Comprender el panorama actual de las amenazas de ingeniería social

0
98

El eslabón más débil de la cadena de seguridad no son nuestros procesos ni nuestra tecnología: somos nosotros. Por un lado, está el error humano. Un gran número de incidentes de seguridad (el 40%, según estimaciones conservadoras) están causados por el comportamiento humano, como hacer clic en un enlace de phishing. Por otro lado, está el papel de la ingeniería social en el desencadenamiento de este error humano.

La ingeniería social es un término utilizado para una amplia gama de actividades maliciosas realizadas a través de las interacciones humanas. Utiliza la manipulación psicológica para explotar nuestras vulnerabilidades emocionales y engañar a los usuarios para que cometan errores de seguridad o entreguen información sensible. A menudo se trata de oportunidades en las que el tiempo es un factor importante y de solicitudes urgentes para transmitir una sensación de pánico a la víctima.

La táctica de ingeniería social más común: el phishing
La forma más dominante de ataques de ingeniería social son los ataques de phishing. El phishing es una forma de fraude en la que un atacante se hace pasar por una persona o empresa conocida por el objetivo, y le envía un mensaje solicitando acceso a un sistema seguro con la esperanza de explotar ese acceso para obtener beneficios económicos. El ejemplo más famoso de este tipo de ataque es la estafa «419», también conocida como la estafa del «príncipe nigeriano», que pretende ser un mensaje de un príncipe nigeriano, solicitando su ayuda para sacar una gran suma de dinero de su país. Es una de las estafas más antiguas que existen, ya que se remonta al siglo XIX, cuando se conocía como «El prisionero español».

Aunque la versión moderna -la estafa «419»- llegó por primera vez a las cuentas de correo electrónico en los años 90, el mundo del phishing se ha ampliado a lo largo de las décadas para incluir métodos como el spam phishing, que es un ataque generalizado dirigido a múltiples usuarios. Este tipo de ataque «spray-and-pray» se basa en la cantidad sobre la calidad, ya que sólo necesita engañar a una fracción de los usuarios que reciben el mensaje.

El spear phishing
Por el contrario, los mensajes de spear phishing son ataques personalizados dirigidos a un individuo específico. Estos ataques suelen estar diseñados para que parezca que provienen de alguien en quien el usuario ya confía, con el objetivo de engañar al objetivo para que haga clic en un enlace malicioso del mensaje. Una vez que esto sucede, el objetivo revela involuntariamente información sensible, instala programas maliciosos (malware) en su red o ejecuta la primera etapa de una amenaza persistente avanzada (APT), por nombrar algunas de las posibles consecuencias.

Whale-phishing o caza de ballenas
El whale-phishing es una forma de phishing con arpón dirigida a objetivos de alto perfil y alto valor, como celebridades, ejecutivos de empresas, miembros de la junta directiva y funcionarios del gobierno.

Angler phishing
El angler phishing es un término más reciente para los ataques que suelen ser instigados por el objetivo. El ataque comienza con un cliente que se queja en las redes sociales sobre los servicios de una empresa o institución financiera. Los ciberdelincuentes rastrean las cuentas de las principales empresas en busca de este tipo de mensajes. Una vez que encuentran uno, envían a ese cliente un mensaje de phishing utilizando cuentas de redes sociales corporativas falsas.

Vishing
El vishing -también conocido como phishing de voz- emplea la tecnología telefónica o VoIP (voice over internet protocol). Este tipo de ataque es cada vez más popular y los casos han aumentado un increíble 550% sólo en los últimos 12 meses. En marzo de 2022, el número de ataques de vishing experimentados por las organizaciones alcanzó su nivel más alto jamás reportado, superando el récord anterior establecido en septiembre de 2021.

Las tácticas de vishing se utilizan con mayor frecuencia contra las personas mayores. Los atacantes pueden, por ejemplo, pretender ser un miembro de la familia que necesita una transferencia de dinero inmediata para salir de un apuro, o una organización benéfica que busca donaciones después de un desastre natural.

Cebo y scareware
Más allá de las numerosas categorías y subcategorías de phishing, existen otras formas de ingeniería social, como la basada en anuncios y la física. Por ejemplo, el «baiting», en el que se utiliza una falsa promesa, como un anuncio en línea de un juego gratuito o un software con grandes descuentos, para engañar a la víctima y que revele información personal y financiera sensible o infecte su sistema con malware o ransomware.

Los ataques de scareware, por su parte, utilizan anuncios emergentes para asustar al usuario haciéndole creer que su sistema está infectado por un virus informático y que debe comprar el software antivirus que se le ofrece para protegerse. En lugar de ello, el propio software es malicioso e infecta el sistema del usuario con los mismos virus que intentaban evitar.

Tailgating y shoulder surfing
Formas de ataques físicos de ingeniería social que incluyen el tailgating, un intento de obtener acceso físico no autorizado a espacios seguros en las instalaciones de la empresa mediante la coacción o el engaño. Las organizaciones deben ser especialmente sensibles a la posibilidad de que los empleados recientemente despedidos vuelvan a la oficina utilizando una tarjeta llave que todavía está activa, por ejemplo.

Del mismo modo, el espionaje o el «shoulder surfing» en espacios públicos es una forma notablemente sencilla de acceder a información sensible.

En última instancia, a medida que las tecnologías evolucionan, también lo hacen los métodos utilizados por los ciberdelincuentes para robar dinero, dañar los datos y perjudicar la reputación. Las empresas pueden tener todas las herramientas del mundo a su disposición, pero si la causa principal es la acción humana que no está protegida o controlada, siguen siendo vulnerables a una brecha. Por lo tanto, es muy importante que las empresas apliquen un enfoque de varios niveles a su estrategia de ciberseguridad, incorporando una combinación de formación del personal, una cultura empresarial positiva y pruebas de penetración periódicas que utilicen técnicas de ingeniería social.

CambioDigital OnLine | Fuente WEB

Custom Text
Artículo anteriorESET nos advierte sobre las estafas más comunes en Facebook Marketplace
Artículo siguienteTesla pierde a un alto ejecutivo de IA que dirigía el equipo de visión de Autopilot