Ingeniería Social

Existe una vulnerabilidad presente en tanto en hogares como empresas, una de las más atacadas y a la vez más complejas que requieren la necesidad constante de aprendizaje y mejora, dicha vulnerabilidad se trata de las personas.

Todos nos hemos topado alguna vez con intentos de ataques de ingeniería social y conocemos a alguien que o bien ha caído en un ataque, o bien, afortunadamente, fue capaz de reconocer dicho intento, porque aprendió a través de simulacros de ataque o cursos a desconfiar de determinados mensajes, remitentes, llamadas, redes wifi, dispositivos abandonados o incluso códigos QR.

Según el CCN-Cert en 2020, la tendencia de aumento de ataques de ingeniería social se ha materializado en la detección de un 200% más de este tipo de amenazas que en el año anterior. Se trata de una tendencia cuanto menos a tener en cuenta por parte de todos.

Dentro de la diversidad de ataques existentes, recientemente están destacando los ataques de Smishing (suplantación de un remitente confiable en el envío de sms) en los que la gente, al recibir el mensaje dentro del mismo hilo que los legítimos y contar con información limitada a cerca de los factores a tener en cuenta a la hora de enfrentarte a un mensaje de este tipo, termina siendo víctima del ataque. Un usuario no especializado desconoce que es posible suplantar la identidad de una entidad confiable como podría ser tu banco. Esto es posible debido a la existencia de apps que permiten enviar mensajes desde fuentes desconocidas sustituyendo el teléfono remitente por un código alfanumérico que, al coincidir con el legítimo, es agrupado en el mismo hilo de mensajes.

Cada vez los ataques son más sofisticados y difícilmente detectables. En algunas ocasiones, se han descubierto ataques en los que se combinaban diversas tipologías de ingeniería social. Un claro ejemplo podría ser uno en el que el usuario víctima, recibe una llamada inesperada de la cual probablemente pueda llegar a sospechar. Dicho atacante malintencionado, decide en ese momento enviar un correo o sms previo aviso a la víctima, utilizando de esta forma un medio a través del cual la víctima se siente más familiarizado con determinadas comunicaciones o peticiones de información y al esperar dicha comunicación, inconscientemente reduce su sospecha y aumentan las posibilidades de terminar cayendo en dicho ataque.

En cualquier ejercicio de ingeniería social el grado de información recopilada, así como la astucia o el factor psicológico juegan un papel importante, en muchos casos determinante. Si bien es cierto que existen múltiples ataques en los que el objetivo no ha sido estudiado y simplemente se realiza el ejercicio de “probar suerte” con un mensaje genérico, en otros, son ataques dirigidos en los que se ha realizado un estudio previo tanto de los empleados como de la identidad corporativa del objetivo.

Cada uno de dichos factores, puede tener más o menos relevancia dependiendo del tipo de ataque al que nos enfrentemos. Por ejemplo, en caso de un vishing, destaca el factor psicológico, así como la habilidad de manipulación por parte del atacante. Por otra parte, en un potencial phishing, smishing, generación de códigos QR vinculados a páginas maliciosas o falsos puntos de acceso wifi, el estudio de la identidad corporativa de la empresa gana más peso, consiguiendo de esta forma no levantar las sospechas de los usuarios víctimas.

Cada uno de los empleados de una empresa es un potencial vector de entrada para un atacante, lo que hace que para la empresa sea una amenaza complicada de gestionar. Las empresas se encuentran en constante cambio, es posible que cuente con rotación en sus empleados o que simplemente se encuentre en un proceso de crecimiento, lo que vuelve imprescindible realizar una inversión constante en formación para conseguir minimizar la probabilidad de ataque satisfactorio. Desde Audea contamos con un amplio catálogo de cursos especializados en ingeniería social, así como auditores con una amplia experiencia en ejecución de este tipo de campañas.