La Ingeniera Social tiene un papel fundamental en una gran cantidad de
ciberataques, ms all de lo grande, pequeo o sofisticado que sea el crimen.
De hecho, como ya observ el investigador senior de ESET David Harley en alguna ocasin anterior, siempre se ha mantenido como una constante a lo largo de toda la historia de la seguridad de Internet. Pero, qu es exactamente? En su sentido ms amplio, la Ingeniera Social se basa en la manipulacin psicolgica, es decir, intenta lograr que las dems personas hagan las cosas que uno quiere que hagan. Por ejemplo, podras manipular a un polica de trnsito para evitar pagar la multa de un vehculo mal estacionado, o adular a tu empleador para obtener un aumento salarial. En el contexto del crimen ciberntico, es ampliamente descrita como un mtodo no tcnico utilizado por los cibercriminales para obtener informacin, realizar fraudes u obtener acceso ilegtimo a los equipos de las vctimas. La Ingeniera Social se basa en la interaccin humana y est impulsada por personas que usan el engao con el fin de violar los procedimientos de seguridad que normalmente deberan haber seguido. LA INGENIERA SOCIAL SE BASA EN LA MANIPULACIN PSICOLGICA Los ataques de Ingeniera Social comunes incluyen correos electrnicos de phishing, vishing (llamadas telefnicas de personas que se hacen pasar por una organizacin respetada) y baiting (del ingls carnada, donde el atacante carga unidades de USB con malware y luego simplemente espera que el usuario las conecte a su mquina).
La Ingeniera Social tambin se extiende a las bsquedas de empresas y de
amigos en LinkedIn y Facebook respectivamente, donde los criminales utilizan las redes sociales para generar confianza y obtener datos. Con bastante frecuencia, el resultado final es la extorsin o el robo. Esto incluye la prctica de robar algo pequeo para despistar y luego poder robar algo ms grande, y la prctica de ingresar ilcitamente a zonas seguras aprovechando la entrada de otra persona con permiso de acceso. Hace poco, en el Reino Unido, un estafador utiliz Ingeniera Social durante su condena para escapar de prisin. Us un telfono mvil ilcito para crear una cuenta de correo electrnico falsa, se hizo pasar por un empleado de la suprema corte y luego envi sus instrucciones de libertad bajo fianza a los funcionarios de la prisin. Lo liberaron por error, pero ms tarde se entreg. Los cibercriminales utilizan estos tipos de ataques por diversos motivos, como ya explicamos. No cabe duda de que es un arma eficaz, que les permite robar credenciales privilegiadas, infectar a las personas con malware e incluso asustarlas con un scareware intil y peligroso para que hagan un pago. La mayor parte del tiempo, su objetivo final es robar dinero y datos, o asumir la identidad de la vctima. Es fcil de hacer y tiene un bajo costo: el reconocido consultor de seguridad Kevin Mitnick una vez dijo que era ms fcil engaar a alguien para que d su contrasea de ingreso a un sistema que hacer el esfuerzo para hackearlo. Con todo esto en mente, a continuacin mencionamos cinco aspectos que debes conocer sobre la Ingeniera Social.
1. Es fsica y digital
La Ingeniera Social es una antigua estafa que se manifiesta en todos los
mbitos de la vida, por lo que sera un error pensar que se trata de algo nuevo o que solo se ve en el mundo online.
De hecho, se ha utilizado en el mundo fsico desde hace muchsimo tiempo. Hay
numerosos ejemplos de delincuentes que se hicieron pasar por jefes del cuartel de bomberos, tcnicos, exterminadores y personal de limpieza, con el nico propsito de entrar en el edificio de una empresa determinada y robar secretos corporativos o dinero. Recin mucho ms tarde, en algn momento de la dcada de 1990, el vishing se hizo popular, seguido por el correo electrnico de phishing. 2. Su calidad es muy variable
La calidad de las estafas vara ampliamente. Por cada ingeniero social
sofisticado que enva correos electrnicos de phishing iguales a los autnticos o que hace llamadas de vishing, habr muchos otros que hablan mal el idioma, que tienen argumentos sin lgica e informacin confusa. Probablemente ya te hayas cruzado con una serie de estos personajes: en los correos electrnicos dudosos de un banco nigeriano, o en los que aseguran que ganaste la lotera en otro pas: hay muchos ejemplos de intentos lamentables de fraude.
3. Los pases tambin la usan
En un nivel mucho ms elevado, los estados-nacin estn participando
activamente en campaas de Ingeniera Social, o al menos las usan como parte de ataques mucho ms sofisticados: las amenazas persistentes avanzadas (APT). Este tipo de espionaje online cumple un rol importante en los esfuerzos cibernticos de pases como los Estados Unidos y China, como lo revel una publicacin de Wired. Mientras que el trmino APT sugiere el uso de tecnologa maliciosa sofisticada, los ataques APT a menudo se basan en la antigua tctica de Ingeniera Social con el fin de logar la introduccin inicial en un sistema, coment Harley recientemente.
Cuando el objetivo del intruso es el fraude o el espionaje, preferentemente
ataca el sistema de personas con un puesto alto dentro la organizacin, de modo de tener acceso a datos confidenciales.
4. Es probable que no te des cuenta del ataque
Lo ms preocupante acerca de los ataques de este tipo es que no hay una
advertencia inmediata, no hay ninguna seal clara de que te estn atacando o de que tu equipo fue infectado. No aparece ninguna ventana emergente pidiendo bitcoins (como con CryptoLocker y otros tipos de ransomware), ni un anuncio de scareware que intenta convencerte para que descargues una aplicacin o para que llames a un centro de servicio tcnico. La mayor parte del tiempo, los delincuentes llevan a cabo su ataque, roban los datos que buscan y luego desaparecen. Y si se trata de robo de datos, probablemente nunca te enteres de la infeccin, y mucho menos si tus datos se estn vendiendo ilegalmente en la Dark Web. 5. Se enfoca principalmente en las empresas La Ingeniera Social afecta a todos, pero los estafadores la utilizan cada vez ms para atacar las grandes corporaciones y las PyME: 2014 se describi como el ao en que los cibercriminales pasaron al sector empresarial.
Un informe de la industria de principios de 2015 revel que se est usando la
Ingeniera Social para atacar especficamente a los mandos medios y altos ejecutivos. La razn es porque son como una mina de oro, explic en aquel entonces Richard De Vere, consultor de Ingeniera Social y pentester en The AntiSocial Engineer Limited.
Si ests preparando un correo electrnico de phishing, LinkedIn es una mina de
oro de donde puedes sacar los datos de los mandos medios y altos ejecutivos, le dijo a SC Magazine. Las herramientas automatizadas pueden hacer rpidamente una lista de cientos de direcciones de correo electrnico, con los datos de los usuarios y sus credenciales de VPN/OWA/Active Directory.