La ingeníera social
Cuando hablamos de ciberseguridad, la mayoría pensamos en defendernos de hackers que utilizan debilidades tecnológicas para atacar las redes de datos. Sin embargo, hay otra manera de colarse en las empresas y redes: se trata de aprovecharse de las debilidades humanas. Esta táctica se conoce con el nombre de «ingeniería social» y consiste en tenderle una trampa a alguien para que divulgue información o conceda acceso a redes de datos.
Por ejemplo, un intruso podría hacerse pasar por miembro del departamento de informática y solicitar a los usuarios que le faciliten datos como sus nombres de usuario y contraseñas. Y sorprende la cantidad de personas que no se lo piensan dos veces a la hora de poner esa información en riesgo, sobre todo si parece que quien la solicita es alguien legítimo.
Dicho en pocas palabras, la ingeniería social es el uso del engaño para manipular a personas de manera que permitan acceder a información y datos o los divulguen.
Tipos de ataques de ingeniería social
Existen varios tipos de ataques de ingeniería social. Por este motivo, es importante entender bien la definición de ingeniería social, además de cómo funciona. Una vez comprendido el modus operandi básico, resulta mucho más fácil detectar ataques de ingeniería social.
Baiting o «anzuelo»
El baiting consiste en tender una trampa, como puede ser dejar al alcance una memoria USB cargada con malware. Si la recoge alguien que siente curiosidad por saber lo que contiene y la conecta a su unidad USB, su sistema quedará infectado. De hecho, hay una memoria USB que es capaz de destruir ordenadores: se carga con la energía del dispositivo USB y luego la libera con una subida de potencia tan fuerte que daña el dispositivo al cual está conectada. (y solo cuesta 54 dólares).
Pretextos
Este ataque utiliza un pretexto para captar la atención y hacer que la víctima pique el anzuelo y proporcione información. Por ejemplo, una encuesta en Internet puede antojarse inofensiva a primera vista y luego solicitar los datos bancarios. O puede presentarse alguien con un portapapeles y anunciarte que están realizando una auditoría de los sistemas internos, pero tal vez esa persona no sea quien dice ser y te sustraiga información valiosa.
Phishing
Los ataques de phishing consisten en enviar un mensaje de correo electrónico o de texto que finge ser de una fuente fiable y en el cual se solicita información. Una variante muy conocida de este tipo de ataques son los mensajes de correo electrónico que fingen proceder de un banco y solicitan a sus clientes que «confirmen» su información de seguridad, cuando, en realidad, lo que hacen es redirigirlos a una página web fraudulenta donde se registran sus credenciales de inicio de sesión. El «spear phising» pone la diana en una única persona de una empresa, a quien supuestamente un ejecutivo de rango superior le envía un mensaje de correo electrónico en el que le solicita información confidencial.
Vishing y smishing Estos tipos de ataque de ingeniería social son variantes del phishing; el «vishing» o «voice fishing» consiste, simplemente, en llamar por teléfono a alguien y solicitarle datos. El delincuente puede hacerse pasar por un colega del trabajo; por ejemplo, puede fingir ser del departamento de informática y solicitar la información de inicio de sesión. Por su parte, el smishing utiliza mensajes SMS para intentar obtener esta información.
Quid pro quo Dicen que «un intercambio justo no es un robo», pero, en este caso, sí que lo es. Muchos ataques de ingeniería social convencen a las víctimas de que obtendrán algo a cambio de los datos o el acceso que proporcionan. El scareware funciona de esta manera y promete a los usuarios de ordenadores una actualización para lidiar con un problema de seguridad urgente cuando, en realidad, es el propio scareware lo que representa esa amenaza maliciosa a la seguridad.
Spam a contactos y hackeo del correo electrónico Este tipo de ataque comporta hackear las cuentas de correo electrónico o redes sociales de una persona para acceder a sus contactos. A continuación, se les comunica a los contactos que la persona ha sufrido un robo o ha perdido todas sus tarjetas de crédito y se les solicita que transfieran dinero a una cuenta. Otra táctica es que un supuesto «amigo» te envíe un «vídeo que no puedes perderte» que incluya malware o un troyano keylogger.
Diferencia entre farming y hunting Por último, cabe tener presente que algunos ataques de ingeniería social son mucho más sofisticados. La mayoría de los planteamientos sencillos que hemos descrito son una forma de «hunting». Básicamente, se trata de entrar, hacerse con la información y largarse.
No obstante, algunos tipos de ataques de ingeniería social implican entablar una relación con la persona objetivo para extraerle información en el transcurso de un período más dilatado. Esta táctica se conoce como «farming» y es más arriesgada para el atacante, porque tiene más probabilidades de ser descubierto. Sin embargo, si la infiltración es fructífera, puede sustraer mucha más información.
Cómo evitar ataques de ingeniería social
Los ataques de ingeniería social son especialmente difíciles de contrarrestar porque están específicamente diseñados para aprovechar rasgos humanos como la curiosidad, el respeto por la autoridad y el deseo de ayudar a un amigo. Existen, no obstante, una serie de consejos que pueden ayudarte a detectar estos ataques de ingeniería social...
Verifica la fuente Plantéate un momento de dónde procede la comunicación, en lugar de confiar en ella a ciegas. Una memoria USB aparece de la nada en tu mesa de trabajo, ¿y no sabes qué es? ¿Recibes porque sí una llamada de teléfono diciéndote que has heredado cinco millones de dólares? ¿El director ejecutivo de tu empresa te envía un correo electrónico solicitándote un montón de información de empleados concretos? Todos estos ejemplos suenan sospechosos y deberían tratarse como tales.
Verificar la fuente no es tan difícil. Por ejemplo, si se trata de un mensaje de correo electrónico, mira la cabecera y contrástala con mensajes válidos del mismo remitente. Comprueba adónde conducen los enlaces: los hipervínculos fraudulentos son fáciles de detectar con solo deslizar el cursor por encima (pero ,sobre todo, no hagas clic en ellos). Comprueba la ortografía: los bancos cuentan con equipos de personas cualificadas dedicadas a elaborar los comunicados que se envían a los clientes, de manera que un mensaje de correo electrónico con faltas de ortografía clamorosas probablemente sea fraudulento.
Si tienes dudas, visita el sitio web oficial y ponte en contacto con un representante autorizado, que estará en disposición de confirmarte si el correo electrónico/mensaje es oficial o fraudulento. ¿Qué saben? ¿A la fuente le faltan datos que pensabas que ya tenía, como tu nombre completo, etc.? Recuerda: si te llaman del banco, deberían tener todos esos datos delante y siempre te formularán preguntas de seguridad antes de permitirte realizar cambios en tu cuenta. De no ser así, la posibilidad de que se trate de un correo electrónico/llamada/mensaje fraudulento es mucho más alta y más vale que receles. Rompe el bucle La ingeniería social suele depender de una cierta sensación de urgencia. Los atacantes esperan que sus objetivos no reflexionen demasiado sobre lo que está sucediendo. Por eso, el mero hecho de tomarte un momento para pensar puede desalentar estos ataques y demostrar exactamente lo que son: timos. Telefonea al número oficial o visita la URL oficial, en lugar de facilitar tus datos por teléfono o hacer clic en un enlace. Utiliza un método de comunicación distinto para comprobar la credibilidad de la fuente. Por ejemplo, si recibes un correo electrónico de un amigo solicitándote que le envíes dinero por transferencia, mándale un mensaje al móvil o llámalo para comprobar que realmente se trata de él. Solicita identificación Uno de los ataques de ingeniería social más sencillos consiste en saltarse los controles de seguridad de entrada a un edificio portando una caja grande o un fajo de carpetas bajo el brazo. Al fin y al cabo, siempre habrá alguna persona amable que nos abrirá la puerta para facilitarnos el paso. No caigas en la trampa. Pide siempre la identificación. Y hazlo en todos los supuestos. Verifica el nombre y el número de teléfono de quienquiera que te llame o te encueste. «¿Para quién trabaja?» debería ser una respuesta básica a cualquier petición de información. Y luego comprueba la guía de teléfono o el organigrama de la empresa antes de proporcionar información privada o datos personales. Si no conoces a la persona que te solicita la información y no te sientes cómodo proporcionándosela, dile que necesitas hacer unas comprobaciones y que ya te pondrás tú en contacto.