Amenazas de ingeniería social: ¿qué son y cómo evitarlas?

Cuando pensamos en seguridad informática, lo primero que se aparece en la mente es antivirus, firewall, passwords o dispositivos (como lectores de huellas, por ejemplo). En muchos de los artículos que hemos publicado aquí, señalamos que una estrategia eficaz de higiene de ciberseguridad sostenida en el tiempo tiene un eslabón clave que son las personas. Veamos que son las amenazas de ingeniería social y cómo evitarlas.

Una de las formas más antiguas de organizar ataques delictivos, incluso antes de que se realizaran en entornos tecnológicos, es la ingeniería social. Consiste en obtener información confidencial útil para ingresar ilícitamente a lugares prohibidos o para robar algo de valor, a través de la manipulación de datos descartados, engaños a quienes trabajan allí, la suplantación de identidad o del análisis del contexto. Aplicada a los delitos informáticos, se focaliza en el eslabón más débil, para inducirlo a entregar esa información sensible que podrá ser explotada de forma dañina. 

Quizás te interese seguir leyendo

Logra una seguridad resiliente fortaleciendo al usuario como perímetro

La verdadera amenaza de la ingeniería social está relacionada con el cruce de fuentes de información, que permite sortear barreras o traspasar la precaución que pueda tener un usuario capacitado. Por ejemplo, identificar en alguna red social a una persona que podría tener acceso a información valiosa para un ataque, conocer sus intereses y personalizar un mensaje o un correo electrónico, aumenta las probabilidades de que lo abra. 

La forma habitual de ejecutar este tipo de estrategia, se combina con el phishing y con el malware enviado en adjuntos de correos electrónicos. Pero hay otras formas, entre las cuales aparecen: 

• Vishing: es la obtención de información a través de una llamada telefónica. El ciberdelincuente se hace pasar por un familiar, personal de una empresa de servicios o de algún soporte técnico.
  
  
• Baiting: o dispositivos maliciosos; por ejemplo, un pendrive con contenido malicioso en una computadora pública o sobre la mesa de un bar; este dispositivo obtiene información de la persona que la utiliza o instala un troyano.
  
  
• Concursos falsos: informan que se ha ganado un premio, para obtener información personal.
  
  
• Smishing: un tipo de ataque de phishing que llega en forma de mensaje de texto o SMS. Otros formatos del phishing son el Spear phishing (dirigido a personal jerárquico) y Whaling (enfocado en objetivos de alto valor).  
  
  
• Farming: realizan varias comunicaciones con las víctimas hasta conseguir la mayor cantidad de información posible, ya sea por teléfono, en encuentros ‘ocasionales’, observando comportamientos, etc. 
  
  
• Scareware: malware que asusta a las personas para que descarguen un falso software de seguridad o visiten un sitio infectado.

La mayoría de las personas dejamos mucha información dispersa por buscadores de Internet como Google, páginas web visitadas que tienen cookies que aceptamos sin evaluar, y publicaciones o búsquedas en redes sociales. Con técnicas de ingeniería social que incluyen el análisis de big data, le permiten a los ciberatacantes ir configurando perfiles de usuario para enviar comunicaciones que puedan abrir la puerta para fases posteriores de un ataque. 

¿Cómo protegerse? 

Siempre que hablamos del componente humano, es fundamental pensar en la capacitación, como parte de una estrategia integral de seguridad corporativa que se debe implementar. 

Explicar cómo funciona la ingeniería social, incluir ejemplos que podrían darse en cada entorno laboral, es la primera frontera que se debe securitizar.  Reducir el volumen de spam que ingresa al correo electrónico, incrementa proporcionalmente la cantidad de correo seguro y acota las posibilidades de caer en la trampa del phishing, por lo cual es necesario trabajar en la configuración de los servidores de email, agregar la mayor cantidad de filtros posibles, implementar la funcionalidad de marcar como spam un correo identificado como tal, etc. Además, es una buena práctica tener desactivada la descarga automática de imágenes, lo cual prevenir que puedan ocultar algún malware. 

Profundiza más sobre estos temas accediendo a nuestro eBook

La cultura empresarial en ciberseguridad

Cualquier correo de remitente desconocido y con un mensaje que suene extraño, debe ser investigado. Algunas comprobaciones básicas se indican en la siguiente imagen. En efecto, una entidad seria no suele usar correos de dominios genéricos como Hotmail, Outlook o Gmail. La pre-comprobación del destino de un link, acercando el mouse sin clickear es muy algo muy útil también, aunque debe utilizarse con cuidado, ya que ese link de destino podría parecer real, seguramente con alguna variante que revele el engaño.

Investigar la fuente de un mail, llamado o mensaje de SMS, es otra estrategia de protección muy útil. Primero, para identificar si existe tal o cual remitente; segundo, porque es muy común encontrar que otras personas ya pasaron por lo mismo, por lo que suele haber testimonios o notas de prensa que detallan cómo opera ese engaño.

Ante un correo desconocido que tiene un call to action urgente es clave tomarse un momento para evaluar el sentido de ese mensaje. Antes de poner el mouse en movimiento, es importante poner el cerebro en funcionamiento. Poner en acción el pensamiento crítico es una de las mejores maneras de evitar caer en un ataque de ingeniería social. 

Estas y otras buenas prácticas se pueden implementar con el apoyo de un equipo especializado en servicios de seguridad de TI, que esté al día de las últimas tendencias en tácticas y estrategias de ingeniería social y otros ciberataques, para elevar el nivel de protección de su empresa. 

¿Está tu empresa protegida frente a amenazas de ingeniería social o podría aparecer un timador de Tinder en cualquier
momento para encantar a sus empleados?