¿Qué es un ataque de ingeniería social?

Los ataques de ingeniería social se refieren a una amplia gama de tácticas que se basan en errores humanos en lugar de vulnerabilidades en los sistemas. Los piratas informáticos emplean la ingeniería social para engañar a los usuarios para que obtengan dinero, recopilen información confidencial o instalen malware en sus sistemas informáticos.

En este artículo, exploraremos tipos críticos de ataques de ingeniería social y cómo puede prevenirlos. Vamos a sumergirnos:

Ataques de ingeniería social: una descripción general

Los humanos son el eslabón más débil de la ciberseguridad. A menudo se requiere tiempo, talento y recursos de alta tecnología para encontrar una vulnerabilidad en los sistemas y explotarla. Pero la piratería humana es mucho más fácil que eso.

No sorprende que el 95 % de los problemas de ciberseguridad se deban a errores humanos. Los piratas informáticos o los actores de amenazas aprovechan el comportamiento humano y las tendencias naturales para engañarlos para que recopilen información confidencial, obtengan dinero o instalen software malicioso.

Hay cuatro fases predecibles en la mayoría de los ataques de ingeniería social:

• Los piratas informáticos recopilan la información necesaria sobre sus objetivos. Cuanta más información tengan los hackers, mejor preparados estarán para engañar a los usuarios
• En la segunda fase, los piratas informáticos intentan establecer una relación y una relación con su objetivo a través de una variedad de tácticas.
• En la tercera fase, los piratas informáticos o los actores de amenazas se infiltrarán en el objetivo utilizando información y comunicación.
• La cuarta fase es la fase de cierre: una vez que los piratas informáticos obtienen dinero o datos confidenciales, como credenciales de inicio de sesión o información de la cuenta bancaria, finalizan la interacción para evitar sospechas.

Los ataques de ingeniería social cuestan mucho dinero a las empresas. El ingeniero social, Evaldas Rimasauskas, robó más de $100 millones de Facebook y Google a través de la ingeniería social. En otro ataque de ingeniería social, la empresa de energía del Reino Unido perdió 243.000 dólares a manos de los estafadores.

Dado que las pequeñas empresas tienen más conciencia de la seguridad, es probable que los piratas informáticos empleen más esquemas de ingeniería social para explotar el comportamiento humano.

De hecho, la ingeniería social, según el Informe sobre el estado de la ciberseguridad de ISACA, es el principal método de ataques cibernéticos.

Técnicas de ingeniería social a tener en cuenta

Estas son las tácticas de ingeniería social que los actores de amenazas utilizan con frecuencia para engañar a los usuarios para que obtengan dinero o divulguen información confidencial:

Ataques de cebo

Los ataques de cebo explotan la codicia, la curiosidad y el miedo de los humanos. En tal ataque, los piratas informáticos crean un cebo tentador para que el objetivo lo tome. A medida que la víctima busca el cebo, su sistema informático se infecta.

Los actores de amenazas realizan ataques de cebo a través de medios físicos y formas digitales.

En un ataque de bateo físico, un pirata informático dejaría medios físicos (como un pendrive o un CD infectado) en las instalaciones de la empresa para que los empleados los descubrieran. Los medios tendrían nombres como Plan de bonificación para empleados o algo así. Una vez que cualquier empleado reproduzca este medio infectado en su sistema, infectará el sistema. Y a través de la red interna, también puede infectar otros sistemas.

Los ciberdelincuentes pueden crear un sitio web falso con un enlace malicioso para descargar una serie de televisión popular o una película de forma gratuita. Cuando alguien hace clic en dicho enlace, puede instalar malware en su sistema.

Quid pro quo

Los piratas informáticos abusan de la confianza y manipulan el comportamiento humano en ataques quid pro quo. Un hacker se comunicará con personas al azar y les transmitirá que están ofreciendo una solución a un problema tecnológico. Si alguien que tiene el mismo problema técnico responde, el pirata informático le indicará algunos pasos para resolver el problema. Y en esos pasos, el hacker puede infectar el sistema.

Ataques de phishing

Un ataque de phishing es un correo electrónico, mensaje de texto o cualquier otro tipo de comunicación falsificado, que parece provenir de compañías legítimas. El mensaje a menudo tiene un trato u oferta que es demasiado bueno para ser verdad para atraer a los usuarios.

Los piratas informáticos crean una página de destino falsa que se asemeja a un sitio legítimo. Luego, envían un mensaje con una gran oferta a los usuarios.

Cuando un usuario o empleado objetivo realiza la acción sugerida o descarga el archivo adjunto, el pirata informático recopila datos confidenciales o se instala un código malicioso en la computadora de la víctima, lo que afecta el sistema.

Según un informe de CISCO, el 86 % de las empresas informaron que un empleado intentaba conectarse a un sitio web de phishing. El informe también indicó que los ataques de phishing representaron el 90% de las filtraciones de datos.

Educar a sus empleados sobre cómo detectar sitios web de phishing e instalar una herramienta anti-phishing para filtrar los correos electrónicos de phishing puede prevenir eficazmente los ataques de phishing.

Ataques de phishing de lanza

Spear phishing es un ataque de phishing que se dirige a una persona específica, un usuario en particular o una empresa. Un ataque de spear-phishing a menudo incluye información que puede despertar el interés de un objetivo.

Amenazas de scareware

El scareware explota el miedo humano. En los ataques de scareware, los usuarios a menudo ven una ventana emergente que les pide que tomen medidas específicas para mantenerse a salvo. Y seguir esos pasos da como resultado la compra de software falso, la instalación de malware o la visita a sitios web maliciosos que instalarán automáticamente malware en sus dispositivos.

Mantener su navegador actualizado y usar un programa antivirus de renombre puede ayudar a combatir las amenazas de scareware.

Estafas de pretexto

En las estafas de pretexto, los actores de amenazas crean un pretexto o escenario para engañar a las personas para que obtengan información de identificación personal, información de tarjetas de crédito o cualquier otra información que pueda usarse para actos fraudulentos como una violación de datos o robo de identidad. Los delincuentes a menudo se hacen pasar por autoridades, investigadores de seguros, bancos o instituciones para realizar estafas con pretextos.

Una manera efectiva de prevenir las estafas de pretexto es verificar las solicitudes de información confidencial comunicándose con la fuente a través de medios alternativos.

Seguir de cerca

En un ataque de seguimiento, una persona no autorizada sin acceso legítimo sigue a una persona autorizada a un área restringida como las estaciones de trabajo de los empleados, la sala de servidores, etc.

Por ejemplo, un actor de amenazas que sostiene una caja grande con ambas manos llega a la puerta de entrada de su empresa. Un empleado abre la puerta usando su tarjeta de acceso sin darse cuenta que su buen corazón provocó una entrada no autorizada.

Hacer cumplir estrictas políticas de autenticación digital y física puede ayudarlo a luchar contra la puerta trasera.

¿Cuál es la forma más común en que los ingenieros sociales obtienen acceso?

El phishing es la forma más común que emplean los ingenieros sociales para engañar a los usuarios para que hagan clic en enlaces maliciosos o visiten sitios web maliciosos para propagar malware.

Los ingenieros sociales a menudo realizan intentos de phishing a través de correos electrónicos, sitios de redes sociales, llamadas telefónicas o mensajes de texto para aprovechar el error humano.

¿Cómo puede protegerse de la ingeniería social?

Las siguientes son algunas tácticas comprobadas para prevenir ataques de ingeniería social:

1. Capacite a sus empleados

Los ataques de ingeniería social explotan el comportamiento humano y las tendencias naturales. Por lo tanto, capacitar a los miembros de su equipo contribuye en gran medida a construir una cultura de seguridad positiva.

Asegúrese de capacitar a sus empleados para:

• Evite abrir correos electrónicos y archivos adjuntos de fuentes desconocidas
• Evite compartir información personal o financiera por teléfono
• Cuidado con las ofertas tentadoras
• Aprenda sobre software malicioso como el software de escáner no autorizado
• Evite compartir información de identificación personal en sitios de redes sociales

También puede contratar a un consultor de seguridad externo para realizar talleres sobre ciberseguridad.

2. Hacer cumplir la autenticación de múltiples factores

La ciberseguridad en su empresa depende en gran medida de los métodos de autenticación que utilizan sus empleados y proveedores.

Para fortalecer la seguridad, debe aplicar la autenticación multifactor. Es una forma eficaz de permitir el acceso a usuarios legítimos y mantener alejados a los ciberdelincuentes.

3. Instale el software antivirus

El software antivirus y antimalware líder puede ayudar a evitar que el malware llegue a través de los correos electrónicos. Además, una buena herramienta puede advertir a sus empleados cuando tropiezan con un sitio malicioso.

4. Evalúe su preparación

Debe probar regularmente su defensa contra los ataques de ingeniería social. Practicar y ejecutar simulacros de vez en cuando puede ayudar a los miembros de su equipo a prepararse mejor para cualquier ataque de ingeniería social.

Imagen: Elementos Envato