Toma conciencia para evitar los ataques de ingeniería social

Publicado el 17/02/2016, por INCIBE
Toma conciencia para evitar los ataques de ingeniería social

¿Has oído hablar alguna vez de la ingeniería social? ¿Sabes realmente de que se trata? En este post vamos a intentar aclarar un poco este concepto tan importante para la seguridad de la información de nuestras empresas.

Así, con este término, nos referimos al uso de técnicas de manipulación psicológica para conseguir que las personas revelemos información sensible o realicemos acciones fraudulentas o no permitidas. Ante esto, la única defensa posible es la concienciación y la sensibilización.

Es decir los ataques de ingeniería social no son muy distintos de los clásicos timos. El ciberdelincuente sigue los mismos pasos que el timador «presencial» de toda la vida: reconocimiento, establecimiento, contacto y confianza, manipulación para obtener su objetivo y marcharse sin levantar sospechas.

El primer paso va a ser intentar reunir toda la información posible sobre la empresa que le pueda ser útil para conocer a su víctima, información como listados de empleados y teléfonos, departamentos, ubicación, proveedores,… ¡No os hacéis ni idea de la de información «gratuita» que mostramos!

A continuación seleccionará una víctima (generalmente un empleado o algún colaborador de la empresa) y tratará de establecer alguna relación que le permita ganarse su confianza utilizando la información obtenida: su banco de confianza, la empresa de mantenimiento informático, una situación particular, etc.

Una vez se ha ganado su confianza, manipula a su víctima para obtener la información que necesita (credenciales, información confidencial,…) o conseguir que realice alguna acción por él (instalar un programa, enviar algunos correos, hacer algún ingreso…).

Las técnicas para conseguir la confianza y manipular a la víctima son diversas y se aprovechan:

  • del respeto a la autoridad, cuando el atacante se hace pasar por un responsable o por un policía;
  • de la voluntad de ser útil, ayudar o colaborar que se aprecia en entornos laborales y comerciales;
  • del temor a perder algo como en los mensajes que tienes que hacer un ingreso para obtener un trabajo, una recompensa, un premio, etc.;
  • de la vanidad, cuando adulan a la víctima por sus conocimientos, su posición o sus influencias;
  • apelando al ego de los individuos al decirles que ha ganado un premio o ha conseguido algo y que para obtenerlo tienen que realizar una acción que en otro caso no harían;
  • creando situaciones de urgencia y consiguiendo los objetivos por pereza, desconocimiento o ingenuidad de la víctima.

Por último, tras conseguir su objetivo, tienen que apartarse sin levantar sospechas. En ocasiones destruyen las pruebas que puedan vincularles con alguna actividad delictiva posterior que ejecuten con la información obtenida (por ejemplo: accesos no autorizados si obtiene credenciales, publicación de información,…) ¡Así podrá seguir haciendo de las suyas sin ser descubierto en el futuro!

Ante esto, y aunque algunas protecciones de seguridad ayudan, la única defensa efectiva es la concienciación y la sensibilización. De esta forma evitaremos ser víctimas de uno de estos timos.

Estos tipos de timos toman diversas formas y tienen distintos objetivos, por ejemplo:

  • Robo de identidad cuando alguien nos suplanta (con nuestro DNI, tarjeta de crédito, cuenta del banco, etc.) generalmente para obtener un beneficio económico (abriendo cuentas o enviando correos en nuestro nombre, comprando, etc.)
  • Phishing mediante la utilización de un correo o una web que suplanta la personalidad o apariencia de una entidad o persona de confianza y nos incita a dar nuestras credenciales de acceso o información sensible, por ejemplo. Cuando se utiliza una llamada de teléfono en lugar de un mensaje de texto, se denomina vishing.

La ingeniería social no es nueva, es tan vieja como la humanidad. ¿Por qué van los cibercriminales a invertir tiempo en desarrollar sofisticados ataques tecnológicos cuando pueden obtener los mismos resultados con un timo de los de toda la vida?

 

«La policía no puede proteger a los consumidores. La gente necesita estar más  atenta y aprender sobre el robo de identidad. Tienen que ser más listos y más  inteligentes, no hay nada malo en ser suspicaz. Vivimos en una época en la que  si no impides que te roben, alguien lo hará». (Frank William Abagnale)  «Mientras mayor es la isla del conocimiento, mas grande son las riberas del  asombro». (Ralph M. Sockman).  Por la ignorancia nos equivocamos, y por las equivocaciones aprendemos.  Proverbio Romano.

 

El mayor error que podemos cometer es enfocarnos sólo en la infraestructura física y tecnológica, y descuidar a las personas. Por lógica, la sensibilización de los empleados no es opcional. Su «sistema operativo» necesita ponerse al día para no caer en engaños que puedan comprometer a toda la empresa.

Existen algunos signos que nos van a permitir distinguir los timos: el tono del mensaje (adulándonos, con urgencia,…), su origen (autoridad,…), etc. Por ello debemos estar atentos a los detalles. Si concienciamos a nuestro personal, serán más hábiles para captar cualquier indicio de ataque de ingeniería social y podrán avisar al responsable a la primera sospecha, evitando daños y pérdidas.

Aunque no existe una única solución para estar a salvo de los ataques de ingeniería social, la formación (aquí tienes un kit de concienciación) puede hacer que seamos más suspicaces ante cualquier intento.

INCIBE ha llevado a cabo una iniciativa que consiste en la impartición de talleres gratuitos sobre ciberseguridad dirigidos a micropymes y autónomos. El objetivo es mejorar la seguridad de las empresas, negocios y proveedores de los diferentes sectores de actividad. Los 70 talleres se han impartido en diferentes ciudades de toda la geografía española desde el 21 de enero de 2016 hasta el 15 de junio de 2016.

Esperamos publicar el contenido de los talleres durante las próximas semanas ¡Estad atentos a esta sección!