Ingeniería social: ¿qué es y por qué es tan peligrosa?

Ante todo es importante especificar: la ingeniería social no es una rama de la carrera de ingeniería (así que si estabas buscando el programa didáctico de un máster, ¡este no es el artículo adecuado para ti!).

De hecho, hoy vamos a hablar de algo extremadamente distinto: te vamos a explicar unas tácticas de manipulación de ciberseguridad que se llaman, precisamente, ingeniería social.

En esta publicación queremos proporcionarte el significado de ingeniería social, cuáles son las tácticas principales y, sobre todo, explicarte la peligrosidad de este ciberdelito.

¿Qué es la ingeniería social?

La ingeniería social es una técnica utilizada por los delincuentes cibernéticos y/u otros individuos malintencionados para obtener acceso no autorizado a sistemas o información confidencial a través de la manipulación de personas. 

Esto se puede lograr mediante el uso de tácticas de persuasión, engaño o manipulación para hacer que una persona revele contraseñas, información confidencial, datos sensibles o, más en general, para hacer que realice acciones que no debería. 

La ingeniería social es un ciberdelito que puede tener gravísimas consecuencias para las víctimas: es muy importante tomar medidas para protegerse contra ella.

Más en detalle, el fin principal de este ciberdelito es el de conocer los puntos débiles de las víctimas y todo lo que les motiva para ganar, finalmente, su confianza y así llegar a:

• Acceder a su información personal y datos sensibles para causarles daño.
• Robar sus datos para acceder a sus cuentas bancarias.
• Obtener dinero.
• Suplantar su identidad.

¿Cómo funciona la ingeniería social? Aquí los 4 ciclos de ataque

Aunque los ataques de ingeniería social sean siempre distinto, se ha reconocido un patrón de ataque que se puede dividir en 4 ciclos o fases:

1. Recopilación de información o footprinting: en esta primera fase, el atacante recopila información sobre el objetivo, como sus intereses, hábitos, preferencias y posibles vulnerabilidades. Esta información puede ser obtenida a través de distintas técnicas, como el espionaje digital, la investigación online y la observación física.
2. Construcción de la relación de confianza: durante este ciclo, el atacante construye una relación con el objetivo para ganar su confianza y persuadirlo para que realice una acción específica. Esto puede hacerse a través de diversas técnicas, como el phishing, el grooming y el baiting (las analizaremos en el próximo párrafo).
3. Obtención de compromiso: es una manipulación psicológica. Durante este ciclo, el atacante obtiene el compromiso del objetivo para realizar una acción específica, como hacer clic en un enlace, descargar un archivo o revelar información confidencial.
4. Explotación y salida: finalmente el delincuente ha extraído toda la información real de los usuarios y acaba el ataque de manera que pueda desviar todo tipo de sospecha sobre sí mismo. Durante este ciclo, entonces, el atacante explota la acción del objetivo para obtener acceso no autorizado a un sistema o información, o para causar daño.

Es importante tener en cuenta que estos ciclos no ocurren necesariamente en este orden y pueden variar en duración y complejidad según el objetivo y el delincuente.

¿Cuáles son las tipologías de ataque de ingeniería social?

Como ya hemos mencionado, estos ataques pueden ser muy sutiles y difíciles de detectar, ya que se basan en el engaño y la manipulación emocional en lugar de en el uso de técnicas técnicas sofisticadas. Algunos ejemplos comunes de tipos de ataques de ingeniería social incluyen:

Phishing

Se lleva a cabo a través de correo electrónico o mensajes de texto, con el objetivo de engañar al destinatario para que revele información confidencial o haga clic en un enlace malicioso. En otras palabras, los delincuentes crean sitios web o mensajes fraudulentos que se parecen a los de tiendas, bancos o negocios legítimos para que el usuario deje así sus datos.

Baiting

En este caso se ofrece algo atractivo a la víctima (como, por ejemplo, un regalo o una oportunidad de ganar dinero) con el objetivo de persuadirlo para que revele información confidencial o haga clic en un enlace malicioso. Por ejemplo, un atacante podría enviar un mensaje de correo electrónico a una víctima diciéndole que ha ganado un premio y solicitando su información personal para poder entregarle el premio. Si la víctima cae en la trampa y proporciona su información, el atacante podrá utilizarla con fines malintencionados, como realizar compras fraudulentas o acceder a sus cuentas bancarias.

Scareware

Se lleva a cabo mediante el uso de ventanas emergentes y mensajes de alerta falsos que intentan asustar al usuario para que revele información confidencial o compre un producto innecesario.

Impersonación

Es un tipo de ataque en el que el atacante se hace pasar por una persona de confianza o una empresa legítima para obtener información confidencial o acceso no autorizado a un sistema. Los delincuentes pueden usar la impersonación de diversas maneras, como enviando correos electrónicos falsos desde direcciones de correo electrónico legítimas, utilizando sitios web falsos que imitan a sitios legítimos o haciéndose pasar por representantes de servicios de atención al cliente.

Aunque la impersonación se parece al phishing, hay unas cuantas diferencias entre estos dos tipos de ataque:

• El método de ataque: el phishing se lleva a cabo a través de correo electrónico o mensajes de texto, mientras que la impersonación puede utilizar cualquier medio de comunicación, como correo electrónico, mensajes de texto, llamadas telefónicas o incluso conversaciones en persona.
• El objetivo: el objetivo del phishing es generalmente obtener información confidencial, como contraseñas o datos financieros, mientras que el objetivo de la impersonación puede ser tanto obtener información confidencial como acceder a un sistema o realizar una acción específica.
• La identidad falsa: en el phishing, el atacante muchas veces se hace pasar por una empresa o individuo legítimo, mientras que en la impersonación, el atacante se hace pasar por una persona de confianza o una empresa con la que el objetivo tiene una relación previa.

Grooming

El atacante construye una relación de confianza con la víctima a través de la comunicación online, con el objetivo de persuadirlo para que revele información confidencial o haga clic en un enlace malicioso.

Los atacantes pueden ganar la confianza del objetivo y persuadirlo para que revele información o realice acciones que de otra manera no habría considerado. Los atacantes a menudo utilizan técnicas de manipulación emocional y psicológica para construir la relación y persuadir al objetivo.

Shoulder surfing

Implica el espionaje visual de una persona mientras ingresa su contraseña o realiza alguna otra acción confidencial. El atacante puede utilizar esta técnica desde una distancia cercana, como mirando por encima del hombro de la víctima, o desde lejos, utilizando binoculares o, incluso, otra versión mejorada de los dispositivos. 

Es una forma efectiva de obtener información confidencial, ya que muchas personas no toman medidas para proteger sus contraseñas o datos personales mientras las digitan o utilizan.

Ingeniería Social Inversa

Con esta técnica el delincuente manipula a la víctima convenciéndole que tiene un problema y, seguidamente, el mismo delincuente le ofrece una solución.

Juego de roles

Los delincuentes asumen el rol de otra persona: de esta forma persuaden a la víctima y recopilan información a través de canales como, por ejemplo, sesiones de chat, correos electrónicos, teléfonos, etc. disimulando ser un servicio al cliente o un servicio de ayuda.

Dumpster Diving

Se busca información confidencial en la basura o en los contenedores de reciclaje de una empresa o individuo. Los atacantes pueden buscar documentos confidenciales, información de cuentas bancarias o de tarjetas de crédito, correos electrónicos o cualquier otra información que pueda ser útil para ellos.

Muchas personas no destruyen adecuadamente la información confidencial y la tiran a la basura: por esta razón el dumpster diving es tan efectivo. Para protegerse contra el dumpster diving, es importante destruir adecuadamente la información confidencial, como mediante el uso de trituradoras de papel o quemando los documentos. También es útil asegurarse de que los contenedores de basura y reciclaje estén seguros y no sean accesibles a extraños.

Crawling automatizados

Se usan programas de crawling automatizados (o sea, programas que inspeccionan páginas de las webs de forma automatizada) para recopilar información de los sitios web y foros que visitan, como direcciones de correo electrónico, nombres de usuario y contraseñas, o para buscar vulnerabilidades en los sistemas que puedan explotar.

Los delincuentes pueden utilizar el crawling de sitios web y foros online como un primer paso para llevar a cabo ataques más sofisticados, como el phishing o el ataque de ingeniería social.

Ejemplos de ataques de ingeniería social a empresas populares

Pues sí, también grandes empresas han sufrido ataques de ingeniería social. Aquí te dejamos unos ejemplos:

1. Ataque de phishing a Google, 2010: un grupo de delincuentes envió correos electrónicos falsos a empleados de Google con el objetivo de obtener acceso a sus cuentas de correo electrónico. Los atacantes se hicieron pasar por representantes de servicios de atención al cliente de Google y solicitaron a los empleados que proporcionaran sus contraseñas.
   
2. Ataque de baiting a Apple, 2012: un atacante utilizó un sitio web falsificado que imitaba a la tienda online de Apple para persuadir a los usuarios para que proporcionaran sus nombres de usuario y contraseñas de iCloud. Una vez que los atacantes obtuvieron esta información, accedieron a los dispositivos de los usuarios y robaron sus datos personales.
   
3. Ataque de impersonación a Netflix, 2018: un delincuente se hizo pasar por el servicio de atención al cliente de Netflix y envió correos electrónicos a los usuarios solicitando que proporcionaran sus nombres de usuario y contraseñas. Una vez que los atacantes obtuvieron esta información, accedieron a las cuentas de los usuarios y utilizaron sus suscripciones para ver películas y programas de televisión gratis.
   
4. Ataque de grooming en Tinder (¿te suena el timador de Tinder?), 2019: Simon Leviev engañó a sus víctimas para que pudieran pagarle, al estafador, una vida lujosa y llena de vicios. ¿Cómo lo hizo? A través de Tinder. Hizo enamorar a sus víctimas pasándose por otra persona y llegó a robar unos 10 millones de euros sólo en sus dos últimos años de delincuencia.

¿Cómo prevenir los ataques de ingeniería social?

Aquí te dejamos unos sencillos consejos para evitar la ingeniería social:

• Utilizar siempre contraseñas seguras y cambiarlas regularmente o, más simplemente, usar la autenticación biométrica.
• No compartir nunca jamás información confidencial online, como números de cuentas bancarias o de tarjetas de crédito.
• Ser cauteloso o cautelosa al hacer clic en enlaces en correos electrónicos o mensajes de texto, especialmente si no conoces al remitente.
• Verificar la legitimidad de las fuentes antes de proporcionar información o hacer clic en enlaces.
• Mantener el software de seguridad actualizado y utilizar herramientas de seguridad online para protegerse contra ataques.
• Ser consciente de las tácticas de manipulación emocional y psicológica utilizadas en la ingeniería social y aprender a reconocerlas. Educar siempre a tus seres queridos en la importancia de protegerse contra la ingeniería social y cómo hacerlo.