El eslabón más débil en las estrategias de ciberseguridad siempre somos los seres humanos, y la ingeniería social se aprovecha de la incapacidad de un usuario objetivo de detectar un ataque. En una amenaza de ingeniería social, un atacante se sirve de una emoción humana (que suele ser el miedo y/o la sensación de urgencia) para convencer al usuario objetivo de que realice una cierta acción, como enviarle dinero al atacante, divulgar información delicada del cliente o revelar credenciales de autenticación.

Historia de la ingeniería social

El engañar a los usuarios para que divulguen información delicada no es cosa nueva en el mundo de la ciberseguridad. Lo único que ha cambiado es el método de ataque, las historias que se usan para obtener información, y la sofisticación de los ataques por parte de grupos organizados que incorporan a otras amenazas, como el phishing. El término "ingeniería social" fue acuñado en 1894 por el industrial holandés JC Van Marken, pero ha sido una metodología de ciberataques desde la década de 1990.

En los 90, la ingeniería social implicaba el llamar a los usuarios para lograr que revelaran sus credenciales o que indicaran el número telefónico que podía conectar a un atacante con un servidor corporativo interno. Ahora, los atacantes emplean estrategias de ingeniería social para engañar a los usuarios objetivo y lograr que (potencialmente) les envíen millones de dólares a una cuenta bancaria en otro país, lo que les cuesta también millones en daños a las organizaciones. En algunos casos, los empleados pierden sus empleos tras llegar las consecuencias del ataque.

Características de un ataque de ingeniería social

Las líneas entre la ingeniería social y el phishing son difusas, porque ambos suelen ir de la mano en un ataque sofisticado. La ingeniería social suele implicar el hacerse pasar por un empleado real, por ejemplo, el director general (CEO) o el director de finanzas (CFO), o engañar a un empleado para que piense que el atacante es un cliente legítimo y así le suministre al atacante información delicada o elementos que permitan cambiar la cuenta (por ejemplo, cambio de SIM).

Sin importar cuáles sean los objetivos del atacante, existen algunas señales claras de que una comunicación es ingeniería social. Uno de los componentes clave en la ingeniería social es aprovecharse de los miedos y emociones del usuario objetivo. El atacante no quiere que el usuario objetivo analice y medite sobre la solicitud, así que la ingeniería social conlleva el uso del miedo y de una sensación de urgencia.

Algunas características comunes en todos los ataques de ingeniería social son:

  • Intensificación de las emociones: Un atacante amenaza con la pérdida de una cuenta para engañar a los usuarios y lograr que divulguen sus credenciales, o el atacante simula ser un ejecutivo que le exige al usuario objetivo que envíe dinero para infundir una sensación de urgencia en un empleado que teme perder su empleo.
  • Dirección de remitente falsificada: La mayoría de los usuarios no están conscientes de que es posible falsificar una dirección de correo electrónico de remitente, pero una adecuada seguridad para correo electrónico puede evitar que los remitentes falsificados puedan acceder a la bandeja de entrada de un usuario objetivo. En lugar de eso, un atacante registra un dominio similar al oficial y espera que un usuario objetivo no se dé cuenta del error ortográfico.
  • Solicitudes de amistad extrañas: Es común que un atacante vulnere una cuenta de correo electrónico y envíe mensajes no deseados a la lista de contactos de la víctima. Los mensajes suelen ser cortos y no tener el toque personal de los amigos, así que sea precavido a la hora de hacer clic en enlaces de amigos si el mensaje no suena como una comunicación personalizada.
  • Enlaces a páginas web poco profesionales: Los enlaces de phishing se usan a veces con la ingeniería social para lograr que los usuarios divulguen información delicada. Nunca introduzca credenciales en una página web directamente desde un vínculo de correo electrónico, incluso si parece provenir de una página oficial (por ejemplo, de PayPal).
  • Demasiado bueno para ser cierto: Los estafadores suelen prometer dinero a cambio de una compensación monetaria. Por ejemplo, un usuario objetivo podría obtener un iPhone gratis a cambio del pago de los costes de envío. Si la oferta es demasiado buena como para ser cierta, seguramente sea una estafa.
  • Archivos adjuntos malintencionados: En lugar de engañar a los usuarios seleccionados para que divulguen información privada, un ataque sofisticado podría basarse en instalar malware en un equipo empresarial usando archivos adjuntos de correo electrónico. Nunca ejecute en su equipo macros o archivos ejecutables provenientes de un mensaje de correo electrónico aparentemente inofensivo.
  • Negativa a responder preguntas: Si un mensaje luce sospechoso, responda al mensaje y pídale al remitente que se identifique. El atacante evitará identificarse y podría simplemente ignorar la solicitud

Técnicas de ingeniería social

La técnica fundamental en que se basa la ingeniería social es el uso de las emociones para engañar a los usuarios, pero los atacantes tienen diversos métodos estandarizados para lograr que el usuario ejecute una acción (p. ej., enviar dinero a una cuenta bancaria) y hacer que el ataque luzca legítimo. Por lo general, las técnicas implican mensajes de texto o de correo electrónico, porque estos se pueden utilizar sin conversaciones de voz.

Algunas de las técnicas de ingeniería social son:

  • Phishing: Con la ingeniería social, un atacante suele hacerse pasar por un ejecutivo corporativo para engañar a los usuarios para que envíen dinero a una cuenta bancaria en otro país.
  • Vishing y smishing: Los atacantes usan mensajes de texto y software de cambio de voz para enviar mensajes de texto o llamar automáticamente a los usuarios. El mensaje promete regalos o servicios a cambio de un pago. Estos tipos de estafas se conocen como vishing (voice phishing, en español "phishing de voz") y smishing (phishing de SMS).
  • Fraude al CEO (ejecutivo): Los usuarios suelen presentar una sensación de urgencia cuando un ejecutivo les solicita una acción específica, así que un atacante simulará ser el director general (CEO) u otro ejecutivo para dar una sensación de urgencia al empleado objetivo para que este ejecute una acción. Esto se conoce como fraude al CEO.
  • Baiting: Es muy común que los atacantes prometan premios o dinero a cambio de un pequeño pago. La oferta suele ser demasiado buena como para ser cierta, y el pago suele ser para cubrir costes de envío u otros.
  • Tailgating o piggybacking: Las corporaciones que usan escáneres de seguridad para bloquear el acceso no autorizado a las instalaciones. Los atacantes usan el tailgating (en inglés, “ir a rebufo”) o piggybacking (en inglés, “ir a cuestas”) para engañar a los usuarios, de manera que estos usen sus tarjetas de acceso para darle al atacante acceso físico a las instalaciones.
  • Quid pro quo: A un empleado descontento se le puede engañar para que revele información delicada a un atacante a cambio de dinero u otras promesas.

Ejemplos de ataques de ingeniería social

Para identificar los ataques de ingeniería social, es importante saber cómo lucen. Los ataques de ingeniería social se aprovechan de las emociones de la víctima, pero tienen algunos elementos en común sin importar cuáles sean los objetivos del agente de amenaza. Los objetivos de un atacante suelen estar relacionados con el engañar a los usuarios para que envíen dinero, pero algunos desean engañar a los usuarios para que envíen dinero.

Algunos escenarios comunes de ingeniería social incluyen:

  • Baiting: El atacante ofrece un "cebo", que consiste en que la víctima debe pagar algo de dinero para recibir un gran pago a cambio. El gran pago podría ser un premio de la lotería o un premio gratis a cambio de un pequeño importe de envío. Un atacante también podría pedir una donación para una campaña inexistente.
  • Responder a una pregunta que nunca se formuló: La víctima recibe un correo electrónico de "respuesta" a una pregunta, pero la respuesta solicita información personal, contiene un enlace a una página web malintencionada o incluye un adjunto de malware.
  • Amenazar con pérdidas monetarias o con acciones legales: El miedo es una herramienta útil en la ingeniería social, así que una manera eficaz de engañar a los usuarios, es decirles que sufrirán de pérdidas monetarias o que irán a la cárcel si no cumplen con la solicitud del atacante
  • Suplantar al CEO (director general): Haciéndose pasar por un jefe o ejecutivo, el atacante transmite una sensación de urgencia a la víctima para convencerle de que envíe dinero a una cuenta bancaria.

Cómo evitar la ingeniería social

La sensación de urgencia del mensaje pilla desprevenidas a muchas víctimas, pero los usuarios bien formados pueden seguir los pasos necesarios para saber cómo evitar la ingeniería social y no resultar víctimas, siguiendo algunas reglas. Es importante hacer una pausa y verificar la identidad del remitente del correo electrónico o hacer preguntas cuando la comunicación sea telefónica. Algunas de las reglas recomendadas:

  • Investigar antes de responder: Si la estafa es común, entonces podrá encontrar en internet otras personas hablando acerca del método de ingeniería social.
  • No interactuar con una página web de un enlace: Si el remitente afirma provenir de un negocio oficial, no haga clic en el enlace para autenticar. En lugar de eso, escriba el dominio oficial en el navegador.
  • Tenga cuidado con comportamientos sospechosos por parte de amigos: Los atacantes usan cuentas de correo electrónico hackeadas para engañar a los usuarios, así que sea precavido si ve que un amigo le envía un correo electrónico con un enlace a una web sin haberse comunicado antes.
  • No descargue archivos: Si un correo electrónico le pide urgentemente que descargue un archivo, ignore la solicitud o pida ayuda para asegurarse de que la solicitud sea legítima.

Estadísticas esenciales

La ingeniería social es una de las maneras más comunes y eficaces que utilizan los atacantes conseguir información sensible. Las estadísticas muestran que la ingeniería social combinada con el phishing es muy efectiva y causa pérdidas millonarias a las empresas.

A continuación, mostramos algunas estadísticas:

  • La ingeniería social es responsable del 98% de todos los ataques.
  • En 2020, el 75% de las empresas han informado ser víctimas de phishing.
  • El ciberataque más popular en 2020 fue el phishing.
  • El coste medio después de una filtración de datos es de 150 dólares por cada registro.
  • Más del 70% de las filtraciones de datos empiezan por phishing o ingeniería social.
  • Google ha registrado más de 2 millones de websites de phishing.
  • Aproximadamente el 43% de los emails de phishing personifican grandes corporaciones como Microsoft.
  • El 60% de las empresas informan de pérdidas después de ser víctimas de phishing, y el 18% de los usuarios objetivo atacados caen en la trampa del phishing.

Prevención para empresas

Las empresas también son objetivos para la ingeniería social, así que los empleados deben estar conscientes de las señales de alarma y tomar los pasos necesarios para detener el ataque. Capacitar a los empleados es responsabilidad de la organización, así que recomendamos seguir estos pasos para dotar a sus empleados de las herramientas necesarias para identificar un ataque de ingeniería social.

  • Tener conciencia de los datos que se comparten: Ya sea en las redes sociales o por correo electrónico, los empleados deben saber si los datos son delicados y si deben ser tratados con confidencialidad.
  • Identificar información valiosa: La información personal de identificación (PII, del inglés "Personally Identifiable Information") nunca se debe compartir con terceros, pero los empleados sí deben saber qué datos se consideran PII.
  • Usar políticas para formar a los usuarios: Tener una política definida les brinda a los usuarios la información necesaria para actuar ante solicitudes fraudulentas y reportar ataques de ingeniería social.
  • Mantener actualizado el software antimalware: En caso de que un empleado descargue software malintencionado, el antimalware lo detectará y lo detendrá en la mayoría de los casos.
  • Desconfíe de las solicitudes de datos: Cualquier solicitud de datos debe recibirse con cautela. Haga preguntas y verifique la identidad del remitente antes de cumplir con la solicitud.
  • Capacitar a los empleados: Los empleados no pueden identificar los ataques si no están adecuadamente capacitados para ello, así que es importante brindarles una capacitación que les indique ejemplos reales de ingeniería social.

Cómo puede ayudarle Proofpoint con la ingeniería social

En Proofpoint sabemos que los ataques de ingeniería social son altamente eficaces para aprovechar las emociones y errores humanos. Contamos con programas de capacitación y formación para la conciencia de seguridad que les permiten a los empleados identificar ataques de ingeniería social y los correos electrónicos de phishing que suelen acompañarlos.

Preparamos a los usuarios para los ataques más sofisticados y les damos las herramientas necesarias para reaccionar. Usando ejemplos reales, los empleados se preparan para identificar los ataques de ingeniería social y para reaccionar según las políticas de seguridad establecidas por la organización.

Preguntas frecuentes en la ingeniería social

¿Qué es la ingeniería social, en pocas palabras?

La mayoría piensa en las ciberamenazas en forma de programas de malware o de un hacker explotando vulnerabilidades en un software. Sin embargo, la ingeniería social es una amenaza cuando un atacante engaña a un usuario objetivo para que divulgue información delicada pretendiendo ser una persona o servicio familiares. El atacante podría engañar al usuario objetivo para que divulgue su contraseña, o también convencerle de que envíe dinero simulando ser un ejecutivo de alto nivel. Los objetivos del atacante en su campaña de ingeniería social pueden variar, pero por lo general, el atacante desea obtener acceso a las cuentas o robarse información privada del usuario.

¿Cómo funciona la ingeniería social?

Un agente de amenaza podría tener un objetivo específico en mente, o el atacante podría lanzar una "red" muy amplia para acceder a la mayor cantidad posible de información privada. Antes de que un agente de amenaza lleve a cabo un ataque de ingeniería social, el primer paso es hacer las debidas investigaciones acerca del usuario o corporación objetivo. Por ejemplo, el atacante podría recopilar nombres y direcciones de correo electrónico del personal de finanzas de una organización a partir de sus perfiles de LinkedIn para identificar a las personas que van a ser los objetivos del ataque y deducir los procedimientos operativos estandarizados.

La fase de reconocimiento es clave para el éxito de un ataque de ingeniería social. El atacante debe comprender a cabalidad el organigrama de la organización e identificar quién tiene la autoridad de ejecutar las acciones necesarias para un ataque exitoso. En la mayoría de los ataques, la ingeniería social implica el que el agente de amenaza simule ser una persona conocida del usuario objetivo. Mientras más información tenga el agente de amenaza acerca del objetivo, más probable será que el ataque de ingeniería social tenga éxito.

Si se recaba suficiente información, el atacante podrá llevar a cabo los siguientes pasos. Algunos ataques de ingeniería social requieren de paciencia, para crear confianza en el usuario objetivo. Otros ataques son rápidos, y el atacante se gana la confianza en un período de tiempo corto transmitiendo una sensación de urgencia. Por ejemplo, el atacante podría llamar a un usuario objetivo y simular ser parte del equipo de soporte técnico de TI para engañar al usuario y lograr que divulgue su contraseña.

¿Cuáles son los pasos que sigue un ataque exitoso de ingeniería social?

Al igual que los ciberataques más eficaces, la ingeniería social requiere de una estrategia específica. Cada uno de los pasos debe realizarse concienzudamente, porque el atacante procura engañar al usuario para que ejecute una acción en particular. La ingeniería social implica cuatro pasos. Estos pasos son:

- Recaudar información: Este primer paso es clave para el éxito de un ataque de ingeniería social. El atacante recopila información de fuentes públicas, como periódicos, LinkedIn, redes sociales y la página web de la empresa objetivo. Este paso familiariza al atacante con el funcionamiento y procedimientos internos de los departamentos.

- Crear confianza: En este punto, el atacante contacta al usuario objetivo. Este paso requiere de conversación y convencimiento, así que el atacante debe estar capacitado para manejar preguntas y persuadir al usuario objetivo de que realice una cierta acción. El atacante debe ser amigable y podría intentar conectar con el usuario objetivo a nivel personal.

- Aprovechamiento: Después de que el atacante engaña al usuario objetivo para que divulgue la información, comienza el aprovechamiento. Aquí todo depende del objetivo del atacante, pero este paso es en el que el atacante obtiene el dinero, accede al sistema, roba los archivos u obtiene secretos comerciales.

- Ejecución: Ya habiendo obtenido la información delicada, el atacante puede ejecutar el objetivo final y salir de la estafa. La estrategia de salida puede comprender métodos para borrar su rastro, incluyendo el evitar la detección por parte de los controles de ciberseguridad de la organización seleccionada, que podrían advertir a los administradores de que un empleado ha sido engañado.

¿Cuál es el tipo de ingeniería social más común?

"Ingeniería social" es un término muy amplio, que abarca gran cantidad de estrategias de cibercrimen. La ingeniería social se sirve del error humano, así que los atacantes se enfocan en personas conocedoras. El tipo más común de ataque de ingeniería social es el phishing, en el que se usan mensajes de correo electrónico. Dentro del concepto de phishing también están el vishing (por voz) y el smishing (por mensajes de texto). En un ataque típico de phishing, el objetivo es obtener información para lograr beneficios monetarios o el robo de datos.

En un correo electrónico de phishing, el atacante simula ser una persona de una organización legítima, o un miembro de la familia. El mensaje podría solicitar una respuesta simple, o contener un correo electrónico a una página web malintencionada. Las campañas de phishing pueden enfocarse en individuos específicos dentro de una organización, lo que se conoce como spear phishing, o bien el atacante puede enviar cientos de correos electrónicos a usuarios al azar con la esperanza de que al menos uno "pique" en el mensaje fraudulento. Las campañas de phishing no dirigidas tienen una baja tasa de éxito, pero el atacante no necesita de muchos mensajes para lograr obtener la información necesaria para obtener beneficios económicos.

Las dos versiones del phishing, el smishing y el vishing, persiguen los mismos objetivos que una campaña general de phishing, pero mediante diferentes métodos. Los ataques de "smishing" usan mensajes de texto para decirles a los usuarios seleccionados que han ganado un premio y que deben pagar una tarifa de envío para recibir sus regalos. El phishing de "voz" precisa de software de cambio de voz para lograr engañar a los usuarios y que piensen que el atacante pertenece a una organización legítima.

¿Qué porcentaje de los hackers usan la ingeniería social?

Los hackers usan la ingeniería social frecuentemente, porque funciona. La ingeniería social y el phishing frecuentemente se usan en conjunto como una manera más eficaz de engañar a los usuarios para que envíen dinero o divulguen su información delicada (por ejemplo, credenciales de redes e información bancaria). De hecho, la mayoría de los correos electrónicos recibidos por individuos y corporaciones son no deseados o estafas, así que es muy importante integrar la ciberseguridad en cualquier sistema de correo electrónico.

Se estima que el 91% de los ciberataques comienzan con un mensaje de correo electrónico. Muchos de ellos se aprovechan de la sensación de urgencia, para que las víctimas no tengan tiempo de procesar mentalmente el hecho de que el mensaje es una estafa. Solo el 3% de los ataques usan malware, con lo que el otro 97% de los ataques son ingeniería social. En algunos ataques sofisticados, la víctima recibe un correo electrónico y después una llamada o mensaje de seguimiento.

¿La ingeniería social es ilegal?

La ingeniería social ciertamente es delito, porque usa el engaño para convencer a las víctimas de divulgar información delicada. Las consecuencias típicas son crímenes adicionales en forma de accesos fraudulentos a una red privada, robo de dinero o de la identidad del usuario y la venta de datos privados en mercados de la “darknet”.

El fraude al consumidor es común en los ataques de ingeniería social. El atacante simula ser una organización legítima que otorga premios en efectivo a cambio de datos financieros o de un pequeño pago. Después de que la víctima comparte sus datos financieros, el atacante se roba el dinero directamente de la cuenta bancaria o vende el número de tarjeta de crédito en los mercados de la “dark web”. El robo de identidad o de dinero a las víctimas son delitos muy serios.

Algunos tipos de ingeniería social se clasifican como delitos leves y solo conllevan multas y penas de prisión cortas. Si los delitos implican mayores sumas de dinero o varias víctimas, pueden tener sentencias más severas y multas mayores. Algunos crímenes redundan en procedimientos civiles, en los que las víctimas ganan juicios a los criminales y a los involucrados en las estafas de ingeniería social.

¿Qué tan común es la ingeniería social?

Depende, pero se estima que la ingeniería social se usa en el 95%-98% de los ataques específicos contra individuos y corporaciones. Las cuentas con altos privilegios son un objetivo muy común, y el 43% de los administradores de operaciones de TI han informado de haber sido objetivos en ataques de ingeniería social. El personal de reciente contratación en las divisiones de operaciones de TI tiene una posibilidad aún mayor de ser objetivo de estos ataques. Las corporaciones indican que un 60% de los nuevos empleados resultan objetivos, y no tanto los empleados fijos de larga data.

Como la ingeniería social es tan exitosa, los ataques basados en phishing y en robo de identidad se incrementaron en un 500% en años recientes. El robo de identidad no es lo único que buscan los atacantes. Algunos otros motivos por los que la

ingeniería social es uno de los principales vectores de ataque son:
- Acceso fraudulento a cuentas para robar datos o dinero
- Acceso financiero a cuentas bancarias o tarjetas de crédito
- Solo para crear complicaciones

¿La ingeniería social es ética?

La ingeniería social es delito, así que las amenazas malintencionadas simplemente no hacen ninguna consideración ética en sus ataques a individuos y corporaciones. Cualquiera puede ser objetivo para un atacante, así que tanto los individuos como los empleados deben estar conscientes de cómo funciona la ingeniería social. El atacante debe conocer a su objetivo y realizar actividades de reconocimiento antes de ejecutar una campaña de ingeniería social, así que los usuarios deben estar al tanto de cómo funciona la ingeniería social.

La primera señal de alarma que indica que alguien es objetivo de un ataque de ingeniería social es que el interlocutor o remitente del mensaje no responde preguntas y evita activamente que se le pregunte acerca de por qué la solicitud es tan urgente. Sus solicitudes podrían parecer discretas, pero el hecho es que le solicitan información delicada sin responder a ninguna de sus preguntas. En una transacción financiera legítima, una organización o banco responderá a tantas preguntas como haga falta hasta que usted se sienta cómodo con las acciones que ellos necesitan de usted.

Otra señal de alarma antiética es que la mayoría de los atacantes usan el phishing sin conversaciones de voz. Si le pide al solicitante que desea tener una conversación de voz, el atacante se negará. Esta señal de alarma no siempre es el caso, pero debería servir para alertarle de que el remitente del correo electrónico no proviene de una organización legítima. En cualquier escenario, lo ideal es colgar el teléfono o detener las comunicaciones con el remitente del correo electrónico y llamar directamente al teléfono que aparece en la web de la empresa.

Existen tipos de ingeniería social que son éticos. Cuando se contrata a hackers de "sombrero blanco" para hacer pruebas de penetración a la ciberseguridad, ellos "testean" a todos los empleados para determinar su capacidad de detectar ataques de ingeniería social. En una prueba de penetración, un hacker ético certificado llama a los empleados para determinar si divulgan sus credenciales de red, o les envían correos electrónicos de phishing con un enlace que lleva a una web malintencionada. Registran a todos los usuarios que hacen clic en el enlace y toman nota de aquellos que registran sus credenciales privadas de red. Esta actividad ayuda a las organizaciones a determinar qué empleados son vulnerables a la ingeniería social y les brindan más formación acerca de protocolos de ciberseguridad.

¿Cuánto cuestan los ataques de ingeniería social?

Según la Oficina Federal de Investigaciones (FBI) de los Estados Unidos, la ingeniería social les cuesta alrededor de 1.600 millones de dólares al año a las empresas, en conjunto. Las organizaciones pagan una media de 11,7 millones de dólares al año por concepto de delitos de ciberseguridad.

Un componente significativo en el coste es el tiempo que les lleva a las organizaciones detectar una violación de datos, que se cifra en 146 días como media. En un ataque de ingeniería social, es mucho más difícil para los administradores y la infraestructura de seguridad determinar cuándo un empleado resulta víctima de un ataque. Cualquier empleado con acceso legítimo puede dejar vulnerable al entorno ante atacantes cuando "pican" en una campaña de ingeniería social e instalan software malintencionado, comparten sus credenciales con los atacantes o divulgan información delicada.

El papel del componente humano en las fugas de datos

Verizon ha publicado recientemente su último informe sobre las investigaciones de fugas de datos (“Data Breach Investigations Report”, DBIR), que ofrece lo último sobre cómo actúan los ciberdelincuentes y a quiénes dirigen sus ataques, así como cuáles son los métodos de ataque que garantizan resultados.

Protegiendo a las personas (2.ª parte)

Los días en los que se aplicaban controles generales a todos los empleados han terminado. El perfil de amenazas para cada empleado, departamento, equipo, puesto y acceso a controles es completamente diferente. 

Top 5 de las tácticas de ingeniería social más extrañas de 2021

En la mayoría de los ciberataques, la idea es tratar de lograr que alguien haga algo, y no precisamente en su favor. Entre los objetivos se encuentran intentar que la víctima inicie sesión en un sitio web de phishing, cambie los datos de pago de una factura o abra un archivo que contiene malware.