Ingeniería Social – Guía de supervivencia

Los ataques por ingeniería social son una de las mayores amenazas a la seguridad de las organizaciones. Son extremadamente efectivos ya que hacen uso del engaño y la persuasión. Aprende a identificarlos en esta guía de supervivencia. En nuestra sociedad, cada vez más digital, la ciberseguridad tiene una importancia cada día más relevante. Hay multitud de amenazas basadas en programas informáticos, que buscan explotar vulnerabilidades de los sistemas operativos o de aplicaciones, pero a día de hoy la mayor amenaza sigue siendo la ingeniería social.

¿Pero qué es esto de la ingeniería social?

A los que ya tengáis algunos años, o gusto por el cine español de los 50-60, os sonará la película “Los Tramposos” y la escena inolvidable de Tony Leblanc del timo de la estampita, ésto es solo un ejemplo de ingeniería social o el arte del engaño, en concreto de lo que llamamos Baiting.

La ingeniería social es el arte de hackear al ser humano, manipulando psicológicamente a las personas para que realicen acciones o proporcionen información confidencial, es decir, el uso del engaño y la manipulación.

El término ingeniería social surge en el siglo XIX, pero toma el significado actual en 1984, aparece en un artículo de la publicación The Hacker Quarterly, relacionando el término con la persuasión para obtener información.

¿Por qué es importante la ingeniería social?

Es una de las mayores amenazas de seguridad de las organizaciones, además es muy efectiva porque son ataques basados en la persuasión y el engaño que salta las barreras tecnológicas que tienen las empresas, consiguiendo que el hackeo se realice desde dentro.

La ingeniería social es la amenaza número uno, analiza nuestras tendencias y comportamiento buscando cómo utilizarlos para ganarse nuestra confianza. Según un reciente informe, más del 90% de los ciberataques utilizan de una forma u otra la ingeniería social y además se multiplican año tras año, buscando nuevos canales para el engaño.

Ataques de ingeniería social más comunes. No todo es phishing

Dumpster diving

Es algo tan simple como buscar, dentro de la basura, información útil para un posible ataque, no estamos hablando solo de información confidencial, sino de mucha otra que no nos parece importante.

No somos conscientes pero, por ejemplo, imprimir un calendario de reuniones y luego tirarlo a una papelera que no incluya destrucción documental puede estar dando información muy valiosa al hacker. Pensemos en todas las cosas que podemos imprimir y tirar que no consideramos confidenciales: manuales, copias de facturas de servicios proporcionados por terceros, antiguos dispositivos de almacenamiento, listado de teléfonos de empleados y un largo etcétera.

Esta información puede ser utilizada para suplantar identidad o para espionaje que permita realizar un ataque a través de terceros. No siempre nos van a atacar directamente, cuando somos una gran empresa con múltiples proveedores, puede que entre esas facturas que hemos tirado a la basura se encuentre una de las empresas que lleva el mantenimiento de algún elemento informático, PCs, cajeros automáticos, impresoras, el atacante puede encontrar una vulnerabilidad más sencilla atacando al suministrador del servicio.

En el área de concienciación, debemos incluir formación sobre la importancia de utilizar el sistema de destrucción de documentos y de no imprimir aquello que no sea estrictamente necesario.

Eavesdropping

Consiste en escuchar sin consentimiento una conversación, ya sea de forma presencial o a través otro medio. A todos nos viene a la mente la imagen del vaso pegado a la pared y una persona escuchando a sus vecinos, pues bien, en el mundo empresarial ocurre de forma más o menos sofisticada.

Son las 11 de la mañana, varios compañeros deciden bajar a tomar un café a la cafetería más cercana al edificio del trabajo, en la conversación empiezan a hablar de temas de la empresa, de pronto, sin darnos cuenta, estamos dando información a cualquiera que pueda estar escuchando que podrá utilizar para diseñar un ataque de ingeniería social. Te recomiendo el libro Eavesdropping on Bar Talk: A Collection of True Case Stories.

Hay por supuesto métodos que implican la escucha sobre elementos tecnológicos, desde micrófonos direccionales de largo alcance, dispositivos de transmisión por ráfaga que almacenan más de una hora de conversación y la envían en pocos segundos, escuchas a través del teléfono, de redes, cable, fibra o wifi.

Shoulder surfing

Es una técnica de observación directa, imagínate en una cafetería de esas que ponen tu nombre en el vaso, con tu portátil, en una mesa, te dispones a conectarte a la VPN de tu empresa y no te percatas de que tienes a alguien mirando desde la mesa de atrás. Es solo un ejemplo de shoulder surfing. Hay muchos otros, vas en transporte público, hay un sitio libre, te sientas y estás con tu móvil enviando correos o mensajes, ¿no has sentido nunca que alguien estaba a tu lado leyendo tu conversación?.

Uno de los primeros casos, y más sonados, ocurrió en 1987, cuando dos hackers obtuvieron las credenciales del servicio Prestel (videotexto) de BT, obtenidas de un ingeniero de BT mediante esta técnica. Una vez dentro del servicio Prestel consiguieron un camino para hackear la cuenta del correo electrónico del Duque de Edimburgo.

Hoy en día el shoulder surfing se sigue haciendo de esta forma pero también haciendo uso de nuevas tecnologías como drones o mini cámaras de alta calidad.

Tailgating

O cómo obtener acceso a zonas no autorizadas. Esto en ocasiones ocurre por descuidos, por ejemplo, creo que me he dejado la tarjeta de acceso en casa, cuando en realidad nos la han robado, en otras ocasiones por cortesía, abrimos la puerta de acceso al edificio y por educación sujetamos la puerta para que la persona que venía, pero no que no conocemos, pase. Y en otras ocasiones por casualidades.

Recuerdo, hace no mucho tiempo, que en la empresa para la que trabajaba estábamos esperando una visita de una persona de una delegación de otro país, avisamos a seguridad para que estuvieran atentos: “Manuel, sobre las 15.00 viene una persona a vernos, no habla nada de español, es de (omito la nacionalidad), por favor cuando llegue, si no hemos vuelto de comer, dale acceso y que nos espere en la quinta planta en la zona de las salas de reunión”.

Llegó una persona de esa nacionalidad a las 14:30, le preguntaron en inglés si venía a vernos y por supuesto dijo que si, firmó en la entrada y le dieron una tarjeta de acceso indicándole que esperara en la quinta planta, que llegaríamos en 30 minutos. Le bastaron 10 para darse un paseo por el resto de plantas de la oficina y recoger todos los móviles que se habían quedado cargando en las mesas mientras la gente estaba comiendo.

Baiting

Implica utilizar la curiosidad, la ingenuidad o incluso la avaricia para atacar a la víctima. Imagina que estás delante de tu ordenador navegando y de pronto se abre una ventana indicándote que eres el ganador de un premio por ser de un operador de telecomunicaciones, que casualmente resulta ser el que tienes contratado.

O vas al baño de la oficina, te encuentras un dispositivo USB que alguien ha olvidado allí, por supuesto no vas a picar, no lo vas a abrir en la oficina para que alguien te vea, te lo llevas a casa y allí está, un documento con las nóminas de todos los empleados, claro, cuando lo abres ya eres la víctima y has activado algún tipo de malware.

Office Snooping

Esta práctica nos recuerda la importancia de una mesa limpia. Los hackers, tratan de aprovechar el momento en que te ausentes de tu lugar de trabajo, para poder ojear toda la información visible y accesible que has dejado por exceso de confianza.

Los sistemas que, para aumentar la seguridad, obligan al cambio de contraseña cada cierto tiempo, provocan que, aún hoy, mucha gente se olvide y la tenga en una papel, guardada en el cajón o apuntada en un cuaderno encima de la mesa. En periodos de vacaciones es aún peor, he escuchado muchas veces: “en dos semanas no me voy a acordar, mejor la dejo en un cuaderno en mi cajón, total, nadie va a abrirlo”. También ocurre aquello de, soy un gran directivo, para algo tengo secretaria o secretario, toma mi contraseña y encárgate de gestionar mis correos.

Tened en cuenta que la práctica de mesa limpia no es solo no apuntar la contraseña ni el usuario en post-it o cuadernos, implica también:

• Cuando te ausentes del puesto, aunque sea a tomar un café, guarda la documentación de trabajo.

• No tengas a la vista documentación confidencial o sensible.

• Bloquea el equipo cuando te levantes.

• No me dejo dispositivos de almacenamiento extraíbles sobre la mesa.

• Cierro las cajoneras con llave.

Quid Pro Quo

El atacante consigue información a cambio de un teórico beneficio.

Hay varios ejemplos, uno típico, que además es ingeniería social inversa, es que el atacante provoca algún tipo de problema en tu ordenador, por ejemplo interfiere la banda de la red wifi y de pronto no tienes acceso a Internet. Casualmente recibes una llamada, “Hola, soy del departamento de IT, esta mañana estamos teniendo algunos problemas con el acceso a Internet, ¿puedes intentar navegar?”, por supuesto no puedes, el atacante irá ganando tu confianza hasta que, para solucionarlo, te pedirá las credenciales de acceso, al dárselas, en un minuto, el problema desaparece, no parece necesario avisar a seguridad.

Otro ejemplo típico es la supuesta realización de un estudio para una importante compañía y solo por responder te harán un regalo, entre las preguntas que contestarás seguramente habrá alguna relacionada con las preguntas de seguridad, el nombre de tu mascota, cuál fue tu primer coche...

Phishing

Es sin duda el ataque de ingeniería social más conocido, y aun así supone un alto porcentaje de los ataques que se registran.

El phishing utiliza como medio el correo electrónico, enviando algún tipo de engaño para que la víctima comparta su información privada. Casi siempre los correos traen un excelente diseño, esperando no despertar ningún tipo de sospecha, y juegan con el engaño y muchas veces con las emociones de la víctima.

Hay multitud de ejemplos de phishing, correos que simulan ser de la Agencia Tributaria, de Correos, de Amazon, de entidades Bancarias, en todos los casos van a intentar que introduzcamos datos confidenciales o credenciales de acceso.

A modo de ejemplo te indicamos algunos de los elementos importantes a revisar atendiendo a los últimos ataques que están llegando:

• Llega un mensaje por una red social profesional, de un contacto nuestro o de un head hunter, que nos ofrece una oportunidad de trabajo. Lo único que nos pide es que accedamos con nuestras credenciales de Microsoft a un documento publicado en OneDrive que detalla las condiciones de la oferta. Revisa el enlace antes de acceder, es un phishing clásico.

• Llega un correo electrónico desde un origen que nos parece fiable, un compañero de la empresa nos comparte un enlace a un documento en Google Drive, todo correcto salvo que cuando ponemos el ratón sobre el enlace, ni es un enlace https (seguro), ni el dominio es el legítimo. Fíjate siempre en el enlace y desconfía, se parecen pero suele cambiar una letra, añadir un guion o la parte inicial del enlace es exacta pero el final no.

• Llega un correo de Dropbox indicándote que tienes el almacenamiento lleno, cuando pinchas en el botón de Actualizar tu Dropbox te lleva a una página similar, introduces tus credenciales y no te habías fijado que el dominio era Droppox.

• Correo de Google avisándote de que alguien desde algún lugar remoto ha intentado acceder a tu cuenta, por supuesto Google te dice que estés tranquilo, Google ha detenido el intento pero debes cambiar tu contraseña de inmediato. Revisa el remitente, están llegando de dominios que incluyen la palabra Google pero no son legítimos, además al pasar el ratón sobre el enlace para cambiar contraseña descubrirás un dominio distinto a Google.

Si te interesa el Phishing y cómo protegernos te recomendamos nuestro artículo ¿Podemos protegernos contra el phishing?

Vishing

Es similar al Phishing salvo que el medio utilizado es la llamada de voz. Hace unos años había un programa en la radio, Prueba de novios, ¿lo has escuchado alguna vez?. Si lo escuchas te sorprenderá la capacidad de persuasión y manipulación que se puede ejercer con la voz y que con un correo electrónico no se conseguiría.

En muchos casos somos más vulnerables cuando en lugar de un correo, recibimos una llamada de un sistema automático con una voz grabada que nos pide, siguiendo la nueva política de seguridad de seguridad, que verifiquemos nuestra información: nombre, fecha de cumpleaños o el nombre de nuestra mascota.

Si has visto la serie Mr. Robot en el primer capítulo de la primera temporada hay un ejemplo clásico de Vishing, Elliot, tras buscar información sobre datos personales a través de redes sociales, hace una llamada a su víctima, se identifica como miembro del departamento de fraudes de seguridad de su banco, genera sensación de urgencia indicando que su cuenta bancaria se ha visto comprometida, genera credibilidad proporcionando datos fiables, conoce su dirección, y entonces lanza una batería de preguntas rápidas sobre sus preguntas de seguridad. Con los datos obtenidos lanza un ataque de fuerza bruta.

En general haciendo uso de programación neurolingüística, los hackers consiguen que la víctima empatice y sea más vulnerable.

SMiShing

Estamos ante una nueva variante del phishing pero en este caso haciendo uso de mensajes al teléfono móvil (SMS). Como en los casos anteriores, cuanta más información tengan de la víctima, más sencillo será que el atacante tenga éxito.

En el año 2019 tuvimos un ataque que consiguió suplantar la identidad del servicio de Correos, nos indicaba que un paquete no se había podido entregar por unos aranceles aduaneros pendientes de pago y seguidamente aparecía un enlace para seguir las instrucciones.

Otro ataque típico es el que nos indica que nuestro Apple ID ha sido bloqueado debido a intentos de acceso no autorizados, nos pide que verifiquemos nuestra identidad en un enlace, lo que estaremos haciendo es regalar nuestro datos de acceso.

Tenemos multitud de ejemplos y cada día se vuelven más sofisticados, más creíbles, debemos desconfiar siempre de este tipo de mensajes SMS.

Scareware

Este tipo de ataque explota nuestros miedos y muchas veces nuestro desconocimiento.

Mientras navegas tranquilamente con tu portátil o tu dispositivo móvil, de pronto se abre una ventana que nos avisa “tu equipo ha sido infectado” y te invitan a descargar un software, nunca lo hagas, no es tu antivirus el que te está avisando.

En los últimos tiempos y con la proliferación de las cámaras en nuestros dispositivos, se están realizando envíos masivos de mensajes indicando abiertamente que son hackers y que te han grabado haciendo algo íntimo, se ofrecen a no difundir un material, que no tienen, previo pago. Os sorprendería la cantidad de gente que ha pagado.

Hoax

Se valen del engaño para difundir un correo electrónico con información falsa, el objetivo es extenderse, encontraremos algunos como alertas de virus informático, estafas, o informaciones sensacionalista y un poco insólitas. Los hoax se extienden de forma exponencial, si te llega un correo o un mensaje que dice Leer y difundirlo!!! seguramente sea un hoax.

Pretexting

Se basa en la suplantación de identidad para conseguir información confidencial. Un ejemplo típico, que hemos visto en la películas pero pasa en la vida real, es conseguir una tarjeta de acceso de algún empleado, es una forma de suplantación de identidad. Otra muy típica es la de suplantar la identidad del CEO o de un miembro del comité de dirección. Recibir una llamada o un correo electrónico del CEO suele ser muy convincente.

Conclusiones

La única forma de trabajar sobre nuestra propia vulnerabilidad es mediante la formación y la concienciación. Es importante aplicar políticas de ciberconcienciación en las empresas, ir más allá de la cartelería y las newsletters, y sin abandonar los canales clásicos, apostar por otros canales más innovadores como la gamificación, la realidad virtual o el microlearning.

Debemos tener en cuenta que el teletrabajo está completamente extendido y esto supone un riesgo adicional, en general nuestra red en el hogar es menos segura que la de la oficina, además si imprimimos documentos en casa suelen acabar en la basura. La ciberconcienciación es cada día más global.