A pesar del avance de la tecnología y las estrategias de ciberseguridad cada vez más sofisticadas, la ingeniería social sigue siendo un desafío crítico que no puede ser ignorado y menos aun cuando la mayoría de los ataques de secuestro de datos (ransomware) están precedidos por phishing u otras tácticas de ingeniería social.
En los equipos de ciberseguridad se trabajan estrategias avanzadas que incluyen gestionar y monitorear vulnerabilidades y amenazas, para enfrentar los diversos desafíos del panorama digital. Sin embargo, a pesar de las sofisticadas defensas cibernéticas, hay un elemento que sigue siendo el principal punto de vulnerabilidad: el factor humano.
El factor humano:
Los atacantes utilizan la ingeniería social para manipular psicológicamente a las personas con el fin de obtener información confidencial, acceso a sistemas o realizar acciones no autorizadas.
A pesar del progreso considerable en la cultura de ciberseguridad, los seres humanos seguimos siendo el eslabón más débil de esta cadena. La falta de conciencia, la complacencia y la confianza excesiva son factores que los atacantes explotan hábilmente a través de la ingeniería social.
¿Cómo funciona?
En el ámbito de la ciberseguridad, tanto las técnicas como las tácticas son elementos fundamentales para comprender y combatir las amenazas digitales. En este contexto, la técnica se refiere a un método específico utilizado por un adversario para lograr un objetivo. Una técnica describe cómo se lleva a cabo una acción en particular, por ejemplo, la explotación de una vulnerabilidad, la ejecución de código malicioso o la recopilación de información. Por otro lado, una táctica se refiere a una categoría general de comportamiento o actividad empleada por un adversario para lograr sus objetivos. Las tácticas representan los objetivos de alto nivel de un adversario y proporcionan una estructura para comprender sus acciones.
Durante un ataque, la fase de reconocimiento (táctica), también conocida como recopilación de información o enumeración, es un paso crucial para los atacantes. En esta etapa, los atacantes recopilan información sobre el objetivo que les permitirá planificar y ejecutar su agresión de manera más efectiva. Dentro de las técnicas de reconocimiento podría considerarse que las más efectivas no son las que incluyen escanear sistemas usando herramientas sofisticadas, sino las basadas en ingeniería social, por ejemplo:
-
Recopilar información de identidad de la víctima.
-
Determinar ubicaciones físicas.
-
Compilar información sobre las relaciones.
-
Identificar roles, para suplantar identidades.
-
La “pesca” de datos confidenciales de una persona o empresa específicos, conocidos como phishing o spear phishing.
-
Buscar en redes sociales.
Aunque la ingeniería social no involucra la explotación directa de vulnerabilidades tecnológicas, su impacto puede ser igual de devastador. Desde un punto de vista técnico, esto representa una amenaza seria y multifacética para el sector financiero, que puede dar lugar a pérdidas monetarias y daño a la reputación. Regularmente se manifiesta de la siguiente manera:
Phishing bancario: es un tipo común de phishing dirigido específicamente a clientes de instituciones financieras. Los correos electrónicos falsificados, que parecen provenir de bancos legítimos, solicitan a los destinatarios que hagan clic en enlaces maliciosos que los redirigen a sitios web falsificados que buscan imitar a la perfección la apariencia de la página de inicio de sesión del banco. Una vez que los clientes ingresan sus credenciales de inicio de sesión en estos sitios, los ciberdelincuentes pueden capturar esta información y utilizarla para acceder ilegalmente a las cuentas bancarias de las víctimas.
Vishing (phishing de voz): en este tipo de ataque, los delincuentes utilizan llamadas telefónicas automáticas o personales para obtener información confidencial. Pueden hacerse pasar por empleados de un banco o institución financiera y solicitar información personal o financiera.
Smishing (phishing de SMS): es similar al phishing por correo electrónico, pero en este caso los delincuentes envían mensajes de texto fraudulentos que parecen ser de una institución financiera legítima, solicitando información confidencial o haciendo clic en enlaces maliciosos que pueden llevar a páginas web falsas.
Fraude de transferencia de fondos: Los ciberdelincuentes pueden utilizar la ingeniería social para engañar a los clientes o empleados de instituciones financieras para que realicen transferencias de fondos fraudulentas. Esto puede implicar la manipulación de empleados para que realicen dichas transferencias controladas por los atacantes, o la persuasión de clientes para que lo envíen a cuentas falsas bajo pretextos convincentes.
Tarjetas clonadas: Los delincuentes pueden utilizar la ingeniería social para obtener ilegalmente la información de las tarjetas de crédito o débito de los clientes. Además de usar métodos de phishing y skimming (extracción de datos de la tarjeta) en cajeros automáticos modificados. Esta información se puede utilizar para crear tarjetas clonadas que se utilizan para compras fraudulentas o retiros de efectivo.
Es crucial reconocer la importancia de la conciencia y la educación en seguridad cibernética para combatir eficazmente la ingeniería social. Las organizaciones deben implementar medidas proactivas, como la capacitación del personal en la identificación de intentos de ingeniería social; la implementación y cumplimiento de políticas de seguridad robustas y la utilización de herramientas de protección de datos y redes.
Además, es esencial fomentar una cultura de seguridad cibernética consciente, donde la vigilancia y la precaución sean prioridades en todas las interacciones digitales. Al aumentar la conciencia sobre las técnicas de ingeniería social y promover prácticas seguras en línea, podemos mitigar el riesgo de ser víctimas de estos ataques y proteger nuestra información personal y empresarial.