Qué es la ingeniería social?

Ese flamante firewall no significará mucho si los usuarios son engañados para hacer clic en un enlace malicioso del que piensan vino de un amigo de Facebook o de LinkedIn.

La ingeniería social es una amenaza que no debe ser considerada exclusivamente desde un punto de vista técnico, ya que incluso si se ha invertido en tecnologías defensivas como sistemas antivirus o firewalls, un ingeniero social astuto puede sobrepasas esos controles.

Por lo tanto, aquí te presentamos respuestas a las preguntas más frecuentes sobre la ingeniería social, incluyendo las tácticas comunes que usan los ingenieros sociales y consejos para que los usuarios esté en guardia.

Entonces, ¿Qué es la ingeniería social?

La ingeniería social es esencialmente el arte de acceder a edificios, sistemas o datos mediante la explotación de la psicología humana en lugar de utilizar técnicas de hacking. Por ejemplo, en lugar de tratar de encontrar una vulnerabilidad de software, un ingeniero social podría llamar a un empleado y presentarse como una persona de soporte, tratando de engañar al empleado para que divulgue su contraseña.

Por lo tanto, los ingenieros sociales se aprovechan del comportamiento humano para con ello obtener ventaja. Si quieren entrar a un edificio, no se preocupan por un gafete o identificación empresarial. Simplemente entrarán y pedirán con confianza que alguien los ayude a entrar.

El famoso Kevin Mitnick ayudó a popularizar el término «ingeniería social» en los años 90, aunque la idea y muchas de las técnicas han existido desde que los estafadores existen.

¿Por qué las empresas están en riesgo?

La ingeniería social ha demostrado ser una manera muy exitosa para que un criminal logre «entrar» en las organizaciones. Una vez que un ingeniero social tiene una contraseña de empleado de confianza, simplemente puede iniciar sesión y fisgonear para obtener datos confidenciales. Peor aun, si cuenta con una tarjeta de acceso o código privilegiado podrá entrar a zonas restringidas y acceder a datos confidenciales.

Ejemplo de lo anterior es lo que Chris Nickerson (consultor de seguridad) realiza durante sus «pruebas de penetración». Basa gran mayoría de sus ataque en  técnicas de ingeniería social para poder identificar los puntos vulnerables de una empresa. Nickerson detalló de la siguiente manera lo fácil que es entrar en un edificio.

En una prueba de penetración, Nickerson usó información pública disponible en sitios de redes sociales y una camisa de la empresa Cisco de $4 USD que compró en una tienda de segunda. La camisa le ayudó a convencer a la recepción del edificio y a otros empleados de que era un empleado de Cisco en una visita de asistencia técnica. Una vez dentro, fue capaz de dar acceso no autorizado a miembros de su equipo. Así mismo, se las arregló para dejar caer varias unidades USB con malware y con ello acceder posteriormente a la red de la empresa, todo esto a la vista de otros empleados.

«La gente quiere confiar, eso es lo que un ataque de ingeniería busca aprovechar», dice Chris Blow, arquitecto de seguridad ofensiva. «Si alguien envía a un compañero de trabajo un e-mail y dice que es de otro compañero de trabajo, la mayoría de la gente abrirá el correo, especialmente si se relaciona con algo real y específico».

Eso es con el correo electrónico, pero ¿por qué estos ataques funcionan igual de bien por teléfono o en persona? Las respuestas pueden ser variadas, pero de manera general se resumen en que «La mayoría de la gente quiere ser amable y cortés, así mismo, no quiere mostrarse escéptica de las acciones de otra persona».

¿Cuáles son algunos ejemplos de lo que dicen o hacen los ingenieros sociales?

Los criminales a menudo toman semanas o meses para conocer un lugar antes de querer pasar por una puerta o hacer una llamada telefónica. Su preparación podría incluir encontrar una lista telefónica de la empresa o un organigrama e investigar a los empleados en redes sociales como LinkedIn o Facebook.

En el teléfono:

Un ingeniero social puede llamar y pretender ser un compañero de trabajo o una autoridad externa de confianza (como la policía o un auditor).

Según Sal Lifrieri, un veterano de 20 años del Departamento de Policía de la Ciudad de Nueva York que ahora educa a las compañías en tácticas de ingeniería social, el criminal intenta que la persona se sienta cómoda con la familiaridad, motivo por el cual los delincuentes buscan aprender la jerga corporativa y hacer pensar a la persona en el otro extremo del teléfono que se trata de un colega de oficina.

En la oficina:

«¿Puede usted sostener la puerta para mí? Ocurre que no tengo mi tarjeta de acceso en este momento porque la olvide en mi escritorio.» ¿Con qué frecuencia lo has oído en tu edificio? Mientras tanto, la persona que pide acceso no parece nada sospechosa. Esta es una táctica muy común utilizada por los ingenieros sociales.

En ocasiones, basta simplemente simular ser un compañero de trabajo fumando en el área de descanso para que, en el momento adecuado, los empleados reales lo dejen pasar a las oficinas sin cuestionar. «Un cigarrillo es el mejor amigo de un ingeniero social».

Esta última táctica también se conoce como tailgating. El éxito de esta se basa en que muchas personas simplemente no piden a otros que demuestren que tienen permiso para estar allí, incluso en lugares donde se necesitan gafetes corporativos.

En línea:

Las redes sociales han hecho que los ataques de ingeniería social sean más fáciles de llevar a cabo ya que pueden ser usadas para recopilar información. Antes, en los viejos tiempos, cuando no existía Facebook ni Twitter, si se quería encontrar información sobre alguna empresas, se debía merodear el objetivo durante un par de semanas, ver un montón de cosas que está pasando y revisar los contenedores de basura.

Pero hoy, los ingenieros sociales y atacantes pueden ir a sitios como LinkedIn y encontrar todos los usuarios que trabajan en una empresa para con ello reunir información detallada que se puede utilizar para promover un ataque. Ahora, en cuestión de minutos, se puede organizar un buen ejercicio de ingeniería social, frente a días y semanas en el pasado. Con esto, si se envían cien correos electrónicos de phishing, basados ​​en información recopilada, es casi una garantía de que se obtendrá una buena tasa de éxito.

Cabe mencionar que una de las técnicas exitosas para la ingeniería social, por lo general, es en la que el atacante se hace pasar como una persona en una posición de igual buscando ayuda.  Realizar investigaciones sobre el objetivo y posteriormente hacerse pasar como un compañero para expresar una queja ocasional sobre el ambiente de trabajo, permite crear un vínculo entre el atacante y el objetivo, a partir de allí la información comienza a fluir.

Cuando se trata de estafas en línea, los ingenieros sociales aprovechan el miedo y la curiosidad, ejemplo de esto es el envío de correos electrónicos de phishing preguntando si el objetivo ha visto vídeos de ellos mismos o estafas de soporte técnico alegando que la computadora del objetivo ha sido infectada.

Los atacantes también personalizan los correos de phishing para dirigirse a intereses conocidos para atraer que los usuarios hagan clic en archivos adjuntos relacionados con artistas, actores, música y política. Tales tácticas también se utilizan en las redes sociales, por ejemplo, el atacante crea una falsa aplicación de Facebook diseñada para recopilar información.

¿Cómo prepararse para prevenir la ingeniería social?

La conciencia es la medida defensiva número uno. Se debe tener presente que la ingeniería social existe y estar familiarizado con las técnicas más utilizadas.

Afortunadamente, hacer conciencia de ingeniería social se presta para contar historias las cuales son mucho más fáciles de entender y mucho más interesantes que las explicaciones asociadas a debilidades técnicas. Los cuestionarios y los carteles que llaman la atención o humorísticos son también recordatorios eficaces sobre no asumir que todos son quienes dicen ser.

La concientización sobre la ingeniería social debe ser para toda la organización, incluyendo a la recepcionista, los guardias de acceso, así como, a los altos ejecutivos; con especial atención a quienes cuentan con la autorización para realizar transferencias electrónicas.

El entrenamiento debe considerar un paradigma distingo al tradicional: fomentar en el personal que bajo ciertas condiciones está bien decir que no. Tradicionalmente se instruye a los empleados que el cliente siempre tiene la razón, situación que es usada como ventaja por los atacantes. El personal necesita saber que si una conversación le hace sentir una sensación incómoda, que está bien terminar la interacción o referir al cliente con un gerente. Es muy importante que el colaborador sepa que existe el respaldo de la organización en caso de que un cliente se irrite por lo que se percibe como un posible problema de seguridad.

Recuerde que si se trata de reducir y prevenir la ingeniería social, deberá entrenar constantemente, para ello, asegúrese de que tiene un programa de capacitación y concientización de seguridad integral que se actualiza periódicamente para abordar las amenazas generales de phishing, así como, las nuevas amenazas cibernéticas .

Es vital revisar los procesos, procedimientos y la separación de funciones para las transferencias financieras y  transacciones importantes. Considere nuevas políticas relacionadas con transacciones o solicitudes ejecutivas urgentes. Un correo electrónico de la cuenta de Gmail del CEO debería elevar automáticamente una bandera roja al personal, pero para ello, necesitan entender las últimas técnicas que están siendo desplegadas por los delincuentes.

La seguridad es un ciclo permanente por lo que será requerido revisar, perfeccionar y poner a prueba la gestión de incidentes, es importante considerar la ejecución de ejercicios controlados de ingeniería social para poner a prueba  al personal.

Palabras finales.

En resumen, la mejor defensa contra los ataques de ingeniería social es la educación del usuario complementada con defensas tecnológicas para detectar y responder a los ataques. Como se comento al inicio, no se espera que ninguna defensa técnica 100% efectiva contra la ingeniería social surja en el futuro. Defensas técnicas sin duda ayudará a reducir la ocurrencia de ataques de ingeniería social, por ejemplo, la detección de palabras clave en correos electrónicos se puede utilizar para eliminar ciertos ataques, pero incluso estas tecnologías probablemente será ineficaces en la detención de ingenieros sociales calificados.

Es justo aquí en donde el entrenamiento y la conciencia pueden ayudar.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *