Phishing, baiting, tailgating, scareware, quid pro quo.
Con todos estos nombres se designan distintos tipos de estafas que se consuman con medios tecnológicos, pero que empiezan por explotar una debilidad humana.
Para llegar a concretar la estafa virtual, el paso de inicio es un ataque de ingeniería social.
El ciberdelincuente, antes de tener habilidades tecnológicas, tiene que lograr que le compartan vía engaño la información clave que necesita para hackear una cuenta o un acceso a una aplicación.
“Los ataques de ingeniería social manipulan a las personas para que compartan información que no deberían compartir, descarguen softwares que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o cometan otros errores que comprometan su seguridad personal u organizacional. Un correo electrónico que parece ser de un compañero de confianza que solicita información confidencial, un buzón de voz amenazante que dice ser la Agencia Tributaria o una oferta lucrativa de un potentado extranjero. Estos son solo algunos ejemplos de ingeniería social. Dado que la ingeniería social utiliza la manipulación psicológica y explota los errores o las debilidades humanas en lugar de las vulnerabilidades técnicas o digitales de los sistemas, a veces se la denomina ‘hackeo humano’”, plantean los expertos de la empresa IBM.
“Los ataques de ingeniería social, a lo largo del tiempo –completa la consultora especializada BTR–, han evolucionado su método, forma y plataforma, pero siempre con el mismo objetivo de explotar rasgos humanos, como la curiosidad o la confianza. Manipulan eficazmente a las personas para que sean víctimas de estafas o ataques sofisticados, a menudo sin que se den cuenta de que han sido el objetivo”.
Los objetivos de los ciberdelincuentes con tácticas de ingeniería social son la obtención de datos personales o de información financiera, incluidas credenciales de inicio de sesión, números de tarjetas de crédito, números de cuentas bancarias y números de seguro social. Utilizan la información que han conseguido para el robo de identidad, lo que les permite realizar compras utilizando el dinero o el crédito de otras personas, solicitar préstamos en nombre de otra persona, solicitar beneficios de desempleo de otras personas, y más. “Pero un ataque de ingeniería social también puede ser la primera fase de un ciberataque a gran escala. Por ejemplo, un ciberdelincuente podría engañar a una víctima para que comparta un nombre de usuario y una contraseña. Y luego utilice esas credenciales para plantar ransomware en la red del empleador de la víctima”, advierten desde IBM.
Con ingeniería social, los ciberdelincuentes pueden acceder a redes, dispositivos y cuentas digitales sin tener que hacer el difícil trabajo técnico de sortear firewalls, softwares antivirus y otros controles de ciberseguridad. Esta es una de las razones por las que la ingeniería social es la principal causa de compromiso de la red hoy en día, según el informe State of Cybersecurity 2022 de ISACA.
Dentro de este tipo de ataques, se destaca con gran preponderancia la modalidad conocida como el cebo (o Baiting), que ya en la década del ‘90 se hacía por medio de CD. Básicamente consistía en dejar al alcance de la víctima (aleatoria o no) un documento “inofensivo” que contenía un virus informático. Cuando la víctima lo insertaba en su PC, esta se infectaba.
El informe de BTR recuerda que a finales de los ‘90, en 1998, se hizo popular el virus “Melissa”, que era propagado por medio del correo electrónico: uno de los primeros phishing vía mail que alcanzó aproximadamente a 25 mil equipos en todo el mundo. Años más tarde, bajo la misma técnica, aparecería el gusano más famoso de la historia: “I love you”, con una afectación aproximada de 50 millones de equipos y pérdidas económicas superiores a los U$S 10 millones.
Con el cambio de década y de milenio, los CD fueron “corridos a un costado” para dar paso a las unidades extraíbles USB o pendrives. En este caso, los atacantes también se adaptaron al avance tecnológico, dando lugar a USB Baiting. Exactamente el mismo método de ataque e infección que con los CD.
Con los años, las técnicas de phishing combinan enlaces de redirección, archivos ofuscados, entre otras técnicas.
El correo electrónico sigue siendo el medio más utilizado por aquellos que intentan explotar el engaño, pero son cada vez más utilizadas las redes sociales por parte de los atacantes. “No apuntan a empresas, sino a usuarios comunes, robándoles la identidad en Instagram, Facebook, WhatsApp, para hacerse pasar por el dueño de la cuenta y pedir dinero a sus familiares y a sus amigos a su nombre, e incluso en billeteras virtuales como MercadoPago, vaciando las cuentas y solicitando préstamos”, consignaron.
El cuento de la llave, el baiting 2024
Una de las nuevas viejas tácticas es una variante del tradicional cuento del tío, en este caso con una llave perdida. Para la consultora BTR, es el método de baiting más usado en 2024. El artilugio consiste en dejar en la calle llaves con un llavero que contiene un número telefónico en “caso de extravío”. La persona que encuentra esta llave, en su buena intención de devolverla a su dueño, se contacta a ese número que figura en el llavero. Del otro lado, mediante artilugios de ingeniería social, logran que la llamada se canalice por video mediante WhatsApp. Una vez allí, guían a la persona para que seleccione un botón que comparte la pantalla de su celular con el atacante. Ese es el momento de la fase 2 del ataque: sabiendo los atacantes la línea de la víctima por la llamada, inician en otro dispositivo móvil la configuración de WhatsApp con ese número. Esta plataforma, por seguridad, enviará un mensaje con un código PIN que únicamente llega al dueño de la línea, pero como los atacantes ven todos los mensajes que aparecen en la pantalla del dispositivo de la víctima, obtienen ese PIN, incluso el código del multifactor si está asociado al mismo equipo (sea SMS, token o mail), lo que hace que logren el robo de identidad de esa persona.
“Si bien hay múltiples soluciones corporativas para mitigar estos riesgos, como herramientas antimalware, antiphishing, configuraciones en puertos USB o lectoras (ya casi en desuso), actualizaciones de sistemas vulnerables, implementación de multifactores de autenticación, políticas de contraseñas robustas y rotativas periódicamente, firewalls, entre otras cuantas, siempre el factor humano fue, es y será el objetivo principal para los atacantes”, remarcan.
Principales tácticas de ingeniería social
“Las tácticas y las técnicas de ingeniería social se basan en la ciencia de la motivación humana. Manipulan las emociones y los instintos de las víctimas de formas que, se ha demostrado, llevan a las personas a tomar medidas que no son las más convenientes para sus intereses”, explican desde IBM.
La mayoría de los ataques de ingeniería social emplean alguna o varias de estas tácticas:
Suplantación de identidad. Los estafadores suelen suplantar o simular a empresas que las víctimas conocen, en las que confían y con las que quizás hacen negocios a menudo o con regularidad, con tanta regularidad que siguen las instrucciones de estas marcas por reflejo, sin tomar las debidas precauciones. Algunos estafadores de ingeniería social utilizan kits ampliamente disponibles para montar sitios web falsos que se asemejan a los de grandes marcas o empresas.
Hacerse pasar por una agencia del gobierno. Las personas confían, respetan o temen a la autoridad. Los ataques de ingeniería social juegan con estos instintos con mensajes que aparecen o afirman provenir de agencias gubernamentales, figuras políticas o incluso famosos.
Inducir miedo o sensación de urgencia. Las personas tienden a actuar precipitadamente cuando tienen miedo o sienten un apuro. Las estafas de ingeniería social pueden utilizar diversas técnicas para inducir miedo o urgencia en las víctimas. Por ejemplo, decirle a la víctima que una transacción de crédito reciente no fue aprobada, que un virus ha infectado su ordenador, que una imagen utilizada en su sitio web viola los derechos de autor, etcétera. La ingeniería social también puede apelar al miedo de las víctimas de perderse algo (FOMO), lo que crea un tipo diferente de urgencia.
Apelar a la codicia. La estafa del príncipe nigeriano, un correo electrónico en el que alguien que dice ser un miembro de la realeza nigeriana que intenta huir de su país y ofrece una gigantesca recompensa económica a cambio de los datos de la cuenta bancaria del destinatario o de un pequeño anticipo es uno de los ejemplos más conocidos de ingeniería social que apela a la codicia. Este tipo de ataque de ingeniería social también puede provenir de una supuesta figura de autoridad y crea una sensación de urgencia, lo que constituye una poderosa combinación. Esta estafa es tan antigua como el propio correo electrónico, pero en 2018 todavía recaudaba U$S 700 mil al año.
Apelar a la solidaridad o la curiosidad. Las tácticas de ingeniería social también pueden apelar a la naturaleza bondadosa de las víctimas. Por ejemplo, un mensaje que parece provenir de un amigo o de una red social puede ofrecer ayuda técnica, solicitar participación en una encuesta, afirmar que la publicación del destinatario se ha vuelto viral y proporcionar un enlace falso a un sitio web falso o a la descarga de malware.
Los medios más utilizados para la ingeniería social
Cualquiera puede ser víctima de una estafa por múltiples medios:
- un correo electrónico que solicite datos personales o contraseñas, o bien inciten a descargar archivos desconocidos o enlaces a sitios no oficiales;
- dispositivos extraíbles de orígenes desconocidos;
- aplicaciones de plataformas no oficiales;
- llamadas o mensajes sospechosos o fuera de lo normal;
- personas desconocidas que le solicitan tomar acciones en sus dispositivos o requieran contraseñas o datos privados.
“Un atacante que usa ingeniería social tiene como única limitación su propia creatividad”, remarca IBM.
Léxico: los tipos de ataques de ingeniería social
Phishing
Los ataques de phishing son mensajes digitales o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software malicioso, transfieran dinero o activos a las personas equivocadas o realicen alguna otra acción perjudicial. Los estafadores elaboran los mensajes de phishing para que parezcan o suenen como si procedieran de una organización o una persona de confianza o creíble; a veces, incluso de una persona a la que el destinatario conoce personalmente.
Hay muchos tipos.
Los correos electrónicos masivos de phishing se envían a millones de destinatarios a la vez. Parecen ser enviados por una empresa u organización grande y conocida, como un banco nacional o mundial, un gran minorista en línea, un popular proveedor de pagos en línea, etcétera, y hacen una petición genérica como “tenemos problemas para procesar su compra, actualice su información de crédito”. Con frecuencia, estos mensajes incluyen un enlace malicioso que lleva al destinatario a un sitio web falso que captura el nombre de usuario, la contraseña, los datos de la tarjeta de crédito, y mucho más.
El spear phishing tiene como objetivo una persona concreta, normalmente alguien con acceso privilegiado a la información de los usuarios, a la red informática o a los fondos de la empresa. Un estafador investigará al objetivo, a menudo utilizando información que se encuentra en LinkedIn, Facebook u otras redes sociales para crear un mensaje que parezca proceder de alguien que el objetivo conoce y en quien confía o que haga referencia a situaciones con las que el objetivo está familiarizado. Whale phishing es un ataque de suplantación de identidad rápida que se dirige a una persona de alto perfil, como un CEO o un conocido cargo político. En correo corporativo comprometido (business email compromise o BEC), el pirata informático utiliza credenciales comprometidas para enviar mensajes de correo electrónico desde la cuenta de correo electrónico real de una figura de autoridad, lo que hace que la estafa sea mucho más difícil de detectar.
El phishing de voz o vishing es el phishing que se realiza a través de llamadas telefónicas. Las personas suelen experimentar vishing en forma de llamadas grabadas amenazantes.
El phishing por SMS o smishing es el phishing a través de un mensaje de texto.
La suplantación de identidad en los motores de búsqueda implica que los piratas informáticos creen sitios web maliciosos que ocupan un lugar destacado en los resultados de búsqueda para los términos de búsqueda más populares.
Angler phishing es una variante del phishing que consiste en la suplantación de identidad mediante cuentas falsas en las redes sociales, las cuales se hacen pasar por las cuentas oficiales de los equipos de atención al cliente o servicio de atención al cliente de empresas de confianza.
Baiting
Mediante un señuelo se atrae (sin doble sentido) a las víctimas para que, consciente o inconscientemente, faciliten información confidencial o descarguen código malicioso, tentándolas con una oferta valiosa o incluso un objeto de valor.
Tailgating
En el tailgating, también llamado piggybacking, una persona no autorizada sigue de cerca a una persona autorizada hasta una zona que contiene información sensible o activos valiosos. El seguimiento puede realizarse en persona, por ejemplo, un actor de amenazas puede seguir a un empleado a través de una puerta desbloqueada. Pero el seguimiento también puede ser una táctica digital, como cuando una persona deja un ordenador desatendido mientras sigue conectada a una cuenta o a una red privada.
Pretextar
En el pretexto, el actor de la amenaza crea una situación falsa para la víctima y se hace pasar por la persona adecuada para resolverla. Con frecuencia (y lo que es más irónico), el estafador afirma que la víctima se ha visto afectada por una violación de seguridad y, a continuación, se ofrece a realizar las correcciones, para lo cual la víctima le proporcionará información importante sobre su cuenta o el control de su ordenador o dispositivo. Técnicamente hablando, casi todos los ataques de ingeniería social implican algún grado de pretexto.
Quid pro quo
En una estafa quid pro quo, los piratas informáticos ofrecen un bien o un servicio deseable a cambio de la información confidencial de la víctima. Ganar concursos falsos o recompensas de fidelidad aparentemente inocentes (“gracias por su pago, tenemos un regalo para usted”) son ejemplos de estratagemas quid pro quo.
Scareware
También considerado una forma de malware, el scareware es un software que utiliza el miedo para manipular a las personas para que compartan información confidencial o descarguen malware. El scareware suele adoptar la forma de un falso aviso de las fuerzas de seguridad, acusando al usuario de un delito o de un falso mensaje de soporte técnico y advirtiéndole de la presencia de malware en su dispositivo.
Ataque de abrevadero
Derivado de la frase “alguien envenenó el abrevadero”: inyectan código malicioso en una página web legítima frecuentada por sus objetivos. Los ataques de abrevadero son responsables de todo, desde el robo de credenciales hasta las descargas involuntarias de ransomware.
