Aunque la seguridad 100% nunca está garantizada, tener conocimiento de estas técnicas siempre nos permitirá detectar antes cualquier evento sospechoso.
La ingeniería social consiste en manipular a una persona para que esta realice aquello que el ingeniero social le propone. También, pero de una forma más breve se mencionaban las técnicas que, basándose en dichos principios, se utilizan para cometer los ataques, profundizaremos más a fondo en estás técnicas.
Para enumerarlas se toma como referencia las técnicas que aparecen en el temario de la certificación Comptia Security + (Tema 1.1) Posteriormente se intenta dar una descripción «no técnica» de la técnica (valga la paradójica redundancia) para que el mensaje pueda llegar a un público que no necesariamente sepa de ciberseguridad, pero que es importante que entienda los riesgos de estos ataques.
A continuación, veremos varios escenarios y elementos básicos que son clave dentro del mundo de la ciberseguridad:
PHISHING
Técnica de ciberdelincuencia que utiliza el engaño y el fraude para obtener información de una víctima. El ciberdelincuente utiliza un cebo fraudulento y espera a que algún usuario caiga en la trampa, para de esta manera poder obtener credenciales u otro tipo de información sensible. Se podría decir que el cibercriminal tira el cebo y espera a “pescar” (fishing en inglés) víctimas.
Smishing: (SMS+ Phishing) Ataque de Phishing realizado a través de un SMS. Por lo general, el contenido del mensaje invita a pulsar en un link que lleva a una web maliciosa, en el que intentarán engañar con que la víctima introduzca información sensible o de que descargue una aplicación que en realidad es un malware. Estos SMS generalmente se hacen pasar por servicios habitualmente usados en la población, comúnmente bancos o servicios de reparto. Los usuarios ya tienen cierto nivel de concienciación con las estafas a través de email, pero no tanto con los SMS, es por eso que hay una falsa percepción de seguridad con la mensajería móvil y nos lleva a que este ataque sea más efectivo.
Vishing: Ataque de Phishing realizado por teléfono o a través de un sitema de comunicación por voz. El cibercriminal se pone en contacto con la víctima a través de una llamada, y por ejemplo, haciéndose pasar por un servicio técnico, le pide a la víctima determinados requisitos para resolver la incidencia. Así pues, dependiendo de la estafa, intentará que la víctima revele información sensible, se instale alguna aplicación maliciosa, realice un pago, etc.
Spear phishing: Ataque de Phishing concretamente dirigido a una víctima o conjunto de víctimas. El ataque busca los mismos propósitos que los casos citados previamente, con la variante de que están personalizados, lo cual los hace más complicados de detectar. El atacante emplea técnicas de OSINT para obtener toda la información disponible sobre la víctima, y de esta forma modelar y dirigir el ataque hacia esta. ¡Es por ello que es de vital importancia ser consciente de que información publicamos en internet sobre nosotros mismos!..
Whaling: Se trata de un ataque de Spear Phishing, donde cuyo objetivo es un “peso pesado” de la organización. Los ciberatacantes consideran a los ejecutivos “High level” como “whales” de ahí el nombre del ataque.
SPAM
Cualquier Email o mensaje recibido que no es deseado y/o solicitado. Su envío se produce de forma masiva a un gran número de direcciones. No siempre es malicioso, aunque constituye una perdida de tiempo y un gasto de recursos innecesario. Muchas veces puede tener enlaces maliciosos o difundir información que no es verdad.
SPIM (Spam over Internet messaging): Spam realizado sobre mensajería instantánea, es decir, mensajes de Spam que se reciben por Whatsapp, Telegram, DM de Facebook, etc. Suele ser más complicado de detectar que el spam “tradicional”.
Dumpster Diving
Acción de “bucear” en la basura de una organización para obtener información de documentos que iban a ser reciclados. Una buena práctica es destruirlos para evitar que el reciclaje de estos documentos sea con un uso indeseado. Hay un dicho popular que define bien esta técnica: “La basura de una persona es el tesoro de otra”.
Shoulder surfing
Acción de mirar los datos que un usuario introduce por teclado y muestra en pantalla. De una manera aparentemente “casual”, el atacante puede obtener información sensible. Su nombre es muy descriptivo, ya que hace referencia a mirar por encima del hombro (para conseguir información). Para evitar esto existen pantallas que se oscurecen o reflejan dependiendo del ángulo de visión, permitiendo que solo se vea correctamente desde el punto de vista del usuario del sistema. Además, es una buena práctica cerciorarnos de que no hay nadie alrededor cuando trabajamos con información confidencial.
Tailgating
Consiste en seguir a una persona, para acceder con ella a una zona de acceso restringido. Esta técnica se basa en la generosidad de las personas, ya que por cortesía se suele aguantar de la puerta a quien viene detrás. En alguna situación, el atacante puede buscar complicidad con su objetivo ofreciéndole fuego en una zona de fumadores, después por reciprocidad el objetivo le aguantará la puerta al atacante y pasarán juntos. Para evitar estos accesos indeseados es interesante un sistema de tornos (como los que se emplean en gimnasios, estaciones de tren, de metro, etc.)
Eliciting information
La elicitación sirve para obtener información de una víctima sin preguntarle directamente. Para conseguir esto, se basa en los principios de la ingeniería social, y en diferentes técnicas de comunicación. Algunas de estas técnicas de comunicación son: escucha activa, preguntas reflexivas o utilizar afirmaciones falsas (Para que el objetivo corrija con la info que interesa). De esta forma, en una conversación aparentemente casual, el atacante irá «tirando de la lengua» al objetivo y conseguirá información que le puede ayudar para futuros ataques.
Prepending
Técnica que consiste en añadir el nombre de la víctima al principio con el fin de generar mayor “rapport” con esta. Entendemos, por rapport, el fenómeno psicológico con el que 2 personas se sienten en sintonía. Ejemplos de prepending serían esos correos que en la primera línea mencionan el nombre de la víctima, o post de redes sociales en los que aparece el nickname de la víctima al principio de todo. De esta manera el atacante gana una sensación de cercanía con la víctima, al dirigir el mensaje hacia esta.
Identity Fraud
Una usurpación de identidad es apropiarse de la identidad de otra persona generalmente con la intención de poder acceder a recursos y tener beneficios en nombre de la otra persona. Otra intención maliciosa es la de robar la identidad de otra persona para realizar malas acciones y de esta forma manchar su reputación.
Invoice Scams
La estafa de las facturas falsas se produce cuando el atacante envía una factura fraudulenta a su objetivo, de manera que este, sino la revisa atentamente puede llegar a pagar la cantidad que se pide en la factura. En muchas ocasiones, el mensaje con el que llega la factura, avisa de las consecuencias (cortes de servicio,etc) que podría tener no pagar de inmediato la cantidad pedida. Los atacantes emplean a su favor el miedo y el principio de la urgencia.
Credential Harvesting
Consiste en el uso de diferentes técnicas para recopilar contraseñas y posteriormente darles un uso. Una vez que los atacantes tienen contraseñas, tendrán los mismos privilegios en los sistemas de las víctimas que estas mismas, lo que puede llevar a incrementar el impacto del ataque. Estar concienciado contra el phishing y la verificación en 2 pasos (2FA) reducirá las posibilidades de que un ataque de credential harvesting se realice con éxito.
Reconnaissance
Obtener información sobre un objetivo, para posteriormente realizarle algún ataque. Los cibercriminales recopilarán toda la información disponible sobre el objetivo, para de este modo poder personalizar y dirigir el ataque. Esta técnica se puede emplear como antesala de muchas de las otras técnicas que estamos tratando en este presente artículo. Una vez más, es muy importante ser consciente de que información propia estamos haciendo pública en la red!.
Hoax
Son engaños,bulos. Son peligrosos porque intentan manipular a la victima para que haga alguna acción en su equipo que lo deje desprotegido o incluso inservible. Estos ataques se basan una vez más en el miedo. Por ejemplo, el atacante buscará atemorizar a la víctima diciéndole que tiene un virus que le dejará inservible el equipo y que la solución pasa por hacer cambios en la configuración o borrar determinados archivos.
Suelen estar constituidos por 3 partes reconocibles:
Gancho: Sirve para captar la atención de la víctima y que lea el mensaje.
Advertencia: Enumera los peligros que hay si la víctima no reacciona o hace algo de inmediato. Juega con el miedo.
Petición: Pide una acción para resolver el problema, y a mayores darle difusión al mensaje (Así el bulo sigue circulando).
Impersonation
Hacerse pasar por alguien o decir tener un oficio que no es verdad para obtener sus ventajas. Un ejemplo podría ser la de la llamada en donde el atacante asegura formar parte de un servicio técnico, e incita a realizar acciones que aparentemente pretenden facilitar la vida a la víctima, cuando la realidad es justamente lo opuesto.
Watering hole attack
Realizar un ataque infectando un tercero que habitualmente es utilizado por el objetivo. Después de recopilar información el atacante sabe que los empleados de la organización objetivo suelen visitar un sitio web (de un tercero). Posteriormente el atacante infectará la página de ese tercero en cuestión, de manera que cuando las víctimas accedan a esta queden infectadas. Su nombre viene por una técnica con la que muchos depredadores del mundo animal se hacen con sus presas. Esta técnica consiste en que el depredador espera próximo al abrevadero (water hole) para lanzarse sobre la víctima cuando esta acuda a beber.
Typo Squatting
También conocida como "URL hijacking". Técnica que consiste en utilizar un nombre de dominio muy similar al del dominio legítimo, con el fin de poder suplantarlo. Estas sutiles variaciones suelen coincidir con errores tipográficos de los usuarios. Por ejemplo en vez de ser "derechodelared(.)com" el dominio con typo squatting podría ser "derechodeelared(.)com". De este modo, e imitando la apariencia del sitio, un usuario podría pensar que está en el sitio legítimo y compartir información sensible en caso de que hubiera algún formulario que así lo requirieran.
Referencias y Créditos:
Alberto Fonte(2022, enero 24). Técnicas de ingeniería social: así atacan al eslabón más débil de la ciberseguridad https://derechodelared.com/tecnicas-de-ingenieria-social/
Comments