“Una cadena es tan fuerte como su eslabón más débil”

“El eslabón más débil de la ciberseguridad es el usuario”

Enunciando estas dos citas me gustaría comenzar este post. Si las unimos podremos ver clara la perspectiva por donde irá orientado este artículo. De la amalgama elaborada a partir de las dos citas, podemos inferir que, aunque tengamos la mejor infraestructura para defendernos de los ciberataques, un usuario con la guardia baja en nuestro sistema puede hacer que todo se vaya al garete. Y es que el factor humano juega un papel muy importante en que nuestra información y sistemas no se vean comprometidos. Los ataques de ingeniería social están muy a la orden del día, y del nivel de concienciación de los usuarios, dependerá que el porcentaje de éxito de estos ataques no sea elevado.

La debilidad que supone el factor humano es conocida por los cibercriminales, que intentarán persuadir y manipular a los usuarios, entrando aquí en juego la ingeniería social.

¿QUE ES LA INGENIERÍA SOCIAL?

La ingeniería social es “cualquier acto que influencia una persona para que realice acciones que puede o no estar entre sus intereses”. (Christopher Hadnagy, 2018).

Cabe mencionar que la Ingeniería social es tan vieja como el ser humano, ya que desde los tiempos más remotos se vienen utilizando diferentes trucos y picardías con el fin de sacar alguna ventaja sobre otro ente. Si nos paramos a pensarlo, desde muy pequeños hacemos ingeniería social (sin ser conscientes de las técnicas y de lo que es), ya que, solo hay que acordarse de los chanchullos que se llevan a cabo en el patio del colegio con el fin de conseguir los cromo buenos, los mejores tazos, etc… con intercambios que no siempre eran un win-win para los dos, sino que en ese intercambio el más pillo se quedaba con lo mejor.

En el ámbito de la ciberseguridad, un ciberatacante manipulará a una persona a través de técnicas psicológicas y habilidades sociales para conseguir información de su interés y/o ganar acceso a sistemas. Teniendo en cuenta la máxima de que el usuario es el eslabón más débil dentro de la ciberseguridad, podemos apreciar como la ingeniería social cuenta con varias ventajas que hacen que su uso sea realmente interesante: Los ataques basados en ingeniería social son ataques bastante efectivos, sencillos y baratos de llevar a cabo. Todo esto sin olvidar el alto impacto que estos ataques pueden causar, ya que podrían conseguir cualquier información nuestra o de la organización y quedarse con credenciales. Además es muy probable que pasen desapercibidos para la víctima.

Si hablamos de ingeniería social, es obligatorio hablar de Kevin Mitnick, uno de los hackers más famosos de la historia, que dice en su libro “The Art of Deception” que la Ingeniería Social “utiliza la influencia y la persuasión para engañar a las personas, convenciéndolas, mediante la manipulación, de que el ingeniero social es alguien que no es. Como resultado, el ingeniero social es capaz de aprovechar a las personas para obtener información con o sin el uso de tecnología.”

Ingeniería social
Kevin Mitnick. fuente: Wikipedia

Además Mitnick, asegura que el éxito de la Ingeniería Social radica de las siguientes pautas:

  • Todos queremos ayudar
  • No nos gusta decir que no
  • La primera actitud suele ser de confianza hacia otra persona
  • Nos gusta que nos alaben

Estas pautas las podemos combinar con los 6 principios de la persuasión que Robert Cialdini nombra en su libro “Influence: the psychology of persuasion” y que comentaremos a continuación. Es importante que tengamos todos estos principios muy en cuenta, ya que el hecho de conocerlos nos permitirá que nuestras pruebas de Ingeniería Social en entornos controlados tengan éxito, y sobre todo, nos permitirá identificarlos cuando estemos siendo víctimas nosotros.

PRINCIPIOS PERSUASIÓN E INFLUENCIA

  • Reciprocidad: Las personas tratan a los demás, como perciben que los demás los tratan a ellos. Esto puede llevar a que cuando damos algo, a cambio siempre nos devolverán una recompensa. Este principio lo podemos ver plasmado cuando nos ofrecen algo a cambio de dar alguna información.
  • Compromiso y coherencia: Las personas realizan acciones que son más consistentes con lo que ya han hecho en el pasado y se tiende a ser consecuentes con las decisiones tomadas. Un ejemplo de este principio es cuando alguien nos pide ayuda y nosotros aceptamos. Tras ayudarle con cuestiones sencillas, nos plantea algo que de por si no realizaríamos, pero como previamente nos comprometimos a ayudarle es probable que accedamos a realizar su petición.
  • Aprobación social: Las personas tienden a sumarse a la opinión mayoritaria. Cuando una persona tiene que realizar alguna acción, le dará menos reparo si esta acción también la realizó un grupo de personas.
  • Autoridad: Las personas con cierto liderazgo o notoriedad gozan de mayor credibilidad. En el caso de un ataque de IS, hacerse pasar por un jefe dará más opciones de obtener cierta información de algún empleado (siempre dependiendo del contexto)
  • Simpatía: Una persona que sea simpática y/o atractiva a otra, tiene mayor persuasión. El llamado Efecto Halo, hace que atribuyamos más cualidades positivas a personas que nos parecen atractivas. Mediante esta atracción hace que sea más sencillo establecer vínculos de confianza.
  • Escasez: Las personas tienden a dar más valor a aquello que perciben como escaso y/o exclusivo. Es por esto que los ataques de ingeniería social suelen jugar con la urgencia (escasez de tiempo), ofertas con descuentos increíbles, … pues la víctima lo verá como una oportunidad y actuará sin pensarlo dos veces.

En el siguiente vídeo, Mario Casado habla con detalle de la Ingeniería Social y los principios de Robert Cialdini aplicados a esta

FASES INGENIERÍA SOCIAL

  • Recolección de información: Obtener información sobre la víctima para ir creando un vector de ataque.
  • Relación de confianza: En base a la información obtenida en la fase anterior, se prepara un gancho con el que atraer a la víctima y establecer confianza.
  • Manipulación: Ejecución del ataque en el que se buscará conseguir determinado objetivo.
  • Salida: Se corta la interacción con la víctima y se intentan borrar las huellas.

Aquí podrás ver una completa infografía sobre el ciclo de la ingeniería social preparada por la Oficina de Seguridad del Internauta (OSI)

ATAQUES DE INGENIERÍA SOCIAL

Dependiendo del número de interacciones que requieran por parte del ciberdelincuente encontramos 2 tipos:

  • Hunting: Con una interacción, buscan afectar al mayor número de usuarios. Suele ser propio cuando se necesita un dato concreto (por ejemplo: unas credenciales). Con el menor contacto posible se incita a la víctima a realizar una acción, y así una vez conseguido, desaparecer.
  • Farming: Los ciberdelincuentes harán varias interacciones con la víctima, con el fin de poder obtener más información y afinar el ataque. Aquí se buscará establecer cierta relación con la víctima, muchas veces con una identidad falsa, con el fin de conseguir la mayor información posible.

Para llevar a cabo los ataques se utilizan diferentes técnicas, todo depende de la imaginación del cibercriminal y que objetivo tenga. Es interesante recalcar que los ataques de ingeniería social se pueden hacer a través de internet, por telefono, SMS, fisicamente,…etc Todo dependerá de la necesidad del cibercriminal. A continuación vemos algunas de las técnicas más utilizadas:

  • Phising: Técnica de suplantación de identidad mediante correos fraudulentos que buscan redirigir a la víctima a una web falsa y así conseguir extraerle información o infectar su equipo. Ana Masedo escribió en este blog un interesante artículo sobre que es el phising (Lo puedes leer aquí)
  • Pretexting: Los atacantes se harán pasar por otra persona o entidad con el fin de ganar la máxima confianza con nosotros, y así recabar nuestra información.
  • Baiting: Busca atraer a la víctima con un cebo que pueda ser jugoso para esta. Basándose en la curiosidad que genera la sensación de oportunidad de este cebo, conseguirán recopilar información. Hay variedad de formas de llevar a cabo esta técnica, una muy conocida es el USB Baiting, en la que el atacante simulará dejar olvidada una memoria USB con malware, en algún lugar público, y esperando a que cualquier persona lo encuentre y lo conecte a su equipo con la curiosidad y buena fe de devolver el pendrive a su dueño.
  • Tailgating: Perseguir a una persona para tener acceso físico a un área restringida. Por ejemplo: El atacante se puede valer de la cortesía de la víctima pidiéndole que le sujete la puerta mientras simula ir de repartidor cargado.
  • Shoulder Surfing: Consiste en mirar por encima del hombro cuando un usuario está introduciendo información sensible.
  • Dumpster Diving: Consiste en mirar en la basura en busca de algo que pueda revelar información. Ya lo dice el dicho “La basura de un hombre, puede ser el tesoro de otro”. Para evitar problemas es muy recomendable destruir documentos antes de tirarlos a la basura

¿Cómo defendernos y prevenir la ingeniería social?

Hay que tener en cuenta que es imposible garantizar la seguridad al 100% pero…

  • Concienciación: Ser conocedor de estos ataques, el impacto que tienen, y las técnicas que utilizan es algo fundamental para reducir el porcentaje de opciones de ser víctimas de ellos. Por ello la formación en seguridad es imprescindible.
  • Ser cuidadoso con que información se hace pública: Hay que ser cuidadoso con todo lo que compartimos. Muy recomendable echar un vistazo al ‘Decálogo para proteger tu privacidad online 24/7‘ publicado en este mismo blog.
  • No abrir links ni adjuntos sospechosos: Esto es algo que ya nos dicen las madres desde muy pequeños! “No aceptes cosas de desconocidos”
  • No tener confianza ciega y contrastar: Siempre contrastar fuentes oficiales. Puede parecer muy interesante un correo que diga que X tienda tenga los productos con descuentos del 70%, pero la mejor forma de saberlo es comprobando las páginas oficiales de esa tienda X
  • Política de contraseñas y 2FA: Como siempre emplear una contraseña robusta, cambiarla cada cierto tiempo y no repetirla en diferentes servicios. Con 2FA ( autenticación en 2 pasos) daremos una capa extra de protección a nuestra cuenta. Muy recomendable echar una lectura a la ‘Guía para crear buenas contraseñas‘ que Martaviolat escribió para este blog.
  • Protección dispositivos: Mantener siempre actualizado el SO y el antivirus.
  • Verificar la seguridad de las webs donde introducimos datos personales.

En resumen, lo importante para prevenir la Ingeniería social son la concienciación y la formación. Por ello es muy recomendable seguir a diferentes blogs de ciberseguridad y mantenerse actualizado. En este post de Iñigo Ladron Morales hay gran cantidad de recursos que nos servirán de ayuda.

Como podemos observar, un ataque de Ingeniería Social puede tener consecuencias devastadoras para aquel que lo sufre. Las características de este tipo de ataques y la aceleración en la digitalización durante la pandemia, llevan a que el número de ataques como el Phising se haya incrementado (Muchas veces utilizando la propia pandemia como gancho) Por eso es importante prestar siempre mucha atención. Además, es importante recordar que estos ataques nos pueden llegar por cualquier medio, e incluso físicamente, por lo tanto la atención y conciencia las tenemos que mantener como un hábito. Como siempre, es imposible alcanzar una seguridad del 100%, pero estar informado y concienciado sobre esta práctica, ayudará a reducir el porcentaje de éxito de esos ciberatacantes que quieran algo de nosotros.

Bonus

Para complementar el artículo, me gustaría añadir el siguiente material que pienso que puede aportar de cara al tema tratado en este post:

Hackeando las emociones: Una nueva visión de la Ingeniería Social‘ una interesante charla de Daniel Medianero sobre las emociones y la ingeniería social

Who Am I: Ningún sistema es seguro‘ Una entretenida película en la que podremos ver como se emplean diferentes técnicas de ingeniería social

Para finalizar el artículo y dejar una reflexión acerca del alto potencial de la ingeniería social me gustaría rescatar la siguiente cita:

“La única computadora segura es aquella que está desenchufada y mediante la ingeniería social incluso se podría convencer a alguien de que la enchufe”