¿Qué es la Ingeniería Social?
—Básicamente son todo el conjunto de herramientas y técnicas que permiten a una persona engañar a otra. En el ámbito de la ciberseguridad decimos normalmente que son ese tipo de ataques cuyo objetivo es la persona que está a los mandos de la máquina: el operario de una instalación, el secretario, el administrativo de turno, el CEO… Se le ataca a esa persona, aunque quizás el objetivo final sea obtener acceso a los recursos informacionales o económicos de la organización.
—¿Qué tipos de ataque vía Internet son los más utilizados? ¿Cuáles son los más habituales?
—Internet realmente es solo un canal, y es que los ataques de ingeniería social, al tener como objetivo las personas, se repiten en prácticamente cualquier canal. Los más habituales son los fraudes online. Tanto los que se envían vía email, como los que se realizan por redes sociales.
Nos encontramos con el ataque del príncipe nigeriano (una persona hereda o encuentra una gran fortuna y casualmente la quiere compartir contigo); el de la novia rusa (una muchacha extranjera de muy buen ver se ha enamorado de ti y quiere que os conozcáis en persona); el phishing del albarán o factura adjunta (una empresa que puede ser real te envía un correo con un adjunto en PDF o DOC argumentando la entrega de una factura o albarán, y que por supuesto viene con regalo
—¿Cómo pueden las empresas prepararse para no sufrir este tipo de ataques?
—Hay dos aspectos a tener en cuenta:
Formativo: Se basa en hacer talleres inhouse en el que les exponemos a la plantilla a ataques reales, para que sepan diferenciarlos del resto de contactos que son legítimos.
Técnico: Empieza, al menos, por migrar el ecosistema a un servicio que ya cuenta con las garantías suficiente. Simplemente con este cambio, minimizamos hasta el extremo la recepción del correo potencialmente dañino (el 99% del SPAM, entre donde está la mayor parte de ataques de ingeniería social).
Y de paso, también eliminamos gran parte de las posibilidades de que los activos informacionales de la organización sean víctima de un ransomware.
—¿Cuáles son los principios básicos de la ingeniería social?
—Lo más gracioso de todo es que son exactamente los mismos que en su día definió Robert Cialdini como los 6 principios de la persuasión:
Reciprocidad: Los humanos somos por naturaleza recíprocos con nuestros actos. Si alguien nos ofrece algo, tendemos a ofrecerle también algo nosotros. Si alguien nos trata mal, estaremos más susceptibles a pagarle con la misma moneda. Un «instinto» social muy arraigado en nuestra naturaleza, y, por ende, fácilmente manipulable. La próxima vez que alguien te ofrezca un trabajo de ensueño desde tu casa en el que solo tienes que meter dinero de una cuenta a otra y te quedas un % por cada transacción, desconfía. Si es tan sencillo de hacer, ¿por qué no lo hacen ellos?
Urgencia: Un clásico entre los clásicos. ¡Aproveche esta oferta! ¡Hasta fin de existencias! ¡Durante los próximos cinco minutos…! Es uno de los mantras habituales de las ventas, en este caso extrapolado al cibercrimen. La mayoría de los ataques de ingeniería social, sobre todo los de hunting, enganchan a las víctimas por medio de la urgencia. Tienes 24 horas para enviarme X datos del banco. Comparte ahora mismo este artículo entre todos tus contactos de Facebook y ganaras 100 de oro para gastar en esta aplicación… ¿seguimos?
Consistencia: Somos animales de costumbres. Si hemos dado nuestra palabra (y la acción no nos va a ocasionar un grave trastorno), tendemos más a cumplir que a no hacerlo. El caso de ingeniería social más habitual utilizando este principio es aquel en el que un miembro del equipo técnico de un servicio (o de una empresa) te pide que realices X labores habituales. Como ya te has comprometido la acabarás haciendo junto al resto. Y el criminal ya tendrá seguramente acceso a los servicios de la compañía en tu nombre.
Confianza: Nuestras escasas defensas bajan cuando nuestro interlocutor nos cae bien o está alineado con nuestros intereses. Por no hablar de nuevo de la novia rusa, no es raro que altos directivos o trabajadores con acceso a contenido o servicios confidenciales (gobierno, corporaciones, política, militar) sean «seducidos» por supuestos perfiles semejantes (no tienen por qué ser del sexo opuesto, aunque tiende a ayudar) que se ganan su confianza lo suficiente como para que tengan un descuido y puedan aprovecharse de él.
Autoridad: Si el aprendiz te pide las credenciales de acceso de un servicio, seguramente lo mires con desconfianza. Pero si quien lo hace es el jefe, la cosa cambia. La usurpación de identidad juega un papel decisivo, bien sea real (robo del perfil digital del jefe) o aparentada (clonado de perfiles o emails muy parecidos).
Validación social: Como seres sociales que somos, buscamos la aprobación del colectivo. Por tanto, si en un email alguien nos pide específicamente que hagamos algo raro, es posible que nos lo pensemos. Pero si en esa misma conversación hay varios conocidos más (por ejemplo, trabajadores de la misma compañía), y ninguno se opone, entenderemos que no hay ningún problema y acataremos las normas, vengan de quien vengan.
—¿Qué estrategias de Ingeniería Social utilizan hoy en día los cibercriminales?
— Hunting: Son aquellos ataques que buscan obtener información específica del objetivo con la menor exposición directa posible. Con el menor contacto. En la práctica hablamos de ataques de ingeniería social enfocados a obtener X dato (normalmente credenciales de acceso a un servicio o cuenta, activación o desactivación de alguna configuración que puede complicar el objetivo final o como apoyo a un ataque mayor, dirigido y persistente), de forma que el atacante se pone en contacto de alguna manera con la víctima, y la insta a realizar una acción cuyo desenlace es el pretendido inicialmente.
Y el mejor ejemplo son las campañas de phishing por email, en el que únicamente se suele tener contacto directo con el cibercriminal una sola vez (el email que te envía haciéndose pasar por una entidad o conocido, habitualmente para que insertes tus datos en una supuesta web legítima).
—Farming: Pues justo lo contrario. En el hunting lo que se busca es una exposición mínima. Obtener algo y desaparecer. Con el farming el objetivo es mantener el engaño el mayor tiempo posible, para exprimir al máximo el conocimiento, recursos o posición de la víctima.
—¿Cree que Internet se ha convertido en un terreno ideal para dar rienda suelta a las técnicas de Ingeniería Social?
—Es, como te decía, un canal más. Sigue siendo exactamente lo mismo, pero ocurre en una red social, en un email, en un foro, en un servicio de mensajería instantánea… Y pasa lo mismo con las llamadas telefónicas, que no es precisamente una tecnología moderna.
La Ingeniería Social va a seguir existiendo y siendo tan exitosa sencilla y llanamente porque el eslabón más débil de la cadena siempre es el humano.
El canal por el que se lleve a cabo es lo de menos. Ahora es Internet porque es lo que tenemos, pero mañana será lo que venga, y pasado, más de lo mismo.
Fuente: Cuaderno de Seguridad
