Qué es una ingeniería social?

De acuerdo con estudios recientes, los cibercriminales utilizan las técnicas de ingeniería social para ejecutar el 98% de los ciberataques, haciendo de este un importante tema de debate para las empresas y usuarios. Si su organización es un proveedor de servicios administrados (MSP), continúe leyendo y descubra cómo funciona la ingeniería social y qué puede hacer usted para ayudar a sus clientes a resguardar sus empresas contra ataques. 

Estadísticas de la ingeniería social

• El 98% de los ciberataques dependen de la ingeniería social.
• 43% de los profesionales informáticos indicaron que habían sido víctimas de estafas de ingeniería social durante el año pasado.
• 21% de los empleados actuales o antiguos usan la ingeniería social para obtener una ventaja financiera, por venganza, curiosidad o diversión.
• El 43% de los ataques de phishing/ingeniería social apuntaron a pequeñas empresas.

Fuente: PurpleSec, 2021 Cyber Security Statistics

La ingeniería social es la práctica de engañar a una persona, de manera presencial, por teléfono o en línea, para que realicen algo que los deje vulnerables ante ataques futuros. En el mundo digital, resulta más fácil engañar a las personas para que sean objeto de trampas en línea que hacerlo en la vida real, logrando convertir a la ingeniería social en una práctica peligrosa y prevalente.

La ingeniería social se aprovecha de las emociones de las personas para instigarlas a realizar una determinada acción que brinde a los criminales acceso físico a oficinas privadas e instalaciones y/o acceso a los sistemas de la compañía. Estas son algunas de las técnicas comunes de ingeniería social que estos criminales utilizan para engañar a las personas, obtener la información para ejecutar otros ataques, extraer credenciales y/o robar datos o dinero.

Crear miedo. Usted recibirá un correo electrónico de alguien diciendo que son parte del Servicio de Impuestos Internos (IRS) y que se procederá con su arresto inmediato a menos que proporcione su número de tarjeta de crédito para pagar impuestos retroactivos.

Aprovechar la avaricia. Usted recibirá un mensaje por Facebook Messenger que dice que ha ganado un ordenador portátil gratuito y que debe hacer clic en el enlace <malicioso> para poder ingresar sus datos personales con el objetivo de canjearlo.

Sacar provecho de su curiosidad. Usted recibirá un mensaje de texto de FedEx que diga que no pueden entregar su envío postal debido a que la dirección que tienen es incorrecta. El mensaje ofrece un enlace para que pueda ofrecer su dirección y otra información personal, o el enlace puede dirigirlo a un sitio malicioso que automáticamente infecte el dispositivo del usuario con malware.

Pedir ayuda. Usted recibirá un mensaje de texto pensando que podría tratarse de un colega (que en realidad es un cibercriminal haciéndose pasar por su colega) que dice que se encuentra en un país extranjero, le han robado y que necesita dinero para volver a casa. El mensaje le pide hacer clic en el enlace para transferir fondos o pagar con tarjeta de crédito.

Apelar a su sentido de empatía o solidaridad. Usted ingresa a su oficina utilizando su llave de acceso y una mujer bien vestida e inquieta le sigue detrás afirmando que perdió su llave de acceso, se hace tarde para una reunión importante y apela a su solidaridad para dejarla entrar en el edificio. 

“La ingeniería social es el arte de aprovecharse de la psicología humana, en lugar de técnicas de hackeo específicas, para obtener acceso a edificios, sistemas o datos”. – CSO Online.

Los ataques de ingeniería social son el primer paso que los infractores usan para recopilar algún tipo de información privada que pueda usarse para un ataque subsiguiente, como un ataque de phishing. Por ejemplo, si el agresor puede instigar a un empleado para proporcionar la información de contraseña, el agresor utilizará esa información para obtener acceso al dispositivo del empleado y lanzará otros ataques a través de la red corporativa.  Los ataques de ingeniería social pueden asumir diferentes formas.

Los ataques de cebo atraen a las personas con productos o servicios atractivos, con un importante descuento o incluso gratuitos e instigan al individuo a responder haciendo clic en un enlace <malicioso> o dando su información personal, como el número de tarjeta de crédito.

Scareware es un tipo de ataque de ingeniería social que “asusta” a un usuario al punto de realizar una acción que derivará en un ataque. Por ejemplo, usted trabaja en su ordenador y aparece una ventana emergente mostrándole lo que podría parecer un proveedor legítimo de malware diciéndole que su computador se ha infectado y que descargue una versión de prueba gratuita para eliminar el malware. Una vez que haga clic en el enlace para descargar la versión de prueba gratuita, usted, en ese momento, se infectará con el malware.

Una violación física es un ataque personal en donde el criminal se hace pasar por una figura de autoridad o una persona en necesidad de ayuda para convencer a un individuo de que realice una orden o proporcione ayuda. Por ejemplo, un agresor puede hacerse pasar por un funcionario policial y ordenar a un recepcionista en un mesón que le entregue acceso a una instalación comercial bajo el pretexto de que hay un crimen en progreso.

Los cibercriminales utilizan los ataques de pretexto para establecer una conexión de confianza con un objetivo pensado para obtener información personal o sensible o para instigar al objetivo a realizar una labor fundamental. Primero, el agresor investiga al objetivo para obtener información personal, pero de carácter público: como para quién trabaja el objetivo, quiénes son sus compañeros de trabajo, cuál es su banco y quiénes están en su círculo de amigos. Luego, el agresor crea un personaje en línea, haciéndose pasar por un individuo de confianza o una empresa e instiga al usuario a realizar una acción. Por ejemplo, Katherine trabaja en finanzas para la compañía ABC y el presidente de la compañía le envía un correo electrónico a Katherine con un mensaje urgente para transferir fondos a uno de sus socios. Creyendo que este correo electrónico es fidedigno, Katherine transfiere el dinero según lo instruido, solo para descubrir más tarde que había sido víctima de un ataque de pretexto.

Estos son algunos ejemplos de algunos de los ataques de ingeniería social más costosos durante los últimos años.

Google y Facebook fueron víctimas del más grande ataque de ingeniería social de todos los tiempos. Un intruso de Lituania y su equipo establecieron una compañía falsa, haciéndose pasar por un fabricante de ordenadores que trabajaba con ambas compañías. El equipo también preparó cuentas bancarias falsas y luego facturó a las compañías por productos y servicios que el fabricante real proporcionó, pero les indicó que debían depositar dinero en cuentas bancarias falsas. Entre 2013 y 2015, los atacantes engañaron a los dos gigantes de la tecnología con una suma que superaba los $100 millones.

En 2020, la jurado y animadora del programa de televisión Shark Tank, Barbara Corcoran, fue víctima de un ataque de ingeniería social, que le costó alrededor de $400,000. El intruso creó una cuenta de correo electrónico que tenía el aspecto de la cuenta que pertenecía a la asistente de Corcoran. El email contenía una factura falsa de FFH Concept GmbH, una compañía alemana legítima, por $388,700.11 por concepto de renovaciones inmobiliarias. Esta solicitud tenía un aspecto legítimo para el contador, debido a que Corcoran invierte en bienes raíces, y transfirió el dinero a la cuenta bancaria que figuraba en el correo electrónico. La estafa fue descubierta una vez que el contador envió copia a la verdadera asistente de Corcoran y esta respondió al mensaje original. 

En 2019, Toyota Boshoku Corporation, un proveedor importante de repuestos automotrices de Toyota informó que los agresores embaucaron a la compañía por correo electrónico convenciéndolos de que un empleado con autoridad financiera cambiara la información de contacto en una transferencia de fondos electrónica. La compañía perdió casi $37 millones.

En 2018, Cabarrus County, en Carolina del Norte, recibió un correo electrónico de sus proveedores del condado, solicitando pagos a una nueva cuenta bancaria. El correo electrónico era malicioso y los agresores se hicieron pasar por proveedores del condado. Cabarrus County pagó $1.7 millones de acuerdo con las instrucciones del correo electrónico, tras lo cual el dinero se desvió a otras cuentas.  

La mejor forma de distinguir un ataque de ingeniería social es a través de la capacitación y la educación para que los usuarios “piensen antes de relacionar”. Los usuarios deben tener capacitación para:

• Comprender que no existe algo como la “comida gratis”.
• Nunca abrir un correo electrónico que no tienen previsto y/o que provenga de un remitente desconocido.
• Verificar la autenticidad de cualquier solicitud de transferencia de fondos a través de otros canales, por ejemplo, validando por teléfono o correo electrónico al solicitante por separado, usando la cuenta de correo electrónico que usted conoce, para verificar.
• Investigar cualquier correo electrónico que solicite información personal y/o sensible investigando a través de otros canales en línea, como Google.
• Nunca instalar software pirata o cualquier software que no conozca

Además de la capacitación y la formación, una empresa debe contar con protección multicapas para detener los ataques de ingeniería social. Esto contempla una combinación de:

Software antimalware para proteger sistemas, aplicaciones y datos de ataques maliciosos, incluido evitar que usuarios ingresen en sitios maliciosos.

Firewalls para prevenir el acceso no autorizado a sistemas corporativos.

Filtros de correo electrónico que escaneen correos electrónicos para identificar contenido de spam y phishing y los aíslen en una carpeta por separado; los usuarios deben estar seguros de establecer sus filtros de spam en un nivel alto y revisar sus carpetas de spam periódicamente para legitimar correos electrónicos.

Autenticación de multifactor, que requiere que el usuario proporcione al menos dos formas de evidencia para verificar que son quienes dicen ser.

Parches de software oportunos para garantizar que el sistema operativo y las aplicaciones siempre estén actualizadas.

Especialmente diseñado para los MSP, Acronis Cyber Protect Cloud incluye lo mejor de su clase en respaldo, antimalware basado en inteligencia mecánica (MI) y gestión de protección en una única solución. Incluido sin costo o sobre una base de pago sobre la marcha, Acronis Cyber Protect Cloud le permite incorporar servicios para proteger los sistemas, aplicaciones y datos de sus clientes.

Puede expandir su cartera de servicios para cumplir con los requerimientos de sus clientes con paquetes de protección avanzada que amplían sus capacidades. Al incorporar paquetes de protección avanzada tales como Advanced Backup, Advanced Security, Advanced Disaster Recovery, Advanced Email Security, y Advanced Management en Acronis Cyber Protect Cloud, usted puede expandir y personalizar sus servicios para ofrecer un nivel óptimo de ciberprotección para cada cliente y cada carga de trabajo.

Instalado con un agente y administrado a través de una consola, la gestión centralizada de Acronis Cyber Protect Cloud le garantiza poder brindar una protección total a los sistemas y datos de sus clientes sin tener que alternar entre múltiples soluciones. Un único y sencillo panel le proporciona la visibilidad y control necesarios para ofrecer una ciberprotección exhaustiva, desde la creación de copias de seguridad locales y basadas en la nube a detener ataques de malware de día cero con antimalware y defensas basadas en MI.