Kymatio about Social engineering

El riesgo de la Ingeniería Social

Cuando hablamos sobre ciberdelincuencia, la visión de la gran mayoría de usuarios gira en torno a complejos códigos maliciosos creados a medida para atacar una organización en particular.  Pero en realidad, la ciberdelincuencia no opera siempre de esta manera.

El principal motivo es que ese tipo de ataques requieren una inversión de tiempo, recursos humanos y económicos muy elevados.

La mayoría de los ciberataques se centran en apuntar al mayor número de víctimas, con la menor inversión posible. Para conseguirlo, una de las técnicas preferidas por los ciberdelincuentes es la ingeniería social.

Actualmente estamos asistiendo a un incremento alarmante en la sofisticación de los ataques, particularmente apoyada por la exposición digital de las personas (Redes sociales personales o profesionales).

Definición de Ingeniería Social

Dentro del contexto de la ciberseguridad, el Instituto Nacional de Ciberseguridad (INCIBE) define la ingeniería social como técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al ciberdelincuente.  Otra posible definición de ingeniería social podría ser hacking de personas”.

El problema

Como cada persona es más susceptible de responder a unos estímulos o mensajes que a otros, es primordial conocer a qué tipo de ataque es más vulnerable y formar y concienciar a los usuarios en función de esta información.

En la actualidad, está aumentando el esfuerzo en lo relativo a la concienciación que ofrecen algunas empresas respecto a los ataques de phishing. Sin embargo, muchas personas siguen siendo víctimas de este tipo fraude, por lo que cabe preguntarse cuál es la causa. No hay duda de que los ataques son cada vez más sofisticados en cuanto a su formato, forma de escribir, etc., pero esta no es la única razón. Una de las claves reside en los mensajes y los sentimientos a los que apelan, ya que pretenden bajar la guardia del receptor para evitar que se cuestione su legitimidad.

Los ciberdelincuentes disponen de un potente arsenal compuesto por diferentes tipos de ataques de ingeniería social que van dirigidos a las personas, y las soluciones tecnológicas actuales, centradas en proteger sistemas informáticos, poco pueden ayudar a detenerlos.

Los atacantes explotan las “vulnerabilidades” de las personas. 

Estas vulnerabilidades están relacionadas con cómo somos cada uno de nosotros (qué nos motiva) y con nuestro actual estado de alerta (cuánto nos confiamos) en el momento del ataque.

Entre las vías de que utilizan los atacantes de forma habitual encotramos phishing (suplantación de identidad), vishing (llamada telefónica) o smishing (SMS) entre otros.

¿Cómo protegernos de la ingeniería social?  
Photo by ThisIsEngineering from Pexels

Los atacantes explotan las “vulnerabilidades” de las personas.

¿Cómo protegernos de la ingeniería social?   

Para protegerse ante este tipo de ataques es necesario conocer y entender dichas vulnerabilidades y el modus operandi de los atacantes. Como se hace tradicionalmente en la gestión de vulnerabilidades  tecnológicas para el hardening de los servidores.

Existen técnicas que utilizan distintos mensajes con los que pueden atacarnos con Ingeniaría Social, por ejemplo estos tres tipos habituales:

1.- Mensajes basados en el miedo

Como decirle a unan persona que o contesta rápidamente o cancelan su cuenta

2.- Basados en la codicia

Aquellos que ofrecen dinero u otro tipo de ganancia por realizar una determinada acción

3.- Aspectos relacionados con la curiosidad

Pulsa aquí y verás el vídeo más divertido del año, etc.
Módulo de Ingeniería Social

Cada uno de estos mensajes desencadena una serie de mecanismos que tienen lugar en el interior de la persona que los recibe.

En primer lugar, generan unas expectativas determinadas sobre lo que sucederá en caso de que se actúe (o no) de forma acorde a la petición realizada. Ante dicha consecuencia, se activan distintas emociones en función de si esta es positiva o negativa (ansiedad o impaciencia, por ejemplo).

Por último, tiene lugar el factor conductual. Este es el más interesante para los atacantes, pues es mediante el cual van a conseguir su objetivo. Y, de hecho, lo conseguirán si la emoción previa es lo suficientemente fuerte como para nublar la conciencia de la víctima de forma que no llegue a plantearse que puede estar ante un intento de engaño. Actuará acorde a ella para huir de esa consecuencia negativa o conseguir la ganancia anunciada.

Kymatio Social Engineering

La inteligencia artificial de Kymatio se apoya en la neurociencia para identificar las vulnerabilidades y proporcionar las recomendaciones que mejor se adaptan a cada persona, situándoles frente a cada situación de forma que les permite prepararse para el momento en que se enfrenten a los diferentes tipos de ataque de ingeniería social.

La IA de Kymatio utiliza la neurociencia para identificar estas vulnerabilidades y proporcionar las recomendaciones que mejor se adaptan a cada persona.