¿Qué es la ingeniería social inversa y qué la hace tan peligrosa?

El problema de la ingeniería social

Ya en otras publicaciones hemos comentado el gran problema que supone la ingeniería social hoy en día, tanto para las organizaciones como para los particulares. Se trata de uno de los principales métodos de ataque por parte de los ciberdelincuentes, y no parece detenerse.

Recordemos que los ingenieros sociales buscan explotar las vulnerabilidades de las personas para manipularlas y conseguir que actúen según sus intereses. Para ello, contactan a la víctima a través de cualquier canal (correo electrónico, mensaje de texto, llamada telefónica e incluso cara a cara), en muchas ocasiones suplantando a una entidad conocida para generar mayor credibilidad.

Gracias a un elevado estado de alerta fruto de una buena concienciación, es posible identificar este tipo de ataques, si bien algunos son más sofisticados que otros. Pero ¿qué pasaría si fuera la víctima quien necesita al atacante? Definitivamente sería mucho más complicado identificarlo.

Sí, puede sonar inverosímil que sea la víctima quien necesite al atacante. Y no, no hace falta ser una persona especialmente ingenua para caer en esta trampa. De hecho, se trata de una técnica con nombre propio: ingeniería social inversa.

Ingeniería social inversa: ¿qué es?

Un ataque de ingeniería social inversa es una variante de un ataque de ingeniería social. También busca manipular a la persona objetivo para que actúe de una determinada forma, pero la razón por la que se denomina “inversa” es porque no es el atacante quien busca a la víctima, sino al revés.

Al igual que los humanos tendemos a ayudar a otras personas cuando están en apuros, también hay ocasiones en las que somos nosotros los que necesitamos ayuda. Y de esto se aprovecha esta técnica.

El primer paso de la ingeniería social inversa es generar una necesidad en la víctima. Generalmente se realiza a través de una llamada telefónica en la que se expone el supuesto problema, aunque, en los casos más sofisticados, todo comienza con un primer correo de phishing que hace que el sistema deje de funcionar correctamente. De esta forma, el atacante se presenta como la solución.

Puede que se manipule algún dato previamente para que el objetivo crea que el número de teléfono desde el que recibe la llamada pertenece al servicio técnico legítimo o, en otras ocasiones, es el propio atacante quien se presenta como un ayudante para resolver el supuesto problema. En cualquier caso, es la víctima quien cree que está recibiendo ayuda cuando, en realidad, está proporcionando datos sensibles e incluso cediendo el control remoto de su equipo al ingeniero social.

En este vídeo del INCIBE se muestra cómo la atacante genera una necesidad en el trabajador y, por su propia petición, acaba controlando su ordenador.

Es precisamente por esta razón por lo que se trata de una técnica tan peligrosa: porque es la víctima quien cree necesitar la ayuda del atacante y, por tanto, las probabilidades de sospecha se reducen drásticamente.

Cómo proteger a los empleados

La respuesta es clara: con concienciación. Es preciso que la plantilla conozca qué es la ingeniería social, cómo funciona y las distintas formas que puede adoptar. Solo así es posible mantener un estado de alerta adecuado que permita identificar un ataque.

Kymatio® dispone de un módulo de concienciación personalizado para cada usuario en función de sus necesidades. Además, con Kymatio® Trickster se pueden llevar a cabo simulaciones de phishing y smishing, entre otras funcionalidades, para evaluar la reacción de los empleados ante estas situaciones realistas.

¿Quieres proteger a tus empleados? Contáctanos ahora y te explicamos lo sencillo que es con Kymatio®