en una cuenta y, cuando la víctima proporciona su nombre de usuario y contraseña, estas son capturadas y almacenadas por el atacante.

El smishing es una variante del phishing que utiliza mensajes de texto (SMS) en lugar de correos electrónicos. Los atacantes envían un SMS apócrifo al número telefónico de la víctima, con enlaces prefabricados y diseñados específicamente para el robo de datos o, en su defecto, utilizan el SMS para enviar números telefónicos adicionales que tienen el mismo fin.

El vishing consiste en llamadas telefónicas fraudulentas para obtener información confidencial. Los atacantes se hacen pasar por representantes de empresas legítimas, como instituciones financieras, servicios gubernamentales o compañías de telecomunicaciones, y utilizan técnicas de persuasión para engañar a las víctimas y obtener información personal o financiera.

También es común que los atacantes puedan hacerse pasar como parte del equipo de soporte de la empresa atacada (TI, seguridad, etc.), fingiendo familiaridad con la víctima y con ello obteniendo información relacionada con cuentas de uso interno de la empresa objetivo.

Si bien el phishing, smishing y vishing son diferentes en sus métodos de entrega, todos tienen el objetivo común de engañar a las personas y obtener datos o información sensible.

Riesgo y consecuencias para las empresas

Se estima que 92% de las empresas ha sido víctima de ataques de phishing en ambientes Microsoft 365; tan solo en el año 2022, las 3 principales causas de estos incidentes fueron comportamientos riesgosos de los colaboradores (transferencia de datos confidenciales a cuentas personales), errores humanos (envío de información confidencial a remitentes incorrectos) y exfiltración de datos por parte de los empleados.

En el ámbito financiero, se cree que el costo de una brecha causada por un ataque de ingeniería social rondó por los 4.1 millones de dólares durante el año 2022.

Las consecuencias de que estos ataques sean exitosos pueden ser la pérdida de datos sensibles, robo de identidad, pérdida financiera y daños a la reputación. Cualquier tipo de incidente a partir de estas técnicas es potencialmente grave y, en algunos casos, causa daños irreversibles.

Recomendaciones:

Concientización: la principal y más importante medida de prevención para estos ataques consiste en capacitar a los empleados y usuarios finales sobre los riesgos de la ingeniería social y, sobre todo, en cómo identificar posibles intentos de phishing, smishing y vishing.

Fomentar precaución al abrir correos electrónicos, hacer clic en enlaces o proporcionar información confidencial en llamadas telefónicas.

Factor de doble autenticación: alentar a los empleados y usuarios a utilizar el uso de autenticación de dos factores siempre que sea posible. Esto debido a que, aun cuando una contraseña se encuentre comprometida, el doble factor puede impedir el ingreso del atacante.

Verificación de la fuente: verificar la autenticidad de los correos electrónicos, mensajes de texto y llamadas telefónicas antes de proporcionar cualquier información personal. Se deben comprobar los detalles de la dirección de correo electrónico, el número de teléfono y cualquier otra información que indique que la comunicación es legítima.

Uso de soluciones de seguridad: implementar soluciones de seguridad confiables (EDR, firewalls, software antimalware e IDS, entre otros). Estas herramientas pueden ayudar a identificar y bloquear posibles intentos de phishing, smishing y vishing.

Actualización de software y sistemas: mantener los sistemas operativos, aplicaciones y programas actualizados con los últimos parches de seguridad es esencial para protegerse contra vulnerabilidades conocidas. Los ciberdelincuentes a menudo aprovechan las debilidades en el software desactualizado para llevar a cabo ataques de ingeniería social.

Pruebas de phishing: realizar simulacros puede ser una forma efectiva de evaluar la conciencia y preparación de los empleados ante estos ataques. Estas pruebas pueden identificar áreas de mejora y brindar oportunidades para ofrecer capacitación adicional si es necesario.

Políticas de seguridad y reporte de incidentes: establecer políticas claras de seguridad cibernética que aborden el manejo de información confidencial, el reporte de incidentes de phishing y las medidas de respuesta. Los empleados deben sentirse cómodos al reportar posibles ataques de ingeniería social y saber cómo hacerlo de manera segura.

Fuentes:

https://www.hp.com/us-en/shop/tech-takes/smishing-vs-phishing-vs-vishing#:~:text=While%20each%20type%20of%20virtual,voicemails%20to%20obtain%20sensitive%20information.

https://www.computerweekly.com/news/365532100/Nine-in-10-enterprises-fell-victim-to-successful-phishing-in-2022

https://www.thesslstore.com/blog/social-engineering-statistics/

https://www.spiceworks.com/it-security/vulnerability-management/guest-article/social-engineering-techniques-popular-with-scammers/

https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering