¿Qué es la ingeniería social?

Un correo electrónico que parece ser de un compañero de confianza que solicita información confidencial, un buzón de voz amenazante que dice ser la Agencia Tributaria o una oferta lucrativa de un potentado extranjero. Estos son solo algunos ejemplos de ingeniería social. Dado que la ingeniería social utiliza la manipulación psicológica y explota los errores o debilidades humanas en lugar de las vulnerabilidades técnicas o digitales de los sistemas, a veces se la denomina "hackeo humano".

Los ciberdelincuentes utilizan con frecuencia tácticas de ingeniería social para obtener datos personales o información financiera, incluidas credenciales de inicio de sesión, números de tarjetas de crédito, números de cuentas bancarias y números de Seguro Social. Utilizan la información que han robado para el robo de identidad, lo que les permite realizar compras utilizando el dinero o crédito de otras personas, solicitar préstamos en nombre de otra persona, solicitar beneficios de desempleo de otras personas y más.

Pero un ataque de ingeniería social también puede ser la primera fase de un ciberataque a gran escala. Por ejemplo, un ciberdelincuente podría engañar a una víctima para que comparta un nombre de usuario y una contraseña. Luego, utilice esas credenciales para plantar ransomware en la red del empleador de la víctima.

La ingeniería social es atractiva para los ciberdelincuentes porque les permite acceder a redes, dispositivos y cuentas digitales sin tener que hacer el difícil trabajo técnico de sortear firewalls, software antivirus y otros controles de ciberseguridad.

Esta es una de las razones por las que la ingeniería social es la principal causa de compromiso de la red hoy en día, según el informe Estado de la Ciberseguridad 2022 de ISACA. Según el informe Cost of a Data Breach de IBM, las vulneraciones causadas por tácticas de ingeniería social (como el phishing y el correo electrónico empresarial comprometido) fueron las más costosas.

Las tácticas y técnicas de ingeniería social se basan en la ciencia de la motivación humana. Manipulan las emociones e instintos de las víctimas de formas que se ha demostrado que llevan a las personas a tomar medidas que no son las más convenientes para sus intereses.

La mayoría de los ataques de ingeniería social emplean una o más de las siguientes tácticas:

• Suplantando la identidad de una marca de confianza: los estafadores suelen suplantar o simular a empresas que las víctimas conocen, en las que confían y con las que quizás hacen negocios a menudo o con regularidad, con tanta regularidad que siguen las instrucciones de estas marcas por reflejo, sin tomar las debidas precauciones. Algunos estafadores de ingeniería social utilizan kits ampliamente disponibles para montar sitios web falsos que se asemejan a los de grandes marcas o empresas.

• Hacerse pasar por una agencia gubernamental o una figura de autoridad: las personas confían, respetan o temen a la autoridad (en diversos grados). Los ataques de ingeniería social juegan con estos instintos con mensajes que aparecen o afirman provenir de agencias gubernamentales (por ejemplo: el FBI o Hacienda), figuras políticas o incluso famosos.

• Inducir miedo o sensación de urgencia: la gente tiende a actuar precipitadamente cuando tiene miedo o prisa. Las estafas de ingeniería social pueden utilizar diversas técnicas para inducir miedo o urgencia en las víctimas. Por ejemplo, decirle a la víctima que una transacción de crédito reciente no fue aprobada, que un virus ha infectado su ordenador, que una imagen utilizada en su sitio web viola los derechos de autor, etc. La ingeniería social también puede apelar al miedo de las víctimas a perderse algo (FOMO), lo que crea un tipo diferente de urgencia.

• Apelar a la codicia: la estafa del príncipe nigeriano, un correo electrónico en el que alguien que dice ser un miembro de la realeza nigeriana que intenta huir de su país y ofrece una gigantesca recompensa económica a cambio de los datos de la cuenta bancaria del destinatario o de un pequeño anticipo, es uno de los ejemplos más conocidos de ingeniería social que apela a la codicia. Este tipo de ataque de ingeniería social también puede provenir de una supuesta figura de autoridad y crea una sensación de urgencia, lo que constituye una poderosa combinación. Esta estafa es tan antigua como el propio correo electrónico, pero en 2018 todavía recaudaba 700.000 dólares al año.

• Apelar a la amabilidad o la curiosidad: las tácticas de ingeniería social también pueden apelar a la naturaleza bondadosa de las víctimas. Por ejemplo, un mensaje que parece provenir de un amigo o de una red social puede ofrecer ayuda técnica, solicitar participación en una encuesta, afirmar que la publicación del destinatario se ha vuelto viral y proporcionar un enlace falso a un sitio web falso o a la descarga de malware.

Los ataques de phishing son mensajes digitales o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software malicioso, transfieran dinero o activos a las personas equivocadas o realicen alguna otra acción perjudicial. Los estafadores elaboran los mensajes de phishing para que parezcan o suenen como si procedieran de una organización o persona de confianza o creíble; a veces, incluso de una persona a la que el destinatario conoce personalmente.

Hay muchos tipos de fraude por phishing:

• Los correos electrónicos masivos de phishing se envían a millones de destinatarios a la vez. Parece que los envía una empresa u organización grande y conocida, como un banco nacional o mundial, una gran tienda en línea, un popular proveedor de pagos en línea, etc. En estos correos electrónicos hacen una solicitud genérica como "estamos teniendo problemas para procesar su compra, actualice su información de crédito". Con frecuencia, estos mensajes incluyen un enlace malicioso que lleva al destinatario a un sitio web falso que captura el nombre de usuario, la contraseña, los datos de la tarjeta de crédito y mucho más.

• El spear phishing tiene como objetivo una persona concreta, normalmente alguien con acceso privilegiado a la información de los usuarios, a la red informática o a los fondos de la empresa. Un estafador investiga al objetivo, a menudo utilizando información que se encuentra en LinkedIn, Facebook u otras redes sociales para crear un mensaje que parezca proceder de alguien que el objetivo conoce y en quien confía o que haga referencia a situaciones con las que el objetivo está familiarizado. Whale phishing es un ataque de suplantación de identidad rápida que se dirige a una persona de alto perfil, como un CEO o un conocido cargo político. En correo corporativo comprometido (business email compromise o BEC), el pirata informático utiliza credenciales comprometidas para enviar mensajes de correo electrónico desde la cuenta de correo electrónico real de una figura de autoridad, lo que hace que la estafa sea mucho más difícil de detectar.

• El phishing de voz o vishing, es el phishing que se realiza a través de llamadas telefónicas. Las personas suelen experimentar vishing en forma de llamadas grabadas amenazantes que dicen ser del FBI.

• El phishing por SMS, o smishing, es el phishing a través de un mensaje de texto.
   

• La suplantación de identidad en los motores de búsqueda implica que los piratas informáticos creen sitios web maliciosos que ocupan un lugar destacado en los resultados de búsqueda para los términos de búsqueda más populares.

• Angler phishing es una variante del phishing que consiste en la suplantación de identidad mediante cuentas falsas en las redes sociales, las cuales se hacen pasar por las cuentas oficiales de los equipos de atención al cliente o servicio de atención al cliente de empresas de confianza.

Según el IBM X-Force Threat Intelligence Index, el phishing es el principal vector de infección de malware, identificado en el 41 % de todos los incidentes. Según el informe Cost of a Data Breach, el phishing es el vector de ataque inicial que conduce a las vulneraciones de datos más costosas.

Mediante un señuelo se atrae (sin doble sentido) a las víctimas para que, consciente o inconscientemente, faciliten información confidencial o descarguen código malicioso, tentándolas con una oferta valiosa o incluso un objeto de valor.

La estafa del príncipe nigeriano es probablemente el ejemplo más conocido de esta técnica de ingeniería social. Ejemplos más actuales son las descargas gratuitas de juegos, música o software infectados con malware. Aunque algunas estratagemas utilizadas como señuelo no son nada elaboradas. Por ejemplo, algunos actores de amenazas dejan unidades USB infectadas con malware donde la gente las encuentra, cogen y utilizan porque "oye, un USB gratis".

En el tailgating, también llamado «piggybacking», una persona no autorizada sigue de cerca a una persona autorizada hasta una zona que contiene información sensible o activos valiosos. El seguimiento puede realizarse en persona, por ejemplo, un actor de amenazas puede seguir a un empleado a través de una puerta desbloqueada. Pero el seguimiento también puede ser una táctica digital, como cuando una persona deja un ordenador desatendido mientras sigue conectada a una cuenta o red privada.

En el pretexto, el actor de la amenaza crea una situación falsa para la víctima y se hace pasar por la persona adecuada para resolverla. Con frecuencia (y lo que es más irónico), el estafador afirma que la víctima se ha visto afectada por una violación de seguridad y, a continuación, se ofrece a realizar las correcciones, para lo cual la víctima le proporcionará información importante sobre su cuenta o el control de su ordenador o dispositivo. Técnicamente hablando, casi todos los ataques de ingeniería social implican algún grado de pretexto.

En una estafa quid pro quo, los piratas informáticos ofrecen un bien o servicio deseable a cambio de la información confidencial de la víctima. Ganar concursos falsos o recompensas de fidelidad aparentemente inocentes ("gracias por su pago, tenemos un regalo para usted") son ejemplos de estratagemas quid pro quo.

También considerado una forma de malware, el scareware es un software que utiliza el miedo para manipular a las personas para que compartan información confidencial o descarguen malware. El scareware suele adoptar la forma de un falso aviso de las fuerzas de seguridad acusando al usuario de un delito, o de un falso mensaje de soporte técnico advirtiéndole de la presencia de malware en su dispositivo.

Derivado de la frase "alguien envenenó el abrevadero": inyectan código malicioso en una página web legítima frecuentada por sus objetivos. Los ataques de abrevadero son responsables de todo, desde el robo de credenciales hasta las descargas involuntarias de ransomware de tipo «drive-by».

Los ataques de ingeniería social son notoriamente difíciles de prevenir porque se basan en la psicología humana en lugar de las vías tecnológicas. La superficie de ataque también es significativa: en una organización más grande, basta el error de un solo empleado para comprometer la integridad de toda la red de la empresa. Algunas de las medidas que recomiendan los expertos para mitigar el riesgo y el éxito de las estafas de ingeniería social incluyen lo siguiente:

• Formación de concienciación sobre seguridad: muchos usuarios no saben identificar los ataques de ingeniería social. En una era en la que los usuarios intercambian con frecuencia información personal por bienes y servicios, no se dan cuenta de que entregar información aparentemente banal, como un número de teléfono o la fecha de nacimiento, puede permitir a los piratas informáticos vulnerar una cuenta. La formación sobre concienciación en materia de seguridad, combinada con políticas de seguridad de datos, puede ayudar a los empleados a comprender cómo proteger sus datos sensibles y cómo detectar y responder a los ataques de ingeniería social en curso.

• Políticas de control de acceso: las políticas y tecnologías de control de acceso seguro, incluyendo la autenticación multifactor, la autenticación adaptativa y un enfoque de seguridad zero trust pueden limitar el acceso de los ciberdelincuentes a la información y los activos sensibles de la red corporativa, incluso si obtienen las credenciales de inicio de sesión de los usuarios.

• Tecnologías de ciberseguridad: los filtros antispam y las pasarelas seguras de correo electrónico pueden evitar de entrada que algunos ataques de phishing lleguen a los empleados. Los firewalls y el software antivirus pueden mitigar el alcance de los daños causados por los atacantes que acceden a la red. Mantener los sistemas operativos actualizados con los últimos parches también puede cerrar algunas vulnerabilidades que los atacantes explotan mediante ingeniería social. Además, las soluciones avanzadas de detección y respuesta, incluidas detección y respuesta de endpoint (EDR) y detección y respuesta ampliada (XDR), pueden ayudar a los equipos de seguridad a detectar y neutralizar rápidamente las amenazas a la seguridad que infectan la red mediante tácticas de ingeniería social.