Ataques de ingeniería social: ¿cuáles son las claves de su éxito?

Foto de Karolina Grabowska en Pexels

En nuestro anterior post, Algunas claves sobre la ingeniería social realizada a Twitter. ¿Quién está detrás del ataque?, analizábamos el último incidente de ciberseguridad de la popular red social.

El atacante, de solo 17 años, utilizó una de las técnicas que están en auge actualmente: la ingeniería social y, en concreto, el vishing. De esta forma, mediante una llamada y una conversación repleta de técnicas de persuasión basadas en la Psicología fue capaz de obtener las claves necesarias para suplantar la identidad de personalidades famosas y perpetrar así un ataque de repercusión global. Lo único que necesitó fue hacerse pasar por uno de los miembros del equipo de IT para conseguir que su víctima proporcionara los datos de su VPN a través de una página web fraudulenta.

Un problema generalizado

Este es solo uno de los múltiples casos de ingeniería social que han tenido lugar recientemente. Si bien el anterior ataque se producía en Estados Unidos, se trata de un problema que ocurre en todas las geografías. Por ejemplo, este mismo año en España la Policía Nacional ha detenido a diecisiete personas por estafar más de 1,3 millones de euros mediante el llamado fraude del CEO a varias empresas. Este ataque tiene como objetivo a empleados o directivos de una organización, en el que el atacante se hace pasar por un alto cargo de la misma para conseguir su propósito. En este caso, los atacantes consiguieron información sensible sobre las empresas en cuestión mediante diferentes técnicas, de forma que pudieron engañar a sus víctimas haciendo alusión a dicha información y aumentando así su credibilidad.

Otro de los ataques de los que alerta el Instituto Nacional de Ciberseguridad (INCIBE) es el fraude de Recursos Humanos. Consiste en enviar un correo electrónico a los responsables de dicho departamento haciéndose pasar por un empleado de la empresa. En el mensaje se pide la modificación de la cuenta bancaria de dicho empleado por la del atacante, de forma que el pago de la nómina lo recibe el ciberdelincuente.

Photo de Austin Distel en Unsplash

La razón detrás del éxito

Está claro que la clave de todos estos incidentes reside en el factor humano. La pregunta que cabe hacerse en estos casos es: ¿cómo consiguen los atacantes engañar a los empleados de las empresas para hacerles actuar exactamente como necesitan? La respuesta precisa es: explotando sus vulnerabilidades.

Estas vulnerabilidades tienen su origen en la forma de ser de las personas y, aunque ciertos aspectos nos afectan más o menos en función de cómo somos, todos pueden suponer una vía de entrada para los atacantes si se emplea el mensaje correcto.

En el caso de las múltiples empresas que fueron víctimas del fraude del CEO, elegir la figura de un alto cargo no se trata de un movimiento al azar, sino que el objetivo es apelar a su autoridad para evitar así que se cuestione la forma de proceder requerida (recordemos, fuera de los protocolos) y favorecer la obediencia.

La solución

Esta no es la única manera de realizar un ataque de ingeniería social exitoso. Son diversos los factores que pueden entrar en juego, por lo que conocer aquellos mensajes a los que somos más vulnerables es fundamental para poder fortalecernos en materia de ciberseguridad.

De esta forma se pueden prevenir incidentes como el que se evitó en Tesla, donde uno de los empleados alertó a la compañía tras haber rechazado una oferta de un millón de dólares por instalar un ransomware en uno de los ordenadores corporativos. Esto pone de manifiesto que la concienciación de los trabajadores no solo es posible, sino también esencial para preservar la seguridad de la información, y esto se consigue mediante un proceso de fortalecimiento personalizado según las necesidades de cada uno.

Kymatio incluye funcionalidades que miden el nivel de vulnerabilidad de una persona ante los mensajes que pueden ser empleados en un ataque de ingeniería social. De esta manera se lanzan recomendaciones de concienciación y ejemplos reales que permiten a los empleados estar alerta ante los diferentes vectores de ataque de ingeniería social que se pueden utilizar para provocar un incidente.