Qué es la ingeniería social?

Según estudios recientes, los ciberdelincuentes utilizan técnicas de ingeniería social para impulsar el 98% de los ciberataques, por lo que este es un tema importante de conversación para empresas y usuarios. Si su organización es un Proveedor de Servicios Administrados (MSP, por sus siglas en inglés), siga leyendo y descubra cómo funciona la ingeniería social y qué puede hacer para ayudar a sus clientes a proteger su negocio de los ataques. 

Estadísticas de ingeniería social

• El 98% de los ciberataques se basan en la ingeniería social.
• El 43% de los profesionales de TI dijeron que habían sido blanco de esquemas de ingeniería social en el último año.
• El 21% de los empleados actuales o anteriores utilizan la ingeniería social para obtener una ventaja financiera, por venganza, por curiosidad o por diversión.
• El 43% de los ataques de suplantación de identidad (phishing)/ingeniería social se dirigieron a pequeñas empresas.

Fuente: PurpleSec, 2021 Cyber Security Statistics

La ingeniería social es la práctica de engañar a un individuo, en persona, por teléfono o en línea, para que haga algo que lo haga vulnerable a más ataques. En el mundo digital, es más fácil engañar a las personas para que caigan en trampas en línea que en la vida real, lo que hace que la ingeniería social en línea sea una práctica frecuente y peligrosa.

La ingeniería social se aprovecha de las emociones de las personas para hacer que hagan algo para que un delincuente pueda obtener acceso físico a oficinas y edificios privados y/o acceso en línea a los sistemas de una empresa. Estas son algunas técnicas comunes de ingeniería social que estos delincuentes utilizan para engañar a las personas, obtener la información para lanzar más ataques, extorsionar credenciales y/o robar datos o dinero.

Crear miedo. Recibe un correo electrónico de alguien que dice que pertenece al Servicio de Impuestos Internos (IRS, por sus siglas en inglés) y que será arrestado de inmediato, a menos que proporcione su número de tarjeta de crédito para pagar impuestos atrasados.

Explotar la codicia. Recibe un mensaje a través de Facebook Messenger que dice que ganó un ordenador portátil gratis y haga clic en el enlace <malicious> para que pueda proporcionar más información personal para canjearla.

Aprovecharse de su curiosidad. Recibe un mensaje de texto de FedEx que indica que no pueden entregar su paquete postal porque la dirección que tienen es incorrecta. El mensaje ofrece un vínculo para que pueda proporcionar su dirección y otra información personal, o el vínculo puede ir a un sitio malicioso que infecta automáticamente el dispositivo del usuario con malware.

Pedir ayuda. Recibe un mensaje de texto de lo que cree que es un colega (que es un ciberdelincuente que se hace pasar por su colega) que le dice que está en un país extranjero, que le han robado y que necesita dinero para volver a casa. El mensaje le pide que haga clic en el enlace para transferir fondos o pagar con tarjeta de crédito.

Lo tienta a sentir empatía o simpatía. Está entrando al edificio de su oficina con su clave de acceso y una mujer bien vestida y nerviosa lo sigue diciendo que perdió su clave de acceso, va tarde a una reunión importante y se aprovecha de su simpatía para dejarla entrar al edificio. 

"La ingeniería social es el arte de explotar la psicología humana, en lugar de técnicas de piratería técnica, para obtener acceso a edificios, sistemas o datos". - CSO en línea

Los ataques de ingeniería social son el primer paso que utilizan los atacantes para recopilar algún tipo de información privada que se puede utilizar para un ataque posterior, como un ataque de suplantación de identidad (phishing). Por ejemplo, si el atacante puede atraer a un empleado para que proporcione información de contraseña, el atacante utilizará esa información para obtener acceso al dispositivo del empleado y lanzar otros ataques a través de la red corporativa. Los ataques de ingeniería social pueden tomar varias formas.

Los ataques con trampas atraen a las personas con productos o servicios atractivos, con descuentos significativos e incluso gratuitos, y atraen a una persona para que responda haciendo clic en un enlace <malicious> u ofreciendo información personal, como un número de tarjeta de crédito.

Scareware es un tipo de ataque de ingeniería social que "asusta" al usuario para que realice una acción que conduce a un ataque. Por ejemplo, está trabajando en su ordenador y aparece un anuncio de lo que parece ser un proveedor de malware legítimo que le dice que su ordenador está infectado y que debe descargar una prueba gratuita para eliminar el malware. Una vez que haga clic en el enlace para descargar la versión de prueba gratuita, de hecho, estará infectado con malware.

Una brecha física es un ataque en persona en el que el delincuente se hace pasar por una persona de autoridad o una persona en peligro para convencer a alguien de que lleve a cabo una orden o proporcione ayuda. Por ejemplo, un atacante puede hacerse pasar por un oficial de policía y ordenar a una recepcionista en la recepción que le dé acceso a un edificio de oficinas con el pretexto de que se está cometiendo un delito.

Los ciberdelincuentes utilizan los ataques de pretexto para establecer una conexión de confianza con un objetivo previsto para obtener información personal o confidencial o para atraer al objetivo a realizar una tarea crítica. Primero, el atacante investiga al objetivo para recopilar información personal, pero pública, como para quién trabaja el objetivo, quiénes son sus colegas, con quién realiza operaciones bancarias y quiénes son su círculo de amigos. Luego, el atacante crea una persona en línea, haciéndose pasar por una persona o empresa de confianza y atrae al usuario a realizar una acción. Por ejemplo, Katherine trabaja en finanzas para la empresa ABC y el presidente de la empresa envía un correo electrónico a Katherine con un mensaje urgente de que transfiera fondos a uno de sus socios. Creyendo que este correo electrónico es benigno, Katherine transfiere el dinero según las instrucciones, solo para descubrir más tarde que fue víctima de un ataque con pretexto.

A continuación, se muestran varios ejemplos de algunos de los ataques de ingeniería social más costosos de los últimos años.

Google y Facebook fueron víctimas del mayor ataque de ingeniería social de todos los tiempos. Un atacante lituano y su equipo establecieron una empresa falsa, haciéndose pasar por un fabricante de ordenadores que trabajaba con ambas empresas. El equipo también estableció cuentas bancarias de empresas falsas y luego facturó a las empresas los productos y servicios que proporcionaba el fabricante real, pero les indicó que depositaran dinero en cuentas bancarias falsas. Entre 2013 y 2015, los atacantes engañaron a los dos gigantes tecnológicos con más de $100 millones.

En 2020, la jueza y presentadora de televisión de Shark Tank, Barbara Corcoran, fue víctima de un ataque de ingeniería social, que le costó casi $400.000. El atacante creó una dirección de correo electrónico que parecía pertenecer al asistente de Corcoran. El correo electrónico contenía una factura falsa de FFH Concept GmbH, una empresa alemana legítima, por $388.700,11 dólares para renovaciones inmobiliarias. Esta solicitud le pareció legítima al contable, porque Corcoran invierte en bienes raíces, y transfirió el dinero a la cuenta bancaria que figura en el correo electrónico. La estafa solo se descubrió cuando el contable copió la asistencia real de Corcoran cuando respondió al correo electrónico original. 

En 2019, Toyota Boshoku Corporation, un importante proveedor de autopartes de Toyota, informó que los atacantes engañaron a la compañía por correo electrónico convenciendo a un empleado con autoridad financiera para que cambiara la información de la cuenta en una transferencia electrónica de fondos. La empresa perdió $37 millones.

En 2018, el condado de Cabarrus, Carolina del Norte, recibió un correo electrónico de sus proveedores del condado, solicitando pagos a una nueva cuenta bancaria. El correo electrónico era malicioso y los atacantes se hicieron pasar por proveedores del condado. El condado de Cabarrus pagó $1,7 millones según las instrucciones del correo electrónico, después de lo cual el dinero se desvió a otras cuentas.   

La mejor manera de detectar un ataque de ingeniería social es mediante la capacitación y el entrenamiento para que los usuarios "piensen antes de vincularse". Los usuarios deben estar capacitados para:

• Comprender que no existe un "almuerzo gratis".
• Nunca abrir un correo electrónico que no espera y/o que provenga de alguien que no conoce.
• Verificar la autenticidad de cualquier solicitud para transferir fondos a través de otros canales, por ejemplo, validar por teléfono o enviar un correo electrónico al solicitante por separado, utilizando la cuenta de correo electrónico que conoce, para verificar.
• Investigar cualquier correo electrónico que solicite información personal y/o confidencial investigando a través de otros canales en línea, como Google.
• Nunca instalar software pirateado o cualquier software que no conozca.

Además de la capacitación y educación de los empleados, una empresa necesita protección de varios niveles para detener los ataques de ingeniería social. Esto incluye una combinación de:

Software antimalware para proteger sistemas, aplicaciones y datos de ataques maliciosos, incluida la prevención de que los usuarios accedan a sitios maliciosos.

Cortafuegos para evitar el acceso no autorizado a los sistemas corporativos.

Filtros de correo electrónico que analizan los correos electrónicos para identificar el contenido de correos no deseados y phishing y los aíslan en una carpeta separada; los usuarios deben asegurarse de configurar sus filtros de correo no deseado en un valor alto y revisar sus carpetas de correo no deseado con regularidad en busca de correos electrónicos legítimos.

Autenticación multifactor, que requiere que los usuarios proporcionen al menos dos pruebas para verificar que son quienes dicen ser.

Parches de software oportunos para garantizar que el sistema operativo y las aplicaciones estén siempre actualizados.

Diseñado específicamente para MSP,  Acronis Cyber Protect Cloud integra la mejor copia de seguridad de su clase, antimalware basado en Inteligencia de Máquinas (MI, por sus siglas en inglés) y gestión de protección en una sola solución. Acronis Cyber Protect Cloud, que se incluye sin costo o con un sistema de pago por uso, le permite crear servicios para proteger los sistemas, las aplicaciones y los datos de sus clientes.

Puede ampliar su cartera de servicios para satisfacer aún más los requisitos de sus clientes con paquetes de protección avanzados que amplían sus capacidades. Al agregar paquetes de protección avanzada como Copia de Seguridad Avanzada, Seguridad Avanzada, Recuperación Avanzada ante Desastres, Seguridad Avanzada del Correo Electrónico y Administración Avanzada en Acronis Cyber Protect Cloud, puede expandir y personalizar sus servicios para brindar el nivel óptimo de protección cibernética para cada cliente y cada carga de trabajo.

Instalado con un agente y administrado a través de una consola, la administración centralizada de Acronis Cyber Protect Cloud garantiza que pueda proteger completamente los sistemas y datos de sus clientes sin tener que hacer malabares con múltiples soluciones. Un solo panel proporciona la visibilidad y el control necesarios para brindar una protección cibernética integral, desde la creación de copias de seguridad locales y basadas en la nube hasta la detención de ataques de malware de día cero con defensas y antimalware basados en MI.