Ingeniería Social: Técnicas utilizadas por los ciberdelincuentes y Cómo protegerse

¿Qué es la ingeniería social?

La ingeniería social basa su comportamiento en una premisa básica: es más fácil manejar a las personas que a las máquinas. Para llevar a cabo este tipo de ataque se utilizan técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al ciberdelincuente.

Los ataques de ingeniería social usan como canal principal para su propagación el correo electrónico gracias a su uso masivo tanto por empresas, como por particulares. Pero no es la única vía de la que hacen uso los ciberdelincuentes, ya que pueden utilizar otros canales de comunicación como llamadas telefónicas, aplicaciones de mensajería, redes sociales, etc.

Los ataques de ingeniería social se pueden dividir en dos tipos distintos dependiendo del número de interacciones que requieran por parte del ciberdelincuente.

• Hunting

Este tipo de ataques buscan afectar al mayor número de usuarios realizando, únicamente, una comunicación. Son comunes en campañas de phishing, como los realizados contra entidades energéticas o bancarias.

También son utilizados en ataques cuyo objetivo es realizar una campaña de infección por malware, como las que se llevaron a cabo para realizar ataques de ransomware:

• Farming

En los ataques de farming los ciberdelincuentes realizan varias comunicaciones con las víctimas hasta conseguir su objetivo u obtener la mayor cantidad de información posible. Algunos ejemplos de este tipo de ataques son los que buscan infundir miedo en las víctimas por medio de supuestos videos privados o futuros ataques contra su empresa.

En otros casos, como sucede en el fraude del CEO o más recientemente el de RRHH, los ciberdelincuentes suplantan a un miembro de la empresa y utilizan diferentes técnicas de ingeniería social para conseguir su objetivo..

¿Qué técnicas utilizan los ciberdelincuentes en los ataques de ingeniería social?

A pesar de ser múltiples y varias las técnicas utilizadas por los ciberdelincuentes para manipular a sus víctimas, suelen seguir una serie de principios básicos:

• Respeto a la autoridad. Por norma general, nosotros como trabajadores y ciudadanos en general, respetamos la autoridad de nuestros superiores, bien sea dentro de la organización o en la vida cotidiana. Este tipo de ataques se basa en ese respeto que tenemos a nuestros responsables y a autoridades como las Fuerzas y Cuerpos de Seguridad del Estado.
• Voluntad de ayudar. Sobre todo en los entornos laborales, los trabajadores, generalmente, cuentan con esta voluntad de ayudar a los compañeros en todo lo posible. Por este motivo, los ciberdelincuentes pueden hacerse pasar por un falso empleado de la empresa. Otra variante utilizada, es hacerse pasar por un técnico de informática para instalar herramientas de acceso remoto no autorizado.
• Temor a perder un servicio. Esta técnica es habitualmente utilizada en campañas de phishing. Bajo el pretexto de existir repetidos accesos no autorizados, cambio en las políticas o cualquier otro engaño, los ciberdelincuentes fuerzan a la víctima acceder a una web fraudulenta donde roban información confidencial.
• Respeto social. En algunos casos, los ciberdelincuentes basan su estrategia en el miedo que tienen los usuarios a no ser socialmente aceptados o a perder su reputación. Esto es habitual en los correos de sextorsión, donde los ciberdelincuentes amenazan con difundir un supuesto video privado que en realidad no existe.
• Gratis. Este tipo de engaño se basa en ofrecer un producto o servicio gratis a cambio de información privada. Este tipo de fraude suele llevarse a cabo por medio de páginas web emergentes que suelen aparecer cuando se navega por sitios poco legítimos. También es común en mensajes de redes sociales o aplicaciones de mensajería.

¿Cómo protegerse contra los ataques de ingeniería social?

La mejor manera de protegerse contra los ataques de ingeniería social es formar y concienciar a los empleados. Un sistema con las medidas de seguridad y tecnologías más modernas no servirá de nada si por medio de un simple correo electrónico el ciberdelincuente consigue información confidencial muy valiosa para la empresa.

Para evitar ataques de ingeniería social no existe una fórmula mágica que permita su identificación, ya que estos pueden ser muy variados y utilizar diferentes técnicas. Puesto que la formación y concienciación son realmente importantes en ciberseguridad, en INCIBE hemos desarrollado varias herramientas con las que mejorarlas y conseguir que tu empresa sea más cibersegura.

• Kit de concienciación. Herramienta con la que implantarás un plan de formación para tus empleados con el que aprenderán a actuar de una manera cibersegura dentro de la organización y en su vida cotidiana.
• Itinerarios interactivos. Formación diseñada específicamente para tu sector, con las amenazas a las que tiene que hacer frente y las medidas de seguridad específicas para proteger la organización.
• Hackend, se acabó el juego. Serious game con el que aprenderás ciberseguridad de una manera amena, mientras te pones en la piel de Maxi Max, el protagonista del juego.

La ingeniería social es una de las técnicas más utilizadas por los ciberdelincuentes para conseguir sus objetivos delictivos. Para minimizar los riesgos de este tipo de fraude, la mejor vía es formar y concienciar a tus empleados.

Fuente: https://www.incibe.es/protege-tu-empresa/blog/ingenieria-social-tecnicas...