El otro día leí un tweet muy sencillo pero muy acertado que decía algo así como “a día de hoy se sigue cayendo en los mismos trucos de ingeniería social que hace 10 años”. Yo diría que en muchos más… La Ingeniería Social se lleva utilizando desde hace cientos de años, pero por aquel entonces no se llamaba así (o quizás, no se sabía que se llamaba así). Evidentemente, con el tiempo ha ido adaptándose a las nuevas condiciones, pero, su base sigue siendo la misma.

En unas charlas sobre Spam a las que asistí hace algunos años, se hablaba de tretas empleadas a finales del S.XIX como el “Timo del Entierro” o el “Timo del Militar Español”, donde a través de una carta (obviamente, no había email) se pedía dinero para una sepultura de un familiar o, bien, un alto rango militar de antiguas colonias que tenía una gran fortuna económica. Según la misiva, el patrimonio quedaría desbloqueado en cuanto se recibiera un pago (de la persona que recibía la carta).

A día de hoy, los “timos” siguen siendo básicamente los mismos, pero han evolucionado… desde las famosas cartas nigerianas donde el remitente asegura ser familiar o alto directivo de una empresa petrolífera, hasta su actualización en las que se habla de una supuesta estación espacial nigeriana donde se ha quedado un astronauta allí “arriba” abandonado por falta de fondos y necesita que le prestemos dinero para fletar un cohete.

En definitiva, si bien hace casi doscientos años sacaban la información de las víctimas a través de anuarios o publicaciones del tipo Who’s Who, a día de hoy es mucho más fácil para los atacantes porque nosotros mismos se la proporcionamos en bandeja y prácticamente gratis: las redes sociales. Un ejemplo muy ilustrativo son las redes sociales del entorno laboral, donde tratamos de poner todos nuestros detalles para cautivar a los cazatalentos que nos puedan ofrecer un mejor puesto.

En resumen ¿Cómo han conseguido tenerlo más fácil ahora?:

1. Facilidad de envío de cientos de miles de emails
2. Facilidad de encontrar información personal “fiable”

Todo ello son los ingredientes perfectos para los nuevos ataques como “El Timo del CEO” (consiste en que un alto cargo, presumiblemente el Director General, nos pide que hagamos una transferencia), el “Whaling” (o caza de ballenas, ir a por altos cargos para comprometerlos), “Spear Phishing” (pesca de información y datos personales dirigido y medianamente personalizado), etc.

Todos estos ataques emplean técnicas básicas de Ingeniería Social:

• Urgencia: muy efectivo y por tanto altamente utilizado. Se pone al usuario entre la espada y la pared, haciendo ver que tiene que tomar una decisión de forma inmediata que muchas veces no es la que más le convence, pero la premura, le hace pensar que no hay otra salida. Esto es muy usado por el ransomware, el cual pone una cuenta regresiva tras la cual, ya no será posible descifrar la información, no dando tiempo al usuario a buscar ayuda profesional, guiándole hacia la encerrona: pagar el rescate.
• Autoridad: ¿Quién no recuerda el “virus de la policía”?, hacerse pasar por una autoridad (desde fuerzas y cuerpos de seguridad hasta un jefe o alto cargo de la empresa) para que la víctima vea reforzado el mensaje de actuación por su parte.
• Concesión: imaginemos que nos piden algo y decimos que no. El “atacante” mantendrá una lucha hasta que al final, hace parecer que claudica y que hemos ganado. Pues bien, esto mismo se usa en Ingeniería Social cuando nos piden un supuesto dato que no queremos dar y nos animan a ir a la web del, por ejemplo, banco. Si ha sido adecuadamente modificada, pensaremos que estamos en la web correcta y eso hará que confiemos más en esa vía que en el atacante que nos pide el dato directamente, pero realmente dicha web está controlada por él y, por tanto, acabamos haciendo lo que él quiere, aunque pensemos que no.

Con todo esto, cuando nos llegue cualquier intento de phishing, dirigido o no, echemos un vistazo con algo de sentido crítico y podremos ver varias de estas técnicas combinadas, así pues, aprendiendo de ellas, podremos detectarlas para identificar este tipo de ataques.

Finalmente, para proteger usuarios y hacer este aprendizaje más “divertido”, siempre podemos usar herramientas como Sophos PhishThreat, la cual permite al departamento de TI crear de forma rápida ataques incluso personalizados y, a aquellos usuarios que “caigan en la trampa”, darles un sencillo y ameno curso para que vayan entrenando el, tantas veces referido, sentido común.