Introducción a la Ingeniería Social

Introducción a la Ingeniería Social

1000 667 Carlos Javier García García

Una posible definición acerca de lo que es la ingeniería social podría resumirse como un conjunto de técnicas y/o habilidades basadas en la manipulación psicológica, con el objetivo último de conseguir que una persona o usuario realice una acción indeseada por el mismo, de forma inconsciente, normalmente suplantando la identidad de una organización o persona para dotar de credibilidad al ataque. Es decir, la ingeniería social se basa en el engaño o manipulación tradicional para lograr unos determinados fines, aunque en ocasiones puede ser un medio para lograr un fin mayor. Estas técnicas o ataques no son una novedad, pero si el aumento de su uso en las últimas décadas, y gran parte de ello se debe a la supuesta anonimidad que proporciona Internet, así como el incremento exponencial del uso del mismo en cualquier ámbito, ya sea en la vida profesional o personal. Poniendo en contexto ambos hechos, la ingeniería social y el uso indiscriminado de Internet, se obtiene un importante riesgo para los benevolentes usuarios de la tecnología pero una gran oportunidad para los ciberdelincuentes o atacantes que ven ampliado su campo de ataque, cualesquiera que sean sus motivaciones. Una de las “ventajas” de la ingeniería social es que no discrimina su rentabilidad y efectividad sobre ningún ámbito de actuación, es decir, es aplicable tanto a la vida personal y particular de las personas como a su vida profesional, siendo en esta ocasión un mero medio en vez de un fin, el cual suele ser los activos de la organización.

¿Por qué es el usuario final el objetivo de la Ingeniería Social y cómo afecta a las organizaciones?

En primer lugar, como se ha expresado anteriormente, la ingeniería social se basa en la manipulación psicológica, y por ende en las personas, pero no es una respuesta que acote el por qué. Sin embargo existen otros factores que hacen que sea el usuario final la victima del ataque y no los procesos o directamente los sistemas. Por un lado, el desconocimiento por parte de los usuarios de las técnicas de ataque de la ingeniería social, así como el desconocimiento general del lado más negativo del uso de Internet. Este hecho, acompañado de la frecuente suplantación de identidad que emplean los atacantes y las meras características del ser humano, expuestas más adelante, dificulta enormemente la capacidad de detección. Por otro lado, el coste de un ataque centrado en estas técnicas es mucho menor que el coste de lanzar un ciberataque u otro tipo de ataque para lograr el fin o el medio que acerque al fin, ya que los recursos necesarios son por lo general escasos. Otro factor asociado al coste es el coste de ser detectado, siendo mucho mayor la probabilidad de ser localizado al ejecutar otro tipo de ataques. Por último, la efectividad frente a otros ataques de “hacking”, puesto que la probabilidad de ser exitoso en un ataque mediante otros medios es mucho menor que la probabilidad de éxito mediante ingeniería social. En un lado, el campo de batalla o la superficie de ataque es más grande debido al número de usuarios y técnicas a utilizar; por otro lado, la formación y conocimientos necesarios para su ejecución es menor, ya que para realizar un ataque basado en “hacking” es necesario un conocimiento específico y avanzado en la materia, mientras que para llevar a cabo un ataque de ingeniería social simplemente basta con un teléfono u ordenador, y en ocasiones ni lo anteriormente citado es necesario.

Técnicas

Como se ha comentado previamente, la ingeniería social busca manipular psicológicamente a las personas, por lo que las técnicas utilizadas se basan en aprovechar las mercas características del ser humano, entre las que destacan las siguientes, como bien describe INCIBE en su artículo “Ingeniería social: técnicas utilizadas por los ciberdelincuentes y cómo protegerse”:

  • Respeto a la autoridad: Pretende utilizar una figura de autoridad contextualizada para cada ataque, bien en el ámbito profesional o en el ámbito más personal, para lograr sus objetivos ya que por norma general el ser humano respeta dichas figuras y generan aceptación en la sociedad.
  • Voluntad de ayudar o simpatía: Esta técnica se basa en el principio colaborativo de la sociedad, sobre todo en entornos profesionales ya que siempre es bienvenida la ayuda o una petición de ayuda. De este hecho se aprovechan los atacantes mediante la suplantación de identidad de compañeros de trabajo para conseguir sus objetivos.
  • Urgencia: El uso del tiempo es otro factor que altera la toma de decisiones, más concretamente cuando existe un tiempo limitado. Los atacantes utilizan el factor de urgencia para no dejar pensar sobre una toma de decisiones, ya sea desvelar información confidencial o acceder a determinado servicio o página web. Por lo general, este factor junto con otras técnicas, se combinan para aumentar la efectividad del ataque.
  • Gratis: Esta técnica aplica sobre todo a la interactuación privada o personal de los usuarios de internet, ya que con frecuencia aparece en redes sociales o webs. Utilizan el concepto gratis para conseguir sus objetivos, normalmente conseguir acceso a datos privados mediante la instalación de aplicaciones en el teléfono, completar encuestas, etc.
  • Respeto, temor e imagen social: La extorsión, en cualquiera de sus formas, es frecuentemente utilizada para lograr objetivos determinados en relación a una víctima, ya sean beneficios económicos, información e incluso una determinada acción. El temor que infunde en las victimas la posibilidad de ver alterada su imagen social y por ende el respeto que tiene la sociedad sobre ti, hacen que la manipulación sea efectiva en numerosas ocasiones.
  • Suplantación de identidad: Esta técnica, probablemente, es la más utilizada y combinada junto a las anteriores en los ataque de ingeniería social. Aprovechan la imagen de un tercero, ya sea una persona física o una determinada organización, para romper la barrera del desconocimiento y generar una relación de confianza, es decir, aportar veracidad y prestigio a cualquier acción con el objetivo de no levantar sospechas sobre la víctima.

Tipos de Ataque y algunos ejemplos

Son muchos y variados los tipos de ataque basados en ingeniería social ya que su posible combinación tiene pocos limites, a continuación se muestran los ataques más comunes sufridos tanto en las organizaciones como en la vida personal:

  • Phishing, Vishing y Smishing: Es un ataque similar pero basado en distintos medios: correos electrónicos, llamadas de voz y mensajería SMS, respectivamente. Suelen incluir enlaces y documentos adjuntos que contienen malware para lograr el acceso al dispositivo y extraer información confidencial. Dichos enlaces, también pueden redirigir a páginas fraudulentas con el objetivo de que el usuario complete un formulario de acceso y de esta forma conseguir los credenciales de un determinado servicio. Es común que sean enlaces o accesos a plataformas corporativas, servicios de streaming tipo Netflix, redes sociales, servicios bancarios y plataformas de compra online.
  • Baiting: Emplean un cebo, de ahí su nombre, para que sea el usuario quien inserte el software malicioso  que incluye el cebo en el dispositivo de trabajo. Recurren a dejar pendrives u otros sistemas de almacenamiento para que la curiosidad, factor y característica humana, haga el resto del trabajo.
  • Estafa en Redes Sociales: Es muy común que pretendan  engañar o estafar a los usuarios en redes sociales mediante cupones, descuentos en compras e incluso juegos haciendo creer que obtendrás un beneficio a cambio de participar. Es en este tipo de ataques donde se aprovechan de la ingenuidad general de los usuarios de internet, y más específicamente de aquellas personas que comienzan sus primeros pasos en redes sociales.
  • Fraude del CEO: Consiste en suplantar la identidad de un alto cargo para que se genere o autorice un pago fraudulento. Las víctimas son empleados con acceso a recursos económicos, por lo que es un tipo de ataque más sofisticado que requiere de investigaciones sobre el personal y procesos de la organización.
  • Fraude de RRHH: Es similar al anterior fraude pero está dirigido a los empleados de recursos humanos y se suplanta la identidad de trabajadores que, aparentemente, quieren modificar la cuenta bancaria donde reciben su nómina. Para ello pueden simular las cuentas de correo electrónico de los trabajadores, o directamente tener acceso a las mismas mediante un ataque de ingeniería social realizado previamente a los trabajadores en cuestión.

Como conclusión, recalcar que este tipo de ataques basados en ingeniería social, al igual que las técnicas empleadas son solo una mínima muestra de la capacidad que tienen los atacantes, ya  que como se ha repetido en numerosas ocasiones, la base es la manipulación psicológica, hecho del que no se conocen límites. Este artículo pretende dar a conocer la tendencia o panorama actual con el fin de concienciar y capacitar a los usuarios de los riesgos existentes y evitar, en la medida de lo posible, más víctimas en esta tipología de ataques.