MADRID, 9 Plácida Fernández, Áudea Sociedad de la Información
La ingeniería social se basa en la interacción humana y está impulsada por cibercriminales que usan el engaño con el fin de violar los procedimientos de seguridad que normalmente deberían haber seguido. Se trata de ataques dirigidos contra el eslabón más débil: las personas.
Los ataques de suplantación de identidad, como el 'phishing' o el 'vishing' --ejecutado a través de llamadas de teléfono--, se encuentran entre los tipos de ataques de ingeniería social más comunes.
ENVÍO DE CORREOS ELECTRÓNICOS
La forma más habitual de realizar un ataque de ingeniería social es la recepción de correos electrónicos en los que el usuario abre el mismo y en ocasiones interactúa con él, pinchando en los iconos o enlaces incluidos en el correo.
En la actualidad, se han utilizado 'emails' en los que se incluye un fichero adjunto con un 'malware' denominado 'ransomware'. En estos casos, el usuario descarga el fichero adjunto y ejecutaría, sin querer, un código malicioso que cifraría todos los archivos del ordenador, con lo que se produciría una pérdida total de los datos en el caso de no poseer de una copia de seguridad.
En otras ocasiones, los correo electrónicos no contienen ficheros dañinos, sino que se busca que las victimas introduzcan datos privados, como pueden ser contraseñas o números de tarjetas bancarias.
MENSAJERÍA INSTANTÁNEA Y SMS
Aunque el método más utilizado para redirigir al usuario a páginas webs fraudulentas o mandar archivos infectados con virus siga siendo el correo electrónico, la mensajería instantánea está cobrando cada vez más relevancia debido a la popularización de este tipo de comunicaciones. Los cibercriminales han decidido adaptar los métodos utilizados en los 'emails' mandando direcciones URL acortadas a través de aplicaciones de mensajería instantánea como WhatsApp o Skype, entre otras.
En la mayoría de los casos, los mensajes utilizados suelen anunciar supuestos sorteos o distribuir bulos como que WhatsApp pasará a ser de pago y es necesario instalar una nueva aplicación, generalmente no legítima y con código malicioso.
DISTRIBUCIÓN DE MEMORIAS USB
Es posible realizar un ataque de ingeniería social mediante el abandono intencionado, en lugares fáciles de encontrar para la víctima, de un dispositivo de almacenamiento USB con un fichero malicioso en su interior para la recolección de datos privados.
Este método utiliza dos de las mayores debilidades de ser humano: la curiosidad y la codicia. Por dicho motivo, suelen usarse etiquetas llamativas con palabras como 'Confidencial' o 'Información secreta'. Una vez que la víctima abre el fichero contenido en el dispositivo, se recogerá diversa información privada o se infectará el dispositivo con un 'malware'.
CÓDIGO QR
Ser víctima de un ataque de ingeniería social a través del escaneo de un código QR también es posible, debido a que la víctima no sabe a dónde será redirigida cuando realice esta acción. Es posible que la víctima sea redirigida a una página maliciosa, o bien que provoque la instalación de una aplicación fraudulenta en el dispositivo móvil.
PUNTO DE ACCESO WIFI
¿Quién no se ha conectado a una WiFi gratuita en un hotel o en un aeropuerto? Pues ¡cuidado!, los atacantes o cibercriminales crean puntos de acceso falsos con mensajes atrayentes para las víctimas, como pueden ser 'WiFi gratis', 'Free WiFi' o un nombre similar a una red legítima, para conseguir datos de todos aquellos usuarios que se conecten a la red.
LLAMADAS DE TELÉFONO
Otra táctica son las llamadas telefónicas, que pueden variar en función del tipo de puesto que ocupe una víctima en una compañía. Para los secretarios que están en la puerta de entrada, recibiendo llamadas y de cara al público, la mejor táctica ya no es el 'phishing', sino que pueden ser vulnerables a llamadas falsas de altos cargos , personas amigables, alguien que parece conocer la gente y la estructura de la empresa o una petición urgente de la cual habrá consecuencias si algo sale mal. En ocasiones, este tipo de víctimas desconocen el nivel de confidencialidad de los datos que manejan.
Si se trabaja en un departamento de información al cliente, también se puede ser un objetivo claro para un atacante, ya que puede ser llamado con intención de obtener información sobre nombres de empleados, proyectos que la compañía está realizando o números de teléfono y direcciones de correo electrónico.
Por su parte, los departamentos de recursos humanos manejan información de todas las personas que trabajan en una empresa, por lo que en ocasiones pueden proporcionar más información de la necesaria. Por ejemplo, se puede hacer una llamada haciéndose pasar por un empleado de la compañía o por un posible candidato a una oferta de empleo, y así obtener información de los proyectos de la empresa.
Pero ¡cuidado! No solo se pueden recibir estas llamadas de teléfono en un ambiente de trabajo: muchas personas reciben llamadas a su teléfono particular, procedentes de una persona que simula ser empleado de una entidad bancaria o de una compañía telefónica, para así obtener información privada.
ACCESO FÍSICO
Los atacantes se aprovechan de la cortesía de la mayoría de las personas pidiendo, por ejemplo, que se les sujete la puerta. Este hecho, que a priori puede parecer inofensivo, puede provocar que un atacante acceda a una zona restringida.
El objetivo principal es el acceso físico a un edificio o a una parte de este, para así conocer sus distintas ubicaciones u observar detalles como pueden ser 'post-its' con contraseñas, que en muchos casos se suelen encontrar en los monitores.
CLONACIÓN DE WEBS
Habitualmente, los usuarios solo se fijan en la apariencia estética de las páginas web que visitan. Sin embargo los atacantes pueden clonar estos sitios y suplantar los originales para recoger credenciales de las víctimas u otro tipo de información privada.
Tal y como se ha descrito, existen multitud de formas de ser víctima de un ataque de ingeniería social, bien como usuario particular o como empleado de una compañía. Por este motivo, es muy importante conocer cada una las posibilidades para evitar ser afectados por un atacante.
