Tras un tiempo en stand-by, esta semana os traigo un poco de teoría para todos. Este artículo lo centraré en dar unas nociones básicas sobre la ingeniería social. Aunque breve, intentaré centrarme en los siguientes puntos:
– ¿Qué es la ingeniería social?
– Comportamientos vulnerables al ataque.
– ¿Qué impacto tiene sobre las organizaciones un ataque de este tipo?
– Factores que nos hacen vulnerables.
– ¿Por qué la ingeniería social es efectiva?
Comencemos por saber qué es la ingeniería social. La ingeniería social se puede definir como el arte de manipular a las personas para que nos cedan información sensible con el objetivo final de realizar una acción maliciosa. A pesar de las políticas de seguridad, un atacante puede realizar un ataque que comprometa a una organización centrándose en su mayor debilidad, las personas.
Para que el ataque tenga éxito, el/los atacantes deben tener un especial interés en desarrollar sus habilidades para que las víctimas no se percaten de que se trata de un fraude. Para ello el paso más importante que realiza un atacante es la obtención de la mayor información posible sobre su víctima.
– Visitar paginas oficiales de la organización, donde se encuentran los ID’s de los empleados, sus nombres, direcciones de email.
– Información sobre los productos que ofrece la organización.
– Blog, foros y otros espacios online donde se comparta información sobre la organización.
Una vez que los cibercriminales han recogido suficiente información sobre la victima pueden llevar a cabo ataques de suplantación, piggybacking (acceder a un área reservada con el permiso de una persona autorizada), tailgatin (entrar a un área reservada siguiendo a la persona autorizada a entrar), ingeniería social inversa… Dentro de las organizaciones existen unos objetivos más vulnerables y que los atacantes utilizan para que sus ataques tengan éxito. Algunos ejemplos son los siguientes: personal de recepción, personal del soporte técnico, administradores de sistemas, usuarios y clientes, ejecutivos, comerciantes… un atacante que se gane la confianza de estas personas puede conseguir cierta información de valor para el siguiente paso del ataque. Cada uno de estos objetivos tiene un tipo de información que puede ser obtenida por un atacante con el simple hecho de ponerse en contacto con él/ella y hacerse pasar por un usuario o cliente que tiene un problema.
Los comportamientos vulnerables utilizados por los atacantes para realizar estas técnicas suelen ser los que se mencionan a continuación:
– Autoridad: un atacante que se hace pasar por un ejecutivo para solicitar cierta información a un empleado de menor rango. El simple hecho de la autoridad nos da la sensación de que debemos ejecutar la acción que nos piden.
– Intimidación: parecida a la anterior, pero en este caso el atacante hace uso de una situación desfavorable para la víctima y esta actúa en consecuencia.
– Consenso: dejándonos llevar por lo que hacen otras personas.
– Escasez y urgencia: comportamientos similares de los que un atacante se beneficia al plantearle a la víctima un escenario con una acción que debe realizarse de inmediato.
– Familiaridad: implica que las personas somos más persuasibles a hacer algo dependiendo de quién nos lo solicite.
– Confianza: el atacante establece una relación de confianza con la víctima para que esta se sienta segura de facilitar la información que el ciberdelincuente desea, con la falsa sensación de que la otra persona es buena.
– Codicia: los atacantes pueden establecer una comunicación con el competidor de la empresa objetivo para que sea este quien desvele información a cambio de una recompensa.
Ya hemos visto una breve introducción sobre la ingeniería social, en qué consiste y algunos métodos que utilizan los ciberdelincuentes para desarrollarla. Pero ¿qué impacto tienen estos ataques sobre la organización?
A primera vista no aparentan ser grandes ataques, el problema radica en el trasfondo de los mismos, toda la información que es obtenida durante esta primera fase se utiliza para un ataque mayor y esto se traduce en pérdidas económicas(un atacante roba información relacionada con las estrategias de marketing de la empresa), daño a la imagen de la empresa (fundamental para obtener nuevas relaciones comerciales), perdidas de privacidad (si una empresa, sobre todo, empresas grandes es incapaz de mantener la privacidad de sus clientes, estos perderán confianza en ellos), ataques terroristas (usando la ingeniería social, consiguen una plan de acción de sus objetivos para poder infiltrarse), etc.
Llegando ya al final, veamos ahora que factores son los que hacen que una empresa sea vulnerable a este tipo de ataque.
– El más común de todos es la falta de concienciación sobre la seguridad en los empleados, la mayoría de estos son ignorantes a como los atacantes pueden obtener información, no son conscientes de la responsabilidad que la empresa les otorga al darles acceso a la información que manejan, cuál es su importancia y que podría realizar un atacante si estuviera en su poder.
– Un acceso no regulado a la información hace vulnerable también a la empresa, no se puede permitir el acceso a las bases de datos a cualquier persona. Esto consiste en un error de política de seguridad que la empresa debe arreglar.
– Una mala administración en las empresas que tienen sedes en diferentes localizaciones geográficas. La comunicación entre ambas debe ser crucial y tiene que existir un plan para ello. Ya que si existieran dificultades un atacante podría aprovecharse para acceder a la información.
– Por último y no por ello menos importante, la falta de políticas de seguridad. Una organización debe tomar medidas extremas relacionadas con todas las posibles amenazas o vulnerabilidades de seguridad. La implementación de ciertas medidas de seguridad, como la política de cambio de contraseña, la política de intercambio de información, los privilegios de acceso, la identificación de usuario única y la seguridad centralizada, resultan beneficiosas.
Para finalizar con el artículo, hablemos de por qué la ingeniería social es efectiva.
Esta técnica se centra en la manipulación psicológica del ser humano para extraer la información deseada. Algunas de las razones por las que la ingeniería social continúa siendo efectiva son, por ejemplo:
– El ser humano es más susceptible.
– Es muy difícil detectar algunos intentos de ingeniería social.
– Ningún método garantiza la completa seguridad ante estos ataques.
– No existe ningún hardware o software para prevenirla.
Jose Manuel Nieto Campos
Criminólogo
Máster en Ciberseguridad
