Lo hemos visto mil veces en películas o series de televisión: ciberdelincuentes que se aprovechan de la buena fe o el puro descuido de alguien de la plantilla de una empresa, para colarse por sus sistemas o, simplemente, llevar a cabo una estafa.
Como dicen en el Incibe, se trata de “una de las situaciones más peligrosas para la organización que no puede protegerse con antivirus, cortafuegos, ni con medidas de seguridad similares”. Y su nombre es ingeniería social.
Es una de las situaciones más peligrosas para la organización y no puede prevenirse con medidas de seguridad
Técnicas psicológicas
Consiste en emplear técnicas psicológicas de persuasión basadas en estímulos y reacciones sociales. El objetivo es engañar a la persona –en lugar de al sistema- para que proporcione información confidencial o realice una acción determinada.
“Considera al empleado el eslabón más débil de la cadena y, por tanto, el más susceptible de ser atacado para extraer información confidencial o realizar algún tipo de acción que ponga en riesgo la seguridad de la organización”, explican desde el Incibe.
Considera al empleado el eslabón más débil de la cadena y, por tanto, el más susceptible de ser atacado
Riesgos
Entre los riesgos que provoca la ingeniería social están “permitir el acceso a un empleado externo de la organización (por ejemplo, un fontanero o un repartidor) sin comprobar previamente sus credenciales”.
Otro caso del que ya hemos hablado en El Telescopio es el envío de un correo electrónico en el que se pide el pago de una factura, aparentemente aprobada pero en realidad falsa.
Los ciberdelincuentes se aseguran de que todo parezca ser real: cuentas de correo similares a las de la empresa en cuestión o supuestos emails procedentes de la dirección que ordenan la realización de los pagos, por ejemplo.
El objetivo es conseguir que la víctima realice la acción solicitada por el ciberdelincuente sin pensárselo dos veces
Técnicas
Las principales técnicas de ingeniería social son el hunting y el farming. El primero, muy común en los ataques de phising, busca afectar al mayor número de usuarios posible con una única comunicación. “En los ataques de farming los ciberdelincuentes realizan varias comunicaciones con las víctimas hasta conseguir su objetivo u obtener la mayor cantidad de información posible”, señala el Incibe.
Todas estas tácticas tienen un denominador común: conseguir que la víctima realice la acción solicitada por el ciberdelincuente sin pensárselo dos veces gracias a la confianza que le proporciona el medio en el que recibe la solicitud o la persona que lo realiza.
Elementos comunes
El Incibe ha detectado unos elementos comunes en la mayoría de estos ataques:
Respeto a la autoridad. Por norma general, nosotros como trabajadores y ciudadanos en general, respetamos la autoridad de nuestros superiores, bien sea dentro de la organización o en la vida cotidiana. Este tipo de ataques se basa en ese respeto que tenemos a nuestros responsables y a autoridades como las Fuerzas y Cuerpos de Seguridad del Estado.
Voluntad de ayudar. Sobre todo en los entornos laborales, los trabajadores, generalmente, cuentan con esta voluntad de ayudar a los compañeros en todo lo posible. Por este motivo, los ciberdelincuentes pueden hacerse pasar por un falso empleado de la empresa. Otra variante utilizada, es hacerse pasar por un técnico de informática para instalar herramientas de acceso remoto no autorizado.
Temor a perder un servicio. Esta técnica es habitualmente utilizada en campañas de phishing. Bajo el pretexto de existir repetidos accesos no autorizados, cambio en las políticas o cualquier otro engaño, los ciberdelincuentes fuerzan a la víctima acceder a una web fraudulenta donde roban información confidencial.
Respeto social. En algunos casos, los ciberdelincuentes basan su estrategia en el miedo que tienen los usuarios a no ser socialmente aceptados o a perder su reputación. Esto es habitual en los correos de sextorsión, donde los ciberdelincuentes amenazan con difundir un supuesto video privado que en realidad no existe.
Gratis. Este tipo de engaño se basa en ofrecer un producto o servicio gratis a cambio de información privada. Suele llevarse a cabo por medio de páginas web emergentes que aparecen cuando se navega por sitios poco legítimos. También es común en mensajes de redes sociales o aplicaciones de mensajería.
Como recuerdan desde el Incibe, la única protección contra este tipo de ataques es la concienciación de la plantilla. Por eso han preparado un kit con el que puedes proteger a tu empresa contra la ingeniería social.
