La ingeniería social, inseguridad vigente
La ingeniería social, inseguridad vigente
Los ataques de ingeniería social que incluyen phishing y pretextos, en gran porcentaje, es una manera exitosa de violación de sistemas de información.
Hoy en día, la ingeniería social es reconocida como una de las mayores amenazas contra la seguridad de las organizaciones. Es de aclarar que este modus operandi difiere de la piratería tradicional en el sentido de que los ataques de ingeniería social pueden ser no técnicos y no implican necesariamente el compromiso o la explotación de softwares o sistemas. Cuando tienen éxito, muchos ataques de ingeniería social permiten a los malhechores obtener acceso legítimo y autorizado a información confidencial o ingresar directamente a una instalación, en cuyo caso, los delincuentes pueden acceder a todos los datos, robar activos, e incluso, dañar físicamente a las personas.
Precisamente, estos peligrosos personajes pueden identificarse como personal de soporte de una empresa que provee el servicio de internet o también pueden comunicarse telefónicamente alertando sobre un problema urgente –lógicamente, inexistente– que requiere acceso inmediato a la red. También los hay quienes se hacen pasar por empleados de una entidad estatal, como por ejemplo la Dian, o de un banco determinado, solicitando a la potencial víctima que abran un archivo adjunto de un correo electrónico que ya está infectado con un malware.
La información que busca un ingeniero social puede ser de muchos tipos. Este tipo de delincuentes, generalmente, intenta engañar a las personas para que revelen sus contraseñas, sus datos bancarios o que les permitan acceder a sus computadores para instalar un software malicioso sin que la víctima se percate de ello, logrando así tener acceso a toda su información privada y asumiendo el control total sobre el computador de esta persona.
En suma, la ingeniería social es la estrategia de engañar a alguien para que divulgue información o actúe, generalmente a través de la tecnología. La idea detrás de la ingeniería social es aprovechar el comportamiento humano y las reacciones emocionales de una posible víctima. Ya se ha identificado que los ingenieros sociales apelan a la vanidad, a la autoridad, a la codicia u otra información obtenida de las escuchas esporádicas o de la investigación en línea, a menudo, a través de las redes sociales.
Posibles medios para un ataque de ingeniería social
- A través de un correo electrónico de un amigo:si un delincuente logra conseguir o socializar la clave de un correo electrónico de una persona, además tiene acceso a la lista de contactos de la potencial víctima –que, como la mayoría, usa la misma clave en todas partes–, al igual que logre acceder a la lista de contactos de la red social de esa persona, entonces se allana la posibilidad para el malhechor.
Una vez que el delincuente tiene esa cuenta de correo electrónico bajo su control, envía correos electrónicos a todos los contactos de la persona o deja mensajes en todas las páginas sociales de sus amigos, y posiblemente en las páginas de los amigos de la persona. Tales correos o mensajes pueden contener un hipervínculo o una descarga de imágenes, música, películas o documentos. Basta con hacer clic sobre ellos para que se ejecute un software malicioso que infecte la máquina y permita tomar el control remoto de ella.
- A través de correos electrónicos de fuentes confiables:los ataques de phishing hacen parte de un subconjunto de estrategias o técnicas de la ingeniería social que imitan o se presentan como una fuente confiable y crean escenarios aparentemente lógicos para la entrega de credenciales de inicio de sesión u otros datos personales confidenciales. Las organizaciones financieras y los organismos del Estado representan la gran mayoría de las empresas suplantadas.
Los ataques de ingeniería social que incluyen phishing y pretextos, en gran porcentaje, es una manera exitosa de violación de sistemas de información.
- A través de una historia convincente o un pretexto: son mensajes que se pueden presentar como:
- Solicitud urgente de ayuda, manifestándose que un amigo o familiar está atrapado o secuestrado y que necesita que le envíen dinero para que puedan liberarlo o llegar a casa. Indican, además, cómo se debe enviar el dinero. Por lo general, el delincuente envía un correo electrónico, mensaje instantáneo, comentario o mensaje de texto que parece provenir de una empresa, banco, escuela o institución legítima y popular.
- Pidiendo donaciones a un fondo caritativo o para otra causa similar, probablemente con instrucciones sobre cómo enviar el dinero. Así, el delincuente se aprovecha de la posible generosidad de la víctima. Estos ingenieros sociales piden ayuda o apoyo para cualquier desastre, campaña política o de caridad que momentáneamente esté en furor.
- Presentando un problema determinado que requiere de la verificación de los datos de la persona receptora a través de un enlace o formulario, cuyo todo esquema aparenta originalidad y legitimidad (logotipos, contenido, etc.), ya que los delincuentes pueden haber copiado toda la estructura del sitio original. Así entonces, la potencial víctima confía en el correo electrónico recibido y en el formato –falso– y proporciona la información que el delincuente está pidiendo. Este tipo de estafas con la técnica del phishing, a menudo, incluyen una advertencia de lo que sucederá si no se actúa pronto, ya que los malhechores saben que, si logran que la víctima actúe sin pensarlo debidamente, tendrán más probabilidad de éxito en sus objetivos delictuales.
- Recibir la notificación de que se es ganador de algo: quizá de una lotería, que es el heredero de un pariente muerto o que es la millonésima persona que hace clic en su sitio, etc. Con este “gancho” de la posibilidad de recibir ganancias, le piden a la posible víctima que debe brindar cierta información sobre los datos de su cuenta bancaria para poder enviarle el premio o, incluso, revelar su dirección residencial y número de teléfono; asimismo, en ocasiones le piden a la persona que demuestre su identidad incluyendo su número de seguro social.
En general, estos son los conocidos como “phishing codiciosos” donde, incluso el pretexto puede no parecer muy convincente, pero que despiertan en algunas personas la codicia frente a lo que le ofrecen y entonces proceden a validar toda su información privada. Las consecuencias pueden ir desde perder o que falsifiquen su identidad para casos delictivos, hasta perder todo el dinero que la víctima tenga en sus cuentas bancaras.
Tipos de ataque de ingeniería social
- Phishing: es una forma muy conocida de obtener información de una víctima involuntaria. A pesar de su furor sigue teniendo bastante éxito en el mundo. En esta técnica, el perpetrador generalmente envía un correo electrónico o mensaje de texto a las personas objetivo en busca de información que le facilite llevar a cabo su delito.
- Pretextos: se producen cuando un atacante establece circunstancias falsas para inducir a la víctima a proporcionarle acceso a datos confidenciales o sistemas protegidos. Por ejemplo: un delincuente estafador –desde luego, camuflado como empleado de una entidad confiable o del departamento de Tl– le hace creer a la potencial víctima que necesita informar sus datos financieros para confirmar su identidad, quien a la postre divulga sus credenciales de inicio de sesión o le otorga acceso libre al computador.
- Vishing: es la versión de voz de phishing; precisamente, en este caso, “V” significa voz; por lo demás, el intento de estafa es el mismo. Así, el delincuente, telefónicamente, se empeña en engañar a la víctima, quien le da a conocer información valiosa. Este modus operandi es muy común en nuestro medio desde los centros carcelarios.
- Baiting: es una técnica que consiste en dejar dispositivos de almacenamiento (usb o cd infectados con un software malicioso) en sitios fáciles de encontrar (baños públicos, ascensores, aceras, etc.). Cualquier persona podrá recoger este dispositivo e insertarlo en su computador; en ese momento, el software se ejecutará automáticamente y le dará acceso al delincuente para que obtenga todos los datos personales del desprevenido usuario.
Imágenes copipegadas de: https://bit.ly/2xE3FuY y https://bit.ly/2O8Xclo (Pixabay). Enlaces con técnica de acortamiento aplicado. Imágenes seleccionadas por el editor.