¿Qué es la ingeniería social y por qué está cambiando el enfoque de la seguridad cibernética?

Este concepto, que se refiere puntualmente a la modalidad a través de la cual, el atacante hace un seguimiento detallado de la víctima, recopilando información y buscando un espacio fuera de los cada vez más elaborados sistemas de seguridad informática, la psicología humana.

El ingeniero social recurre al estudio del consumo digital de los usuarios para crear un perfil de la víctima, pero también presta especial atención a su comportamiento cotidiano fuera del entorno tecnológico: salidas a restaurantes, centros comerciales o cualquier actividad recurrente o predecible.

La habilidad del delincuente consiste en convertir los datos obtenidos en oportunidades de atacar, a través de técnicas que generan curiosidad, sentido de urgencia o miedo en los posibles afectados, según su perfil y según la información que quieren obtener.

DEMASIADO BUENO PARA SER VERDAD

¿Te han llegado invitaciones o “promociones” en las que te ofrecen acceder a servicios de streaming de películas o música gratis? Seguramente. Aunque no lo creas, esta sigue siendo una modalidad efectiva de captación de datos personales y empresariales.

Ahora bien, imagina que ese es tan solo un intento al azar de los ciberdelincuentes. La ingeniería social va un paso más allá y genera acciones segmentadas y orientadas a la captación de los datos de determinada persona a través de:

• Puntos de acceso wifi
• Llamadas telefónicas
• Mensajería instantánea y SMS
• Memorias externas USB

EL PHISHING

Es la modalidad más efectiva de ataques de ingeniería social. Se trata del robo de datos, credenciales y contraseñas por medio de correos electrónicos maliciosos en los que suplantado marcas, personas e incluso perfiles laborales, con un clic de la víctima pueden generar la instalación de malware, la congelación del sistema como parte de un ataque de ransomware o el robo de información confidencial.

“El 91% de los ciberataques comienzan con un correo electrónico de spear phishing”

CIBERDELINCUENCIA COMO SERVICIO

Se trata de un negocio tan rentable, que actualmente existe tono un entorno criminal dedicado a crear y proveer ataques de phishing, usando botnets globales para evitar el uso de rangos IP sospechosos, al mejor estilo de las más sofisticadas estrategias de marketing. En muchos casos con mejores resultados.

Es así como estamos comenzando a ver estafas BEC (Business Email compromise), un nuevo y peligroso subconjunto de ataques de phishing que permite a los atacantes ampliar sus beneficios dirigiéndolos contra objetivos corporativos de alto valor.

NIVEL DE SEGUIMIENTO (CLICS) DE CORREOS DE PHISHING

ingenieria-social

*Fuente: Verizon 2016 DBIR & Experian Email Benchmark Report Q4 2016

Indicios a los que hay que estar atentos para descubrir posibles intentos de pishing, toma nota:

SALUDOS GENÉRICOS

Los correos electrónicos de phishing frecuentemente utilizan formulaciones genéricas como «Estimado cliente». Este uso de saludos impersonales les ahorra tiempo a los cibercriminales.

CORREOS INESPERADOS CON INFORMACIÓN ESPECÍFICA

Información como tu puesto, empleo anterior o intereses personales pueden obtenerse en redes sociales como LinkedIn y se usa para hacer más convincente los correos electrónicos de phishing.

«VERIFICA TU CUENTA»

Estos mensajes falsifican correos electrónicos reales pidiéndote que verifiques tu cuenta. Busca siempre señales de phishing y cuestiona por qué se te pide que verifique algo, probablemente se trata de una estafa.