Cuando pensamos en ataques informáticos o ciberataques, es muy probable que lo primero que nos venga a la mente sean intentos de hackeos a través del uso de malware o spyware, pero lo cierto es que hay formas más sencillas que solo requieren un poco de habilidad en manipular a las personas y saber dónde buscar información sobre ellas. Hablamos de los ataques de ingeniería social. En esta entrada vamos a ver qué es un ataque de ingeniería social y cómo podemos prevenirlos, además de algunos ejemplos, para que veáis lo habituales que son hoy en día.
¿Qué es un ataque de ingeniería social?
La Ingeniería social es un método de ataque en que una persona mal intencionada utiliza la manipulación psicológica para inducir a otras personas a que:
- Divulguen sus informaciones personales,
- Descarguen apps falsas o
- Accedan a enlaces maliciosos.
A diferencia del malware o los métodos usados por hackers tradicionales, los ataques de ingeniería social no utilizan sistemas muy sofisticados o programas de última generación. Cuentan solamente con la ingenuidad de las personas.
Generalmente el ciberdelincuente se presenta con identidad falsa diciéndose representante de alguna empresa o marca famosa y con esto intenta convencer a la victima para que le facilite sus datos personales.
¿Cómo se realizan los ataques de ingeniería social?
Los ataques de ingeniería social se pueden realizar de diferentes formas y a través de diferentes medios; estas son solo algunos ejemplos de ataques de ingeniería social más habituales en las que se llevan a cabo (más adelante profundizaremos en algunas ellas):
- Por correo electrónico, mediante ataques de tipo phishing.
- Por teléfono, a través de una técnica conocida como vishing. Consiste en realizar llamadas telefónicas suplantando la identidad de una persona o compañía para conseguir información confidencial de las víctimas.
- A través de las redes sociales, los ciberdelincuentes usan este medio a menudo para extorsionar a los internautas.
- Mediante unidades externas, como USB. Los hackers infectan estos dispositivos con malware y después los colocan cerca de las instalaciones de una empresa con el objetivo de que los empleados más curiosos los inserten en sus equipos. Esta técnica es conocida como baiting.
- A través de mensaje de texto (smishing), con el que los cibercriminales suplantan la identidad de una compañía. E intentan principalmente que las víctimas pinchen en un enlace, llamen a un número de teléfono o respondan al mensaje.
Tipos de ataques de ingeniería social
Como decíamos existen diferentes tipos de ataques basados en ingeniería social, que habitualmente se agrupan en dos categorías: ataques personales y ataques escalables. A continuación vamos a ver los más habituales en ambas categorías.
Ataques personales
Esta primera categoría de ataques personales o locales ni siquiera requiere de conexión a Internet, puesto que se llevan a cabo en persona, es decir, de manera física.
Pretexting
El pretexting (pretexto) suele ir de la mano del Impersonate (hacerse pasar por alguien), ya que lo más habitual es que el atacante se haga pasar por un técnico o empleado de alguna empresa de servicios, para ganarse la confianza de la víctima y después le ofrecerá alguna excusa para alejarla de su equipo informático o dispositivo y poder acceder a él. Por ejemplo, alertar de algún problema de seguridad que necesita revisar. En el momento en que el atacante gana acceso al equipo, podrá instalar algún tipo de malware para tomar control del mismo.
Dumpster Diving
¿Cuántos de vosotros no habéis anotado alguna contraseña en un papel? Es algo habitual y normalmente, si el papel no sale de casa, no entraña mucho riesgo. Sin embargo, cuando a veces hacemos limpieza, podemos tirar esos papeles sin destruirlos adecuadamente antes. Y aunque os pueda parecer extraño o poco probable, hay que gente que rebusca entre la basura de otros para encontrar esa información que no hemos destruido debidamente.
Lo mismo podemos aplicar a soportes digitales, como CDs, discos duros y memorias USB, que decidimos tirar sin previamente limpiarlas o destruirlas de forma correcta.
Shoulder Surfing
A veces echar un vistazo por encima del hombro para ver qué libro está leyendo una persona que viaja a nuestro lado en el transporte público, es un gesto inocente que responde a nuestra curiosidad. Sin embargo, para aquellos que buscan hacerse con contraseñas, PIN o patrones de desbloqueo de equipos portátiles, espiar por encima del hombro de su víctima es una forma de averiguarlo con relativa facilidad, ya que muchas veces no estamos muy pendientes de la gente a nuestro alrededor cuando sacamos el móvil y lo desbloqueamos, por ejemplo.
Baiting
Lo hemos mencionado antes; el baiting (poner un cebo) consiste en dejar un pendrive con software malicioso dentro en algún sitio que la víctima visite con regularidad (puede ser su escritorio, por ejemplo) y esperar a que la curiosidad haga el resto. Es probable que si te encuentras un pendrive por ahí tirado lo recojas y te lo lleves para, si no ver lo que hay en su interior, borrar el contenido y usarlo tú. Seguramente, en el momento en que lo conectemos al ordenador y lo abramos, el malware que lleva incorporado se instalará en nuestro equipo, dejándolo a merced de los hackers.
Ataques escalables
En la segunda categoría de ataques de ingeniería social tenemos los ataques escalables o remotos, es decir, los que sí requieren del uso de Internet (u otros medios de telecomunicación) para llevarlos a cabo.
Phishing
El phishing es todavía hoy en día la práctica más habitual de ingeniería social y aún así sigue obteniendo resultados de las víctimas que caen en esta trampa.
Consiste en enviar correos electrónicos que simulan ser una comunicación oficial de alguna compañía, banco o servicio que tenemos contratado, en el que nos avisan de algún problema con nuestra cuenta; para solucionarlo, nos indican pinchar en un enlace dentro del email. Dicho enlace nos llevará a una web falsa, aunque en apariencia prácticamente indistinguible de una real, donde tendremos que introducir bien nuestro usuario y contraseña o incluso nuestros datos bancarios.
Con el tiempo, los ataques de phishing se han ido refinando, hasta el punto de encontrar algunos bastante personalizados. Sin embargo, hay formas de evitarlo; lo primero es tener claro que ninguna compañía o banco te va a pedir que les facilites ciertos datos por Internet y menos a través de un enlace por correo electrónico. Lo segundo es comprobar la dirección del remitente del correo, se parecerá a la oficial, pero tendrá algo que la haga evidentemente falsa. Y tercero, si os queréis asegurar de que no hay un problema con vuestra cuenta, entrad en ella introduciendo la dirección en la barra de navegación y no pinchando en el enlace del correo fraudulento.
Smishing
En línea con el phishing, pero llevado a la práctica a través de mensajes SMS, tenemos el smishing, que consiste en que el atacante suplanta la identidad tu banco o algún servicio y te envían un SMS notificándote algún problema que solo puede solucionar entrando en el enlace que te facilitan en el mensaje. Evidentemente, te llevará a una web falsa, que usarán para robarte tus datos.
Vishing
Otra forma de conseguir robarnos nuestras claves o datos personales es a través del vishing. Esta técnica, que se lleva a cabo mediante una llamada telefónica, consiste en que el atacante se hace pasar por un supuesto técnico o empleado de una compañía para avisarnos de algún problema y solicitarnos nuestros datos y claves personales para poder solucionarlo.
Nuevamente, para evitarlo, debéis recordar que vuestras compañías o bancos nunca os pedirán vuestras claves personales.
Sextorsion
La sextorsion como ataque de ingeniería social está muy relacionada con el phishing. Lo habitual es que la víctima reciba un email amenazador, en el que se le avisa de que han hackeado su ordenador y que han tenido acceso al contenido pornográfico que haya podido visitar, incluso dirán que han accedido a la webcam y que le han grabado mientras veía ese contenido en alguna posición comprometida. Le ofrecerán algún dato, como su nombre usuario o una contraseña que use o haya usado, para tratar de convencerle de que van en serio y amenazarán con divulgar dicho contenido con sus contactos de correo o redes sociales. Para no hacerlo, a cambio pedirán el pago de una suma de dinero, normalmente en bitcoins.
Evidentemente, si no frecuentas páginas pornográficas o no tienes webcam, este tipo de ataque no suele preocuparte mucho, pero los atacantes siempre pueden dar con una víctima que dude y acabe picando.
¿Cómo evitar los ataques de ingeniería social?
Ahora que ya conoces los ataques de ingeniería social más habituales, te damos varios consejos para que los evites en el futuro.
No facilites datos personales
Ya lo hemos comentado en algunos de los ataques que hemos descrito más arriba; debéis recordar que ni vuestro banco ni ninguna compañía con la que tengáis contratados servicios os va a pedir que les facilitéis vuestros datos personales a través de un enlace dentro de un email. Y si tenéis la duda, nunca, nunca pinchéis en ese tipo de enlaces, en cambio, entrad en la web de vuestro banco o compañía escribiendo la dirección la barra del navegador, para aseguraros de que llegáis al sitio oficial y no a uno falso.
Protege tu información sensible
A veces no solo se trata de proteger la información que contienen nuestros equipos, sino también aquella que queda recogida en formato papel o soportes digitales que pueden acabar en el punto limpio. Recordad que es importante destruir documentos (cuando ya no los necesitemos) que puedan contener datos personales o información sensible, como extractos bancarios, facturas, las etiquetas con nuestro nombre en dirección en paquetes de mensajería… Igual que es importante destruir los soportes digitales que vayamos a tirar.
Además, si tenemos nuestras contraseñas escritas en un papel o pots-it, debemos asegurarnos de que están a buen recaudo y no a la vista de cualquiera.
Cuidado al compartir información
Hoy en día sin darnos cuenta hacemos pública demasiada información nuestra sobre todo en redes sociales cuando activamos la geolocalización por ejemplo, en nuestros comentarios o nuestras fotos, si no tenemos bien configurada la cuenta cualquiera (no solo tus amigos) vería en cada momento donde nos encontramos y podrían estar espiando nuestros movimientos.
Haz un uso adecuado de los datos que proporcionas en Internet:
- Fotos que subes.
- Tratamiento de los metadatos de los archivos/fotos que intercambias.
- Datos financieros, direcciones, etc.
Cualquiera podría estar espiándonos y usar toda esa información para estafarnos o atentar contra nuestra intimidad.
Cierra sesión y no guardes las contraseñas
Si no quieres ser víctima de suplantación de identidad o que alguien pueda tener acceso a sitios a los que has accedido desde un ordenador que no sea el tuyo, es muy importante que cuando acabes salgas de la aplicación cerrándola correctamente. Y que te asegures de que no has aceptado que el navegador guarde tus contraseñas.
A través de algunas de las ya comentadas técnicas de ingeniería social es posible que averigüen nuestra fecha de cumpleaños, nombre de nuestra mascota, ciudad donde nacimos o nuestro equipo deportivo favorito. Así que por favor, no uses estos datos como contraseñas.
Se recomienda utilizar contraseñas robustas compuestas por caracteres alfanuméricos y símbolos de puntuación, que sea larga y no contenga palabras que puedan encontrarse en un diccionario.
Y por supuesto, cambiarla de vez en cuando y nada de dejarla apuntada en un sitio donde os la puedan ver.
Cuidado también con la «pregunta secreta» si la usamos para recuperar nuestra contraseña. Elige una pregunta cuya respuesta sólo sepas tú y nadie pueda averiguarla.
Por último, recuerda que el sentido común y la precaución son los mejores aliados en la defensa contra la ingeniería social.
Saber identificar los ataques de ingeniería social es fundamental para tener una buena seguridad en Internet.
Ejemplos reales de ataques de ingeniería social
A poco que busquéis por Internet, podréis encontrar una buena cantidad de ejemplos reales de ataques de ingeniería social. Correos, Movistar, Orange, Mercadona y otras grandes empresas no se han librado de ser víctimas de ataques de suplantación de identidad para poder engañar a sus clientes y usuarios.
A continuación vamos a ver algunos de esos ejemplos:
Estafa nigeriana
Este es el cuento del tío de la era de Internet.
¿Quién no ha soñado con recibir una herencia inesperada de un pariente lejano?
La estafa nigeriana ofrece a su víctima una gran fortuna, indicándole que la suma le corresponde por una herencia, por una generosa donación, por ser ganador de un sorteo o por otros motivos distintos.
Para poder acceder a ella se exige como condición el pago por adelantado de una importante cantidad. Pero mucho menor de lo que supuestamente se va a ganar luego.
Scams sobre la muerte de celebridades
Estos casos son muy abundantes y demuestran cuánto les compensa a los hackers aprovechar noticias de famosos fallecidos o incluso inventar que murieron. Gracias a esto logran que cientos de usuarios curiosos hagan clic en enlaces engañosos.
Algunos ejemplos son:
- La falsa muerte del automovilista Michael Schumacher y del cantante Ricardo Arjona.
- El bulo de que Michael Jackson estaba vivo.
- El suicidio del actor Robin Williams.
Falsas noticias alarmantes de Facebook
Seguro que alguno de tus contactos cayó en el famoso engaño de que Facebook cambiaría su color a rosa, el cual se propagaba a través de mensajes en las biografías de los usuarios que contenían un enlace.
Al hacer clic, se redireccionaba a un sitio infectado.
Lo mismo ocurría con la supuesta posibilidad de ver quién visitó tu perfil. Al clicar en el enlace se obtenía al azar los nombres de los contactos de la víctima para publicar automáticamente en su muro y así continuar la propagación de la amenaza.
Muy famoso fue también el falso botón «No Me Gusta», que originaba un gasto extra a la víctima al quedar suscrita en servicios de SMS Premium.
Fotos y vídeos íntimos de famosos
Muchas fueron las famosas afectadas por la filtración de fotos íntimas. Entre ellas Jennifer Lawrence, Ariana Grande, Rihanna, Kate Upton y Kim Kardashian, en lo que se conoció como Celebgate.
Como consecuencia de esto surgieron amenazas disfrazadas de archivos y carpetas que contenían el material robado. Así como scams con enlaces que supuestamente permitían ver vídeos XXX de las actrices.
Email suplantando a la Agencia Tributaria
Además de los Bancos o grandes empresas, también los organismos oficiales son objeto de suplantación de identidad. Uno de ellos es la Agencia Tributaria, en cuyo nombre se han realizado varios ataques de ingeniería social.
El último consiste en un email haciéndose pasar por este organismo en el que nos informa de que al realizar una revisión de nuestra actividad fiscal ha comprobado que nos tiene que devolver un importe. Con esto ya consiguen captar la atención de las víctimas.
Para poder recibir el ingreso nos obliga a rellenar y enviar un cuestionario con nuestros datos.
Se trata de una estafa que tiene la finalidad de robar los datos de la víctima suplantando la identidad de la Agencia Tributaria. Y para conseguir esa finalidad usan la devolución de impuestos como cebo.
La Agencia Tributaria nos da una serie de recomendaciones para no caer en estas estafas. Así, nos indican que ellos nunca nos pedirán datos económicos, personales o confidenciales por correo electrónico. No nos pedirán números de tarjetas bancarias o de cuenta.
Tampoco se realizan nunca devoluciones en tarjetas bancarias por lo que no debemos rellenar ningún formulario en el que nos solicite esa tarjeta.
La Agencia Tributaria en ningún caso cobrará ningún importe por los trámites realizados. Por ello no nos enviarán nunca un email solicitándonos un dinero por un trámite realizado de devolución de impuestos.
Escribe aquí tu comentario