Ingeniería social: cómo los ciberdelincuentes hackean tu mente

NordVPN comparte ejemplos de cómo cualquiera de nosotros puede ser engañado y ofrece algunas pautas preventivas

Publicado el 05 Sep 2019

59100_81

La ingeniería social se está convirtiendo en uno de los métodos más populares usados por los ciberdelincuentes tanto para pequeños como para grandes delitos. En esencia, la ingeniería social es un modo de obtener acceso a las redes, sistemas o datos explotando la psicología humana y la curiosidad, en lugar de usar métodos técnicos de pirateo. Usando diversos métodos, como llamadas telefónicas y mensajes en las redes sociales, los atacantes engañan a la gente para que les dé acceso a información personal o corporativa valiosa.

Phishing

Este es el tipo de ingeniería social más popular. El phishing consiste en enviar correos electrónicos falsos disfrazados como legítimos, normalmente como si procediesen de un banco u otra autoridad. De este modo, los piratas informáticos tienen como objetivo hacer que la gente comparta su valiosa información, como los datos de sus tarjetas de crédito, o que hagan clic en un enlace malicioso.

En 2018, Brasil experimentó un software malicioso financiero masivo que se propagó a otros países de Sudamérica, Portugal y España. Para la infección inicial se usaron correos electrónicos de phishing. El correo electrónico se presentó como una factura de VIVO, la compañía de telecomunicaciones más grande de Brasil. Incluía un enlace para investigarlo más a fondo. El contenido del correo electrónico permitía a los ciberdelincuentes apuntar a una cantidad significativa de gente ya que se envían diariamente correos electrónicos de VIVO.

“Algunos correos electrónicos de phishing aún están mal elaborados y usted puede detectarlos con facilidad. Sin embargo, otros son muy parecidos a los reales y pueden engañar incluso a los usuarios experimentados de Internet”, dice Daniel Markuson, el experto en privacidad digital de NordVPN.

Recientemente, los correos electrónicos de demandas se han vuelto especialmente populares entre los piratas informáticos. Esta clase de correos electrónicos dicen que se está demandando a su receptor. Se solicita a la gente que abra y lea los documentos fraudulentos adjuntos y responda al correo electrónico antes de siete días. Según esos correos electrónicos falsos con demandas, si no se siguen las instrucciones, serán demandados.

Baiting

El baiting es ingeniería social con la mínima cantidad de interacción humana. Los baiters pueden ofrecer a los usuarios música gratis o descargas de software, en otros casos usan medios físicos, como USB, para explotar la curiosidad humana.

“Pueden dejar un USB infectado en una cafetería, en el recibidor de un edificio de oficinas o un lugar similar donde hay una gran probabilidad de que alguien lo encuentre”, comenta Daniel Markuson, el experto en privacidad digital de NordVPN. “Entonces alguien lo coge, lo conecta a su ordenador y el software malicioso se instala. Si es un lugar de oficinas, el software malicioso tiene la oportunidad de entrar en sistemas y archivos importantes”.

Un interesante ataque de baiting era en realidad una prueba del experto en seguridad Steve Stasiukonis en una empresa financiera que era su cliente. Su equipo dejó USB infectados con un troyano en un aparcamiento cerca del edificio de oficinas. Muchos trabajadores curiosos recogieron los USB y los conectaron en sus ordenadores. Estos activaban un registrador de teclas que le permitía a Steve obtener la información de registro de los empleados.

Pretexting

Los ataques de pretexting confían en ganarse la confianza de su objetivo y normalmente necesitan una investigación del entorno y una historia creíble. Típicamente, los estafadores fingen que necesitan cierta información para confirmar la identidad, realizar una transacción o arreglar algún problema. De acuerdo con el Informe de investigación de brechas digitales de Verizon de 2018, el número de ataques exitosos de pretexting casi se ha triplicado desde 2017.

En 2017, mucha gente perdió su dinero en criptomoneda después de que el sitio web de thEthereum fuese víctima de pirateo. Los piratas informáticos suplantaron al propietario de la Classic Ether Wallet creando una cuenta falsa y con pretexting. Consiguieron acceso al registro del dominio y lo redirigieron a su propio servidor. Los ciberdelincuentes extrajeron la criptomoneda Ethereum de la gente después de introducir un código en el sitio web que les permitió ver las contraseñas privadas que se usan para las transacciones.

Otro caso famoso de pretexting sería el escándalo del News of the World, cuando miembros de la prensa del Reino Unido engañaron a los operadores de teléfono solicitandoles sus códigos PIN, los cuales permitieron a esos periodistas escuchar a escondidas los mensajes de voz de la familia real.

“A diferencia de los correos electrónicos de phishing, que usan el temor y la urgencia, el pretexting confía en construir una sensación de confianza con víctimas seleccionadas. Los piratas informáticos crean una historia creíble que hace que las víctimas confíen en ellos y caigan en la trampa”, dice Daniel Markuson, el experto en privacidad digital de NordVPN.

Cómo protegerse a uno mismo contra la ingeniería social

Aunque que la ingeniería social está cada vez más avanzada, todavía es posible protegerse a uno mismo del ataque.

Daniel Markuson, el experto en seguridad digital de NordVPN, nos da consejos de cómo mantenerse a salvo: “El paso más básico que todo el mundo puede dar es cerrar su portátil y teléfono inteligente cuando abandone su despacho. También es importante no guardar su contraseña y otras credenciales escritas en un lugar visible y no usar la misma contraseña para cuentas distintas. Además, no debe abrir correos electrónicos de fuentes en las que no confía ni hacer clic en enlaces sospechosos. Para una seguridad máxima, obtener un software antivirus y una VPN fiable, como NordVPN, sería la mejor solución”.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

T
Redacción TICPymes

Artículos relacionados

Artículo 1 de 3