«Los ataques de ingeniería social más habituales son los fraudes online»

«Los ataques de ingeniería social más habituales son los fraudes online»

Pablo Iglesias. Consultor de Presencia Digital y Reputación Online.

«Los ataques de Ingeniería Social más habituales son los fraudes online», explica Pablo Iglesias, consultor de Presencia Digital y Reputación Online, quien en esta entrevista con CUADERNOS DE SEGURIDAD, explica cuáles son los ataques más habituales, así cómo pueden prepararse las compañías para hacer frente a estos riesgos.

Pablo Iglesias. Consultor de Presencia Digital y Reputación Online.

—¿Qué es la Ingeniería Social?
—Básicamente son todo el conjunto de herramientas y técnicas que permiten a una persona engañar a otraY es importante señalar este punto, ya que para llevar . En el ámbito de la ciberseguridad decimos normalmente que son ese tipo de ataques cuyo objetivo es la persona que está a los mandos de la máquina: el operario de una instalación, el secretario, el administrativo de turno, el CEO… Se le ataca a esa persona, aunque quizás el objetivo final sea obtener acceso a los recursos informacionales o económicos de la organización.

—¿Qué tipos de ataque vía Internet son los más utilizados? ¿Cuáles son los más habituales?
—Internet realmente es solo un canal, y es que los ataques de ingeniería social, al tener como objetivo las personas, se repiten en prácticamente cualquier canal. Los más habituales son los fraudes online. Tanto los que se envían vía email, como los que se realizan por redes sociales.

Nos encontramos con el ataque del príncipe nigeriano (una persona hereda o encuentra una gran fortuna y casualmente la quiere compartir contigo); el de la novia rusa (una muchacha extranjera de muy buen ver se ha enamorado de ti y quiere que os conozcáis en persona); el phishing del albarán o factura adjunta (una empresa que puede ser real te envía un correo con un adjunto en PDF o DOC argumentando la entrega de una factura o albarán, y que por supuesto viene con regalo)…

—¿Cómo pueden las empresas prepararse para no sufrir este tipo de ataques?
—Hay dos aspectos a tener en cuenta:

  • Formativo: Se basa en hacer talleres inhouse en el que les exponemos a la plantilla a ataques reales, para que sepan diferenciarlos del resto de contactos que son legítimos.
  • Técnico: Empieza, al menos, por migrar el ecosistema a un servicio que ya cuenta con las garantías suficientes, como es el caso de GSuite. Simplemente con este cambio (en vez de usar el correo corporativo de turno, utilizaremos el entorno de trabajo de Google), minimizamos hasta el extremo la recepción del correo potencialmente dañino (el 99% del SPAM, entre donde está la mayor parte de ataques de ingeniería social).

Y de paso, también eliminamos de un plumazo el riesgo a que los activos informacionales de la organización sean víctima de un ransomware, habida cuenta de que por cómo están diseñados, los documentos de la suite ofimática de Google no pueden ser cifrados (y si alguno creado con otra herramienta y subido a nuestro Drive es cifrado, siempre podremos volver a una versión anterior del mismo).

Esto es una de las partes de mi trabajo como Consultor de Presencia y Reputación online que más me toca implementar en las organizaciones. Hay mucha PYME que todavía sigue alojando su correo en un servidor físico o lo tiene subcontratado a un administrador de sistemas que a su vez subcontrata el espacio en un servidor físico de alguna otra empresa, y eso es caldo de cultivo para el desastre.

—¿Cuáles son los principios básicos de la ingeniería social?
—Lo más gracioso de todo es que son exactamente los mismos que en su día definió Robert Cialdini como los 6 principios de la persuasión:

  • Reciprocidad: Los humanos somos por naturaleza recíprocos con nuestros actos. Si alguien nos ofrece algo, tendemos a ofrecerle también algo nosotros. Si alguien nos trata mal, estaremos más susceptibles a pagarle con la misma moneda. Un «instinto» social muy arraigado en nuestra naturaleza, y por ende, fácilmente manipulable. La próxima vez que alguien te ofrezca un trabajo de ensueño desde tu casa en el que solo tienes que meter dinero de una cuenta a otra y te quedas un % por cada transacción, desconfía. Si es tan sencillo de hacer, ¿por qué no lo hacen ellos?
  • Urgencia: Un clásico entre los clásicos. ¡Aproveche esta oferta! ¡Hasta fin de existencias! ¡Durante los próximos cinco minutos…! Es uno de los mantras habituales de las ventas, en este caso extrapolado al cibercrimen. La mayoría de los ataques de ingeniería social, sobre todo los de hunting, enganchan a las víctimas por medio de la urgencia. Tienes 24 horas para enviarme X datos del banco o Hacienda te pondrá la consabida multa. Comparte ahora mismo este artículo entre todos tus contactos de Facebook y ganaras 100 de oro para gastar en esta aplicación… ¿seguimos?

«La mayoría de los ataques de ingeniería social, sobre todo los de hunting, enganchan a las víctimas por medio de la urgencia»

  • Consistencia: Somos animales de costumbres. Si hemos dado nuestra palabra (y la acción no nos va a ocasionar un grave trastorno), tendemos más a cumplir que a no hacerlo. El caso de ingeniería social más habitual utilizando este principio es aquel en el que un miembro del equipo técnico de un servicio (o de una empresa) te pide que realices X labores habituales. Aunque una de ellas sea «rara de cojones», como ya te has comprometido la acabarás haciendo junto al resto. Y el criminal ya tendrá seguramente acceso a los servicios de la compañía en tu nombre.
  • Confianza: Nuestras escasas defensas bajan cuando nuestro interlocutor nos cae bien o está alineado con nuestros intereses. Por no hablar de nuevo de la novia rusa, no es raro que altos directivos o trabajadores con acceso a contenido o servicios confidenciales (gobierno, corporaciones, política, militar,…) sean «seducidos» por supuestos perfiles semejantes (no tienen porqué ser del sexo opuesto, aunque tiende a ayudar) que se ganan su confianza lo suficiente como para que tengan un descuido y puedan aprovecharse de él.
  • Autoridad: Si el becario te pide las credenciales de acceso de un servicio, seguramente lo mires con desconfianza. Pero si quien lo hace es el jefe, la cosa cambia. La usurpación de identidad juega un papel decisivo, bien sea real (robo del perfil digital del jefe) o aparentada (clonado de perfiles o emails muy parecidos).
  • Validación social: Como seres sociales que somos, buscamos la aprobación del colectivo. Por tanto, si en un email alguien nos pide específicamente que hagamos algo raro, es posible que nos lo pensemos. Pero si en esa misma conversación hay varios conocidos más (por ejemplo trabajadores de la misma compañía), y ninguno rechista, entenderemos que no hay ningún problema y acataremos las normas, vengan de quien vengan.

«Los ataques de ingeniería social más habituales son los fraudes online» 1

 

—¿Qué estrategias de Ingeniería Social utilizan hoy en día los cibercriminales?

Hunting: Son aquellos ataques que buscan obtener información específica del objetivo con la menor exposición directa posible. Con el menor contacto. En la práctica hablamos de ataques de ingeniería social enfocados a obtener X dato (normalmente credenciales de acceso a un servicio o cuenta, activación o desactivación de alguna configuración que puede complicar el objetivo final o como apoyo a un ataque mayor, dirigido y persistente), de forma que el atacante se pone en contacto de alguna manera con la víctima, y la insta a realizar una acción cuyo desenlace es el pretendido inicialmente.

Y el mejor ejemplo son las campañas de phishing por email, en el que únicamente se suele tener contacto directo con el cibercriminal una sola vez (el email que te envía haciéndose pasar por una entidad o conocido, habitualmente para que insertes tus datos en una supuesta web legítima).

—Farming: Pues justo lo contrario. En el hunting lo que se busca es una exposición mínima. Obtener algo y desaparecer. Con el farming el objetivo es mantener el engaño el mayor tiempo posible, para exprimir al máximo el conocimiento, recursos o posición de la víctima.

—¿Cree que Internet se ha convertido en un terreno ideal para dar rienda suelta a las técnicas de Ingeniería Social?

—Es, como te decía, un canal más. Hace años en la calle estaba el timo de la estampita. Ahora simplemente con Internet ese mismo timo lo tenemos pero en derroteros digitales. Sigue siendo exactamente lo mismo, pero ocurre en una red social, en un email, en un foro, en un servicio de mensajería instantánea… Y pasa lo mismo con las llamadas telefónicas, que no es precisamente una tecnología moderna.

La Ingeniería Social va a seguir existiendo y siendo tan exitosa sencilla y llanamente porque el eslabón más débil de la cadena siempre es el humano.

El canal por el que se lleve a cabo es lo de menos. Ahora es Internet porque es lo que tenemos, pero mañana será lo que venga, y pasado, más de lo mismo.

Imágenes: Prostock-studio/Envato

Compartir

Share on facebook
Facebook
Share on twitter
Twitter
Share on whatsapp
WhatsApp
Share on email
Email
Share on print
Print
Ir arriba