Los ingenieros sociales saben qué botones presionar para que hagas lo que ellos quieren. Sus técnicas tradicionales realmente funcionan. por lo que era inevitable que los ciberdelincuentes aplicaran esas técnicas al ciberdelito.
Cómo funciona la ingeniería social
Desde que nacemos, estamos programados para ser serviciales y educados. Si alguien le hace una pregunta, se necesita un esfuerzo consciente para no responderla, especialmente si parece inocua. Este es uno de los comportamientos que los ingenieros sociales manipulan para lograr lo que quieren. Lo hacen de manera sutil y lenta, extrayendo información de su víctima pieza por pieza. Intercalarán preguntas inofensivas con las que te acercarán más a revelar lo que quieren saber.
La ingeniería social funciona mediante la manipulación de personas utilizando técnicas que juegan con los rasgos humanos básicos. Los ingenieros sociales expertos pueden hacerte sentir comprensivo con ellos o con su situación inventada. Pueden hacer que quieras romper las reglas, solo por esta vez, ya sea porque sientes empatía por ellos y quieres ayudarlos o porque son un fastidio y realmente quieres sacarlos del teléfono. Pueden hacerte sentir preocupado o asustado, esperanzado o emocionado. Luego aprovechan estas respuestas emocionales para que actúes con prisa, a menudo para evitar un supuesto desastre o para aprovechar una oferta especial.
Los ataques de ingeniería social pueden ocurrir en una sola llamada telefónica. Pueden desarrollarse durante un período de tiempo, ya que poco a poco fomentan una relación falsa. Pero la ingeniería social no se limita a la palabra hablada. Los ataques de ingeniería social más comunes se envían por correo electrónico.
Lo único que todos los ataques de ingeniería social tienen en común es su objetivo. Quieren pasar por sus medidas de seguridad. Contigo como su cómplice involuntario.
Hackear la naturaleza humana
La gente ha estado usando técnicas de ingeniería social desde que existen estafadores. La estafa del “prisionero español” se remonta a la década de 1580. Una persona adinerada recibe una carta de alguien que afirma representar a un terrateniente titulado que está cautivo ilegalmente en España con una identidad falsa. Su verdadera identidad no puede ser revelada porque lo pondrá a él y a su hermosa hija en un peligro aún mayor.
Su única esperanza de escapar es sobornar a sus guardias. Cualquiera que contribuya al fondo de sobornos será recompensado muchas veces cuando el cautivo sea liberado y tenga acceso a sus considerables activos financieros. Cualquiera que acepte donar se encuentra con el intermediario que recoge la donación.
La víctima pronto es abordada de nuevo. Han surgido más dificultades -el cautivo y su hija van a ser ejecutados, ¡sólo tenemos dos semanas!- y, por supuesto, se necesita más dinero. Esto se repite hasta que la víctima se desangra o se niega a entregar más dinero.
Estafas como estas afectan a diferentes personas de diferentes maneras. Algunas víctimas quedan atrapadas porque apela a sus nobles cualidades como la bondad, la compasión y el sentido de la justicia. A otros, la creciente hostilidad entre Gran Bretaña y España les habría incitado a actuar. Otros aprovecharían la oportunidad de obtener una ganancia fácil.
La estafa Spanish Prisoner es el equivalente isabelino y el antepasado directo del "príncipe nigeriano" y otros correos electrónicos fraudulentos que siguen generando dinero para los ciberdelincuentes en 2021.
La mayoría de las personas hoy en día pueden reconocer esto como estafas. Pero la mayoría de los ataques de ingeniería social modernos son mucho más sutiles. Y el rango de reacciones humanas a los eventos emotivos no ha cambiado. Todavía estamos programados de la misma manera, por lo que aún somos susceptibles a estos ataques.
Tipos de ataques
El actor de amenazas quiere que hagas algo que sea para su beneficio. Su objetivo podría ser recopilar credenciales de cuentas o detalles de tarjetas de crédito. Es posible que quieran que instale malware sin darse cuenta, como ransomware, keyloggers o puertas traseras. Es posible que incluso quieran obtener acceso físico a su edificio.
Un rasgo común de todos los ataques de ingeniería social es que intentan generar una sensación de urgencia. De una forma u otra, se acerca una fecha límite. El mensaje subliminal para el destinatario es “actúa ahora, no te detengas a pensar”. La víctima se ve obligada a no permitir que ocurra el desastre, no perder la oferta especial o no permitir que otra persona se meta en problemas.
Correos electrónicos de phishing
El ataque de ingeniería social más común utiliza correos electrónicos de phishing. Estos parecen ser de una fuente confiable, pero en realidad son falsos vestidos con la librea de la compañía genuina. Algunos presentan una oportunidad como una oferta especial. Otros presentan un problema que deberá abordarse, como un problema de bloqueo de cuenta.
Los correos electrónicos de phishing se modifican muy fácilmente para que coincidan con las noticias. La pandemia de COVID-19 de 2020 proporcionó a los ciberdelincuentes la tapadera perfecta para enviar correos electrónicos de phishing con nuevas líneas de asunto. Las noticias sobre la pandemia, el acceso a los kits de prueba y los suministros de desinfectante para manos se utilizaron como anzuelos para atrapar a los incautos. Los correos electrónicos de phishing tienen un enlace a un sitio web contaminado o un archivo adjunto que contiene un instalador de malware.
Llamadas telefónicas
Los correos electrónicos de phishing se envían por millones, con un cuerpo de texto genérico. La ingeniería social por llamada telefónica generalmente se adapta a una organización en particular, por lo que los actores de amenazas deben realizar un reconocimiento de la empresa. Verán la página Conozca al equipo en el sitio web y comprobarán los perfiles de LinkedIn y Twitter de los miembros del equipo.
Información como quién está fuera de la oficina con licencia, o asistiendo a una conferencia, administrando un nuevo equipo o siendo ascendido, puede ser incluida en conversaciones telefónicas por los actores de amenazas para que el destinatario no cuestione si la persona que llama realmente es del soporte técnico, o del hotel en el que se hospeda el equipo de ventas, y así sucesivamente.
Llamar a los empleados y hacerse pasar por soporte técnico es una estratagema común. Los nuevos empleados son buenos objetivos. Se esfuerzan por complacer y no quieren meterse en ningún tipo de problema. Si el soporte técnico los llama y les pregunta si intentaron hacer algo que no deberían haber hecho, por ejemplo, tratar de acceder a recursos compartidos de red privilegiados, el empleado puede compensar en exceso y estar demasiado dispuesto a cooperar para limpiar su nombre.
Un ingeniero social puede sacar provecho de esa situación y, en el transcurso de una conversación, puede obtener suficiente información del empleado para poder comprometer su cuenta.
El soporte técnico también puede ser el objetivo. Haciéndose pasar por un miembro senior del personal, el atacante llama al soporte técnico y se queja de que está en un hotel y no puede enviar un correo electrónico importante desde su cuenta corporativa. Hay mucho en juego y el tiempo corre. Dicen que enviarán una captura de pantalla del mensaje de error, utilizando su correo electrónico personal. El ingeniero de soporte quiere que esto se resuelva lo antes posible. Cuando llega el correo electrónico, abren inmediatamente el archivo adjunto que instala el malware.
Cualquiera puede ser el destinatario de una llamada telefónica de ingeniería social. El soporte técnico no tiene el monopolio. Hay cientos de variaciones entre las que los atacantes pueden elegir.
Entrar en sus instalaciones
Los actores de amenazas se harán pasar por casi cualquier persona para obtener acceso a su edificio. Se han utilizado mensajeros, empresas de catering, floristas, inspectores de incendios, ingenieros de servicio de ascensores e ingenieros de imprenta. Pueden llegar inesperadamente o pueden llamar con anticipación y reservar una cita. Reservar una cita ayuda a establecer que el actor de amenazas es quien dice ser. El día de la cita, espera que llegue un ingeniero de impresión y llega uno.
En lugar de decir que van a reparar la impresora, es probable que digan que están actualizando su firmware u otra tarea que no requiere herramientas ni repuestos. Serán muy tranquilizadores. Todo lo que necesitan es una conexión de red o s altar a una de sus computadoras por unos momentos. La impresora ni siquiera se desconectará. Una vez que están en sus instalaciones y en su red, pueden instalar cualquier tipo de malware. por lo general, será una puerta trasera que les permitirá acceder de forma remota a su red.
Otro tipo de ataque requiere ocultar un pequeño dispositivo en alguna parte. Detrás de la impresora hay un lugar popular. Está fuera de la vista y, por lo general, hay tomas de corriente y de red de repuesto detrás. El dispositivo realiza una conexión cifrada llamada túnel inverso SSH al servidor de los actores de amenazas. Los actores de amenazas ahora tienen fácil acceso a su red cuando lo deseen. Estos dispositivos se pueden construir con una Raspberry Pi u otras computadoras de placa única baratas y disfrazarse de fuentes de alimentación o dispositivos inofensivos similares.
Protección contra la ingeniería social
La ingeniería social opera en las personas, por lo que la principal defensa es la formación de conciencia del personal y políticas y procedimientos claros. El personal debe sentirse seguro de que no será penalizado por apegarse al protocolo. Algunas empresas de ciberseguridad ofrecen sesiones de formación y juegos de rol con sus ingenieros sociales internos. Ver las técnicas en acción es una manera poderosa de demostrar que nadie es inmune.
Establezca procedimientos que brinden al personal una guía clara sobre qué hacer si se les pide que rompan el protocolo, sin importar quién se lo pida. Por ejemplo, nunca deben decirle al soporte técnico su contraseña.
Se deben emplear escaneos de red regulares para encontrar nuevos dispositivos que se hayan conectado a la red. Cualquier cosa que no tenga explicación necesita ser identificada y examinada.
Nunca se debe dejar desatendidos a los visitantes y se deben verificar sus credenciales cuando lleguen al sitio.
