El sentido común como antídoto contra la Ingeniería Social detrás de los ciberataques

Alberto Ruiz, Sales Engineer de Sophos Iberia

13 noviembre, 2018
23 Compartido 843 Visualizaciones

El otro día leí un tweet muy sencillo pero muy acertado que decía algo así como “a día de hoy se sigue cayendo en los mismos trucos de ingeniería social que hace 10 años”. Yo diría que en muchos más… La Ingeniería Social se lleva utilizando desde hace cientos de años, pero por aquel entonces no se llamaba así (o quizás, no se sabía que se llamaba así). Evidentemente, con el tiempo ha ido adaptándose a las nuevas condiciones, pero, su base sigue siendo la misma.

En unas charlas sobre Spam a las que asistí hace algunos años, se hablaba de tretas empleadas a finales del S.XIX como el “Timo del Entierro” o el “Timo del Militar Español”, donde a través de una carta (obviamente, no había email) se pedía dinero para una sepultura de un familiar o, bien, un alto rango militar de antiguas colonias que tenía una gran fortuna económica. Según la misiva, el patrimonio quedaría desbloqueado en cuanto se recibiera un pago (de la persona que recibía la carta).

A día de hoy, los “timos” siguen siendo básicamente los mismos, pero han evolucionado… desde las famosas cartas nigerianas donde el remitente asegura ser familiar o alto directivo de una empresa petrolífera, hasta su actualización en las que se habla de una supuesta estación espacial nigeriana donde se ha quedado un astronauta allí “arriba” abandonado por falta de fondos y necesita que le prestemos dinero para fletar un cohete.

En definitiva, si bien hace casi doscientos años sacaban la información de las víctimas a través de anuarios o publicaciones del tipo Who’s Who, a día de hoy es mucho más fácil para los atacantes porque nosotros mismos se la proporcionamos en bandeja y prácticamente gratis: las redes sociales. Un ejemplo muy ilustrativo son las redes sociales del entorno laboral, donde tratamos de poner todos nuestros detalles para cautivar a los cazatalentos que nos puedan ofrecer un mejor puesto.

En resumen ¿Cómo han conseguido tenerlo más fácil ahora?:

  1. Facilidad de envío de cientos de miles de emails
  2. Facilidad de encontrar información personal “fiable”

Todo ello son los ingredientes perfectos para los nuevos ataques como “El Timo del CEO” (consiste en que un alto cargo, presumiblemente el Director General, nos pide que hagamos una transferencia), el “Whaling” (o caza de ballenas, ir a por altos cargos para comprometerlos), “Spear Phishing” (pesca de información y datos personales dirigido y medianamente personalizado), etc.

Todos estos ataques emplean técnicas básicas de Ingeniería Social:

  • Urgencia: muy efectivo y por tanto altamente utilizado. Se pone al usuario entre la espada y la pared, haciendo ver que tiene que tomar una decisión de forma inmediata que muchas veces no es la que más le convence, pero la premura, le hace pensar que no hay otra salida. Esto es muy usado por el ransomware, el cual pone una cuenta regresiva tras la cual, ya no será posible descifrar la información, no dando tiempo al usuario a buscar ayuda profesional, guiándole hacia la encerrona: pagar el rescate.
  • Autoridad: ¿Quién no recuerda el “virus de la policía”?, hacerse pasar por una autoridad (desde fuerzas y cuerpos de seguridad hasta un jefe o alto cargo de la empresa) para que la víctima vea reforzado el mensaje de actuación por su parte.
  • Concesión: imaginemos que nos piden algo y decimos que no. El “atacante” mantendrá una lucha hasta que al final, hace parecer que claudica y que hemos ganado. Pues bien, esto mismo se usa en Ingeniería Social cuando nos piden un supuesto dato que no queremos dar y nos animan a ir a la web del, por ejemplo, banco. Si ha sido adecuadamente modificada, pensaremos que estamos en la web correcta y eso hará que confiemos más en esa vía que en el atacante que nos pide el dato directamente, pero realmente dicha web está controlada por él y, por tanto, acabamos haciendo lo que él quiere, aunque pensemos que no.

Con todo esto, cuando nos llegue cualquier intento de phishing, dirigido o no, echemos un vistazo con algo de sentido crítico y podremos ver varias de estas técnicas combinadas, así pues, aprendiendo de ellas, podremos detectarlas para identificar este tipo de ataques.

Finalmente, para proteger usuarios y hacer este aprendizaje más “divertido”, siempre podemos usar herramientas como Sophos PhishThreat, la cual permite al departamento de TI crear de forma rápida ataques incluso personalizados y, a aquellos usuarios que “caigan en la trampa”, darles un sencillo y ameno curso para que vayan entrenando el, tantas veces referido, sentido común.

Te podría interesar

Consent Manager, la extensión que dice NO a las cookies por ti
Actualidad
12 compartido2,232 visualizaciones
Actualidad
12 compartido2,232 visualizaciones

Consent Manager, la extensión que dice NO a las cookies por ti

Vicente Ramírez - 8 agosto, 2018

PrivacyCloud lanza Consent Manager, la extensión que permite rechazar automáticamente las peticiones de cookies para mejorar la privacidad. PrivacyCloud, la…

Arrestado un hacker ruso por utilizar servidores del gobierno para minar Bitcoins
Actualidad
370 visualizaciones
Actualidad
370 visualizaciones

Arrestado un hacker ruso por utilizar servidores del gobierno para minar Bitcoins

Mónica Gallego - 19 octubre, 2018

Un hacker ruso se enfrenta a cargos criminales por minar Bitcoins utilizando los servidores del gobierno. Podría enfrentarse hasta cinco años de…

Telefónica integra su solución de firma digital y biométrica sealsign con microsoft azure
Soluciones Seguridad
753 visualizaciones
Soluciones Seguridad
753 visualizaciones

Telefónica integra su solución de firma digital y biométrica sealsign con microsoft azure

José Luis - 5 octubre, 2017

La integración de SealSign con Microsoft Azure Key Vault, gracias a la tecnología Gradiant, proporcionará a los usuarios más capacidad…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.