¿Sabes cómo funciona un ciberataque que utiliza ingeniería social?

Cuando hablamos de ingeniería social, nos referimos a los ciberataques en los que se abusa de la buena fe de las personas para que realicen acciones que puedan interesar al ciberdelincuente. Si lo situamos en el contexto de la ciberseguridad, nos referimos a la manipulación psicológica que tiene como finalidad, por ejemplo, que un usuario haga clic en un enlace, descargue un archivo que infecte su equipo o revele información confidencial, ya sean datos personales, credenciales de acceso, información bancaria, etc. 

En este contexto, a un ciberdelincuente le resultará más sencillo y económico lanzar ataques basados en el engaño o la manipulación que los que requieran de infraestructura o pericia tecnológica para explotar alguna vulnerabilidad informática, aunque con frecuencia se combinan. Así, además del concepto de VIP (Very Important Person), que todos relacionamos con personas famosas, de alto nivel, categoría o posición, hay que añadir el concepto de VAP (Very Attacked Person), acuñado por Proofpoint. Un ejemplo de ambos conceptos lo podríamos ver en el CEO de una empresa, considerado VIP, y que con el tiempo ha pasado a ser el objeto de los ciberdelincuentes, como ocurre en el whaling, el phishing dirigido a «peces gordos». 
Es decir, los ciberdelincuentes han marcado como principal objetivo a las personas que forman parte de las organizaciones, sin importar el puesto que ocupen en la misma, pues se trata de presas fáciles que les podrían permitir llegar a sus objetivos. 

El principal método utilizado para llevar a cabo los ataques basados en ingeniería social es el correo electrónico, ya sea el corporativo o el personal. De esta forma, los ciberdelincuentes utilizan todo tipo de emails: 

• Los de phishing, que intentan obtener (literalmente «pescar») credenciales,
• correos (spoofing), que suplantan la identidad del remitente, 
• los que contienen enlaces a páginas falsas, 
• los que incitan a la descarga de algún archivo malicioso. 

Por ello, es importante saber identificarlos y aplicar medidas para no caer en estos engaños y evitar así que nuestra empresa se vea involucrada, detectando el fraude.

Cada ciberataque de ingeniería social es único, y se identifica como tal. Sin embargo, comparten unas características que hacen que el ciclo de vida sea igual para todos, distinguiéndose cuatro fases:

Recolección de información

A esta fase también se la conoce como footprinting. Esta fase para el ciberdelincuente consiste en acumular toda la información posible sobre la persona o personas que van a engañar: trabajo, entorno, ambiente, etc., para así saber con quién interactúa o con quién se relaciona. Si se trata de una empresa o sus empleados, la información a recopilar será:

• Listas de empleados, números de teléfono, direcciones de correo, etc.
• Organigrama de la organización para idear, por ejemplo, la suplantación de un directivo (lo que se conoce como fraude del CEO).
• Nombres de departamentos, gabinetes, equipos de trabajo, etc.
• Proveedores de servicios tecnológicos, suministradores de material u otro tipo de proveedores, bancos, etc.
• Ubicación física. 

Se trata de una fase previa al engaño, denominada «preataque». 

Establecimiento de una relación de confianza

Una vez que el ciberatacante ha recolectado información que podría ser valiosa para realizar el engaño, comenzará a entablar una relación más cercana con la víctima, que suele ser un empleado de organización. 

En el siguiente ejemplo se puede comprobar cómo en el primer minuto de la conversación con un trabajador, una llamada de un supuesto servicio técnico informático establece esta relación de confianza. En el audio oiremos cómo llamándole por su nombre y mencionando su puesto (datos que habrá obtenido en la fase anterior), presentándose como alguien que conoce (y a quien suplanta), y mencionando que cada año se hace una revisión anual (cosa que seguro que el interlocutor espera), consigue establecer la confianza.

Esta relación de confianza está orientada únicamente a conseguir que le dé acceso a su ordenador, y así, conseguir la información que busca. 

Manipulación

En esta fase el ciberdelincuente ejerce la manipulación psicológica aprovechando la confianza ganada en la etapa anterior. Para ello, utiliza todo tipo de técnicas, por ejemplo, apelando al respeto a la autoridad, a la voluntad de ser útil, al temor a perder algo, a la posición o influencia, a la urgencia, etc. El objetivo será sonsacar todo tipo de información, especialmente la confidencial, que podrá ser posteriormente utilizada para entrar en el sistema que se pretende explotar, sobre todo si son credenciales. Otras veces el objetivo es conseguir que realice alguna acción por él: instalar un programa, enviar algunos correos, hacer algún ingreso…

Salida

Una vez se ha extraído la información que se buscaba, el ciberdelincuente hará todo lo que esté en su mano para impedir que cualquier tipo de sospecha pudiera recaer sobre él, asegurándose de no dejar pruebas que pudieran relacionarle con el ataque. De esta forma, podrá seguir realizando entradas al sistema en un futuro para continuar explotando su fuente de información. 

¿Cómo luchar contra la ingeniería social?

En varias ocasiones, desde Protege tu Empresa, canal de INCIBE hemos puesto de manifiesto que la mejor forma de protegerse contra este tipo de engaños gira en torno a la formación y concienciación de los empleados. Como hemos visto, la ingeniería social no basa su engaño en aspectos tecnológicos sino en las personas, es decir, en los trabajadores de una organización. 

Además, estos pueden ser de muchos tipos y utilizar diferentes técnicas. Por lo tanto, la mejor medicina para combatir este tipo de amenazas será la concienciación de todos los empleados, con independencia de su responsabilidad o el cargo que ostenten dentro de la empresa. Si quieres fomentar sus habilidades, Protege tu Empresa pone a tu disposición diferentes iniciativas formativas gratuitas que podrás usar para conseguir una empresa más segura:

• Kit de concienciación: herramienta para lanzar un plan de concienciación inicial para empleados mediante recursos gráficos, elementos interactivos y ataques dirigidos para entrenarse contra este tipo de amenazas.
• Hackend, se acabó el juego: serious game para aprender jugando, poniéndote en la piel de su protagonista, un empresario al que le suceden todo tipo de percances de ciberseguridad y al que ayudarás a descubrir al ciberdelincuente.
• Formación sectorial: en forma de cortos vídeos interactivos para empresas de sectores de la industria, construcción, salud, ocio, educación, comercio minorista y mayorista, logística, asociaciones y servicios profesionales. En ellos descubrirás todo tipo de amenazas y medidas preventivas para las situaciones de seguridad más comunes en las empresas de tu sector. 

La fórmula para protegerse ante los ataques de ingeniería social es conocer cómo funcionan. Por ello, tenemos que procurar que todos en la empresa reciban la formación y concienciación suficiente para evitar que los ciberdelincuentes consigan sus objetivos. No olvides que los empleados de una empresa son los elementos más importantes de la cadena de la ciberseguridad.