La wikipedia define Ingeniería social como “la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos”.
Es decir, la Ingeniería Social es la disciplina que usa la manipulación para hackear a las personas. Explota el hecho de que, en cualquier sistema, el factor humano es el eslabón más débil.
Creando el contexto adecuado se puede manipular a una persona para que de acceso a información importante y personal. Por ejemplo:
-Buenos días, le estamos llamando de su oficina bancaria, hemos detectado un problema al intentar procesar un pago de su tarjeta de crédito ¿sería tan amable de confirmarnos sus datos para volver a intentarlo?
Los ciberdelicuentes que emplean técnicas de ingeniería social se apoyan en estos principios básicos definidos por Pablo Iglesias, en su post “Los 6 principios básicos de la ingeniería social”:
- Reciprocidad.
- Urgencia.
- Consistencia o costumbre.
- Confianza.
- Autoridad como vía para la suplantación de identidad.
- Validación social o necesidad de aprobación del colectivo.
Estos principios parten de la base de que el comportamiento humano es fácilmente predecible. Asume que si se aborda al usuario de la forma adecuada, se consigue la información necesaria.
El principal aliciente para los estafadores que utilizan estas técnicas es su sencillez y su bajo coste. Cómo dijo el consultor de seguridad Kevin Mitnick: “es más fácil engañar a alguien para que dé su contraseña de ingreso a un sistema que hacer el esfuerzo para hackearlo”.
Tipos de ataques por ingeniería social:
- Phishing:
Una de la modalidades de ataque más simple y conocida, pero también muy exitosa. Consiste en engañar al usuario para que crea que un administrador del sistema le está pidiendo su contraseña con una razón legítima.
- Vishing:
Consiste en la realización de llamadas telefónicas fraudulentas, que simulan encuestas con el objetivo de obtener información privada sin que la víctima sospeche.
- Baiting:
En este tipo de ataque utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) previamente infectado con un malware, y que luego se deja en un lugar público donde pueda ser fácil de encontrar. La persona que lo encuentre, si decide introducirlo en su ordenador, instalará el software malicioso y el hacker podrá acceder a todos los datos personales del usuario
- Smishing:
Consiste en el robo de datos personales por SMS. Es un nuevo tipo de delito de ingeniería social que usa mensajes de texto enfocados en dispositivos móviles.
- Redes Sociales:
El crecimiento de las redes sociales y la información que compartimos a través de ellas, atrae a un gran número de ciberdelincuentes. Suelen presentar sus fraudes en forma de ofertas y chollos para dirigir a los usuarios a webs fraudulentas donde les piden sus datos o autorización de acceso a sus perfiles sociales. Otro señuelo que emplean son los juegos o concursos en los que solo ganan los estafadores.
Estrategias para el éxito de un ataque de ingeniería social:
- Familiaridad:
El hacker se aprovecha de la confianza que las personas tienen con su entorno más cercano (familiares y amigos) y suplantan la identidad de alguno de ellos.
- Hostilidad:
Se benefician de la tendencia humana de alejarse de quien parece estar loco o enfadado. ¿Cómo? Creando un ambiente hostil, que provoque suficiente estrés como para que responda las preguntas sin oponer resistencia.
- Infiltración:
Una estrategia muy usada por ciberatacantes es colarse en un proceso de selección personal de la empresa que tienen como objetivo. Esta es un buena manera de estar cerca de la víctima y obtener toda la información de primera mano. Ya que las PYMES no suelen revisar en profundidad los antecedentes de los candidatos.
- Lenguaje no verbal:
El dominio del lenguaje no verbal puede ayudar a los estafadores a establecer una mayor conexión con sus víctimas. Las detalles pueden ser importantes: el ritmo de la respiración, la sonrisa, detectar si la persona parece nerviosa y reconfortarla. Luego se mostrará más receptiva a dar información personal.
- Sexualidad:
Jugar con lo relacionado con el deseo sexual, es una técnica casi infalible de manipulación, ya que la persona baja sus defensas y se distorsiona su percepción.
Personajes reconocidos vinculados a la ingeniería social:
- Kevin Mitnick:
El hacker informático más famoso de la historia, su nick o apodo fue Cóndor. También se hacía llamar a sí mismo el fantasma de los cables. Luego de pasar una buena temporada entre rejas, se reformó y se cambió al sector de la consultoría de seguridad.
- Christopher Hadnagy:
Autor del primer marco teórico de los principios de la ingeniería social. Consultor de seguridad estadounidense enfocado al estudio de esta rama, a publicado tres libros relacionados: Ingeniería social: El arte de la piratería humana, Desenmascarando al ingeniero social y Phishing Dark Waters.
- Mike Ridpath:
Consultor de seguridad, autor y orador reconocido. Propulsor de técnicas de ingeniería social como las «llamadas en frío» (cold calling). Se dio a conocer en unas charlas donde mostraba grabaciones de llamadas registradas y demostraba en vivo lo que las técnicas para obtener las contraseñas o información sensible de los usuarios.
- David Pacios:
Desarrolló el concepto de Ingeniería Social Aplicada que permite separar los casos de estafa digital y el estudio del Hacking Social. Publicó un libro titulado: Ingeniería Social Aplicada: Primera línea de defensa. Además se le conoce por sus conferencias sobre hacking humano y comercio en la Deep Web.
- Badir Brothers:
Ramy, Muzher, y Shadde Badir, un trío de hermanos ciegos de nacimiento que lograron establecer un esquema de fraudes telefónicos e informáticos en Israel en los años 90 por medio de ingeniería social, imitación de la voz y ordenadores con pantalla Braille.
Ingeniería social y el riesgo para el sector empresarial:
Aunque la ingeniería social puede afectar a personas y a empresas, los ataque se están concentrando en objetivos empresariales, tanto a grandes corporaciones y como a las PYMES.
Los objetivos de dichos ataques se pueden clasificar en:
Fraude: obtener dinero de la víctima, sin usar violencia.
Infección: conseguir infectar el dispositivo de la mismo con un software malicioso.
Robo de credenciales: a través del engaño se le sustrae a la víctima sus claves de acceso a determinados servicios digitales.
En un informe de la industria publicado en 2015 se reveló que los ataques de ingeniería social están afectando más intensamente a los mandos medios y altos ejecutivos. ¿Por qué? porque son mucho más lucrativos, según explicó en su momento Richard De Vere, consultor de Ingeniería Social y pentester en The AntiSocial Engineer Limited.
Otro comentario de Richard De Vere a SC Magazine, en un tono irónico, muestra claramente el problema del que hablamos: “Si estás preparando un correo electrónico de phishing, LinkedIn es una mina de oro de donde puedes sacar los datos de los mandos medios y altos ejecutivos. Las herramientas automatizadas pueden hacer rápidamente una lista de cientos de direcciones de correo electrónico, con los datos de los usuarios y sus credenciales de VPN/OWA/Active Directory.”
Por lo tanto es necesario que desde las empresas se tome conciencia del problema y se diseñen estrategias que permita reducir los riesgos de este tipo de ataques.
¿Cómo prevenir que tu empresa sea víctima de un ataque por ingeniería social?
- Diseñar e implementar un protocolo de seguridad para mitigar los riesgos.
- Realizar simulacros de ataques que te permitan probar tus sistemas de prevención.
- Enviar una alerta inmediata de que ha sido víctima de un ataque a los empleados; el shock emocional ayuda a la concienciación.
- Campañas permanentes de refuerzos de los protocolos de seguridad establecidos.
- Fomentar la cultura de la discreción, educar al personal en la importancia de no divulgar información sensible con desconocidos o en lugares públicos.
- Formar al personal para detectar posibles fraudes y intentar que el sospechoso se identifique y tratar de revertir la situación para obtener la mayor cantidad de información posible del atacante.
- Realizar auditorías y pentest usando Ingeniería Social para detectar agujeros de seguridad y ponerles remedio.
Aunque el factor humano conlleva, en ciertos casos, un mayor riesgo de ciberataque, también es el principal activo de cualquier empresa. Por eso lo importante es dotarlos de la formación y las herramientas adecuadas para aplicar de forma correcta las políticas de ciberseguridad de la compañía.
Siendo conscientes de las estadísticas sobre este tema conviene invertir tiempo y recursos tomando en serio estas amenazas. Si tu empresa no tiene el personal técnico requerido, Syneidis puede ayudarte a desarrollar una auditoría de tus sistemas y diseñar tus protocolos de prevención de riesgos.