¿Cómo prevenir ataques de ingeniería social?

Las diferentes modalidades de trabajo a las que hoy podemos aspirar (remoto o híbrido), han hecho que los ciberdelincuentes tengan en su punto de mira a las personas en lugar de la tecnología. Debido a lo anterior, no es sorpresivo que el 2020, en el punto álgido de la pandemia, la Interpol informará el recibimiento de más de 907.000 mensajes de spam e incidentes relacionados con el malware, y, en todos ellos se aprovechó la COVID-19 como parte de los ataques.

Ninguna organización está a salvo de ataques de ingeniería social. Incluso la empresa de seguridad RSA experimentó una vulneración de datos cuando un pequeño grupo de colaboradores abrieran un archivo adjunto malicioso contenido en un correo electrónico de phishing.

Los equipos de seguridad suelen ser la última línea de defensa de las organizaciones y deben estar atentos a la actividad de cada usuario para poder mitigar los riesgos. Para poder responder a lo anterior,  las organizaciones deben entender cómo funcionan y cómo se presentan los diferentes atacas de cberseguridad. 

¿Cómo funciona la ingeniería social?

Los ataques de ingeniería social se centran en manipular las interacciones humanas y las emociones de las personas como una manera de hacer que los usuarios finales realicen acciones adversas, como compartir información confidencial. Por lo general, estos ataques se aprovechan de las emociones fuertes, como el miedo, y las utilizan para crear una sensación de urgencia para engañar a la gente.

Al tratar de engañar a las personas para que actúen en contra de los intereses de ciberseguridad de su organización, los actores de las amenazas suelen utilizar estrategias como las siguientes:

• Simpatía: Parecer confiable o simpático para generar confianza.
• Reciprocidad: Ofrecer valor, como gangas o consejos que crean una sensación de obligación
• Compromiso/urgencia: Hacer que las personas asuman un compromiso antes de que los riesgos sean evidentes
• Pruebas sociales: Simular que los amigos de la víctima avalan la actividad para generar confianza
• Autoridad: Fingir ser alguien con poder para intimidar a una persona para que realice una acción

¿Por qué es tan peligrosa la ingeniería social?

Dado que los actores de las amenazas se basan en las emociones, los ataques de ingeniería social suelen ser más peligrosos que otras metodologías. La tecnología puede programarse para proporcionar resultados repetibles, lo que facilita su control y validación. Los procesos pueden probarse y repetirse antes de que una organización tenga que utilizarlos.

Como los ataques de ingeniería social utilizan la psicología, las víctimas pueden incluso no ser conscientes de que han sido manipuladas. Por ejemplo, cuando los ciberdelincuentes aprovechan el sesgo de autoridad durante un ataque, a menudo, están manipulando un sesgo cognitivo que las personas no saben que tienen.

Al fin y al cabo, las emociones y los seres humanos son imprevisibles. Las respuestas de las personas a las situaciones cambian en función de diversos factores, como el estado de ánimo y de salud. Para los profesionales de la seguridad, esto crea un riesgo incuantificable, así como la incapacidad de validar controles, como la capacitación sobre ciberseguridad.

Técnicas de ataques de ingeniería social

La mayoría de los ataques de ingeniería social siguen una o más de varias técnicas, como las siguientes:

Baiting

En el baiting, los ciberatacantes utilizan un objeto físico, como una unidad USB, para atraer a las personas y aumentar su curiosidad. A menudo, quieren saber qué contiene la unidad o suponen que se ha perdido y acaban intentando devolverla al propietario. Sin embargo, cuando la insertan en un dispositivo, se instala y ejecuta un malware que recopila información confidencial.

Phishing

El phishing puede ser el tipo de ataque de ingeniería social más habitual. Con el phishing, los ciberdelincuentes envían correos electrónicos falsos a usuarios que parecen legítimos, sugiriendo que el destinatario del correo electrónico actúe cuanto antes. Cuando se hace clic en el enlace del correo electrónico o se descarga el archivo adjunto, el malware se instala y ejecuta en los dispositivos.

El phishing se presenta en diferentes variedades, por ejemplo:

• Vishing: se utilizan llamadas telefónicas en lugar de correos electrónicos
• Smishing: se usan textos en lugar de correos electrónicos
• Spear phishing: se utilizan correos electrónicos falsos personalizados para dirigirse a la víctima
• Whaling: se envían correos electrónicos falsos dirigidos a una víctima específica, a menudo, un miembro del equipo directivo, que parecen proceder de alguien de la organización

Scareware

El scareware, también denominado ataque "quid pro quo", intenta engañar a las personas para que realicen una acción sugiriendo que, si la llevan a cabo, evitarán daños. Por ejemplo, un ataque de scareware puede sugerir que el equipo de un usuario está infectado con un virus y que, al hacer clic en un enlace, se eliminará la infección; pero, en realidad, se implementa el malware.

Pretexto

Tanto si se producen digitalmente como físicamente, los pretextos siguen el mismo patrón. Un pretexto se produce cuando un atacante malicioso investiga, crea una historia viable y, luego, se hace pasar por una persona que se ve como legítima.

Por ejemplo, los ciberdelincuentes pueden hacerse pasar por:

• Personal de TI
• Representantes de un servicio de atención al cliente
• Encuestadores
• Auditores

Farming/Hunting

Un ataque de ingeniería social muy estratégico y arriesgado es el farming o hunting, en el que un ciberdelincuente establece una relación con la víctima y la desarrolla a lo largo del tiempo. Aunque esto puede ser más arriesgado, porque la víctima puede darse cuenta de que el delincuente está actuando, también tiene un mayor beneficio, dado que se construye una base de confianza más sólida.

¿Cómo evitar ser víctima?

Para evitar ser víctimas, las empresas deben asegurarse de contar una capacitación adecuada de concienciación sobre ciberseguridad, como la de SoftwareONE. Al buscar servicios de concienciación sobre ciberseguridad para usuarios, la capacitación debe incluir los siguientes componentes esenciales para:

• Comprobar las fuentes: Revisa la dirección de correo electrónico de los remitentes, los encabezados de los correos electrónicos y cualquier URL antes de hacer clic en ellos
• Revisar la información en el cuerpo de los correos electrónicos: Revisa la cantidad de información y su especificidad
• Revisar el lenguaje utilizado: cuestiona cualquier cosa que se le solicite con urgencia o que tenga una oferta que sea "demasiado buena para dejarla pasar"
• Verificar las solicitudes: contacta directamente con las empresas sin utilizar ninguna información de contacto en los correos electrónicos
• No responda nunca: mantén la información confidencial en privado, como datos personales y corporativos, por ejemplo, nombres de usuario, contraseñas, información de clientes e información de la red

Además, las empresas pueden utilizar tecnologías para evitar ser víctimas, por ejemplo, pueden hacer lo siguiente:

• Reforzar los ajustes de spam
• Implementar software antivirus
• Instalar actualizaciones de parches de seguridad periódicamente
• Utilizar autenticación multifactor

¿Qué debes hacer si crees que estás siendo víctima de un ataque?

Las empresas que piensen que pueden haber sido víctimas de un ataque de ingeniería social deben asegurarse de tener capacidades de detección y respuesta adecuadas implementadas. Cuanto antes pueda responder una empresa a un ataque, menos daños podrá provocar un ciberdelincuente.

Estos son algunos factores que debe tener en cuenta:

• Revisar las alertas y detecciones para determinar la presencia de usuarios o dispositivos comprometidos.
• Restablecer las contraseñas de los usuarios comprometidos
• Rechazar el acceso a la red de dispositivos comprometidos
• Aislar las redes, los sistemas y las aplicaciones comprometidos
• Consultar la red profunda en busca de datos comprometidos
• Informar los incidentes a las fuerzas del orden y los organismos reguladores correspondientes