Los cibercriminales utilizan la ingeniería social para engañar usuarios incautos. Por ejemplo, en muchos casos atacantes usan la confianza y la unen con ataques como phishing, vishing, smishing, whailing, spear pshishing, baiting, entre otros.

En Colombia tenemos un caso histórico que algunos recuerdan y es el de Roberto Soto Prieto, un economista que robo con una llamada $13.5 millones de dólares del Chase Manhattan Bank en el año 1983.

El hurto fue muy sencillo Soto Prieto, envió un fax diciendo que necesitaba el dinero del Banco de la República, en donde aprovechó la confianza para extraer el dinero. Si uno mira el contexto del caso, ni siquiera existía el uso masivo de internet, pero el fraude uso tres elementos confianza, suplantación y mucha creatividad en su planeación.

Te puede interesar: ¡Cuidado! Este troyano en Android secuestra tu Facebook

Un caso muy mediático en estos días es el del ‘falso futbolista’ que fue detenido en Santa Marta. Bernio Verhagen, ha estafado a distintas personas en todas partes del mundo diciendo que es un futbolista profesional, esto lo ha llevado a firmar contratos con equipos como el Audax Italiano Chileno, el Cape Town City, entre otros. Al investigar algunas notas de prensa se puede ver como el supuesto futbolista ha usado todo tipo de técnicas para ganar confianza y estafar a sus victimas. Incluso se habla de que suplantó correos electrónicos de una importante agencia de talentos deportivos llamada Stellar Group.

Otro tipo de ataque que aprovecha la confianza, es el Baiting, un ataque en donde se deja una USB, o algún dispositivo y se espera que un usuario por curiosidad lo acceda a un sistema informático.

Todos estos ejemplos llevan a una conclusión importante: la mejor forma de genera una cultura en seguridad de la información es enseñar a las personas a tener una desconfianza sobre actividades que pueden ser sospechas y que pueden generar riesgos empresariales.

Te puede interesar: Con ingeniería social se hizo el secuestro masivo de cuentas de Twitter

La mayoría de sistemas informáticos no están preparados para enfrentar ataques de ingeniería social. Un solo momento de descuido puede permitir una fisura en la seguridad digital de su compañía. Y estas brechas pueden comenzar en primer lugar por la confianza, una distracción, el perfilamiento, el identificar el vector y la ejecución de un ataque que tenga como finalidad la extracción de la información o datos personales. Los antivirus, firewall, SOC, NOC, controles técnicos o de red, no sirven de nada ante ataques sociales y de confianza.

Muchos de los delitos informáticos que vemos en Colombia y que hemos investigado con Cloud Seguro tienen un común denominador, el ganar confianza de la victima. Un delito que es común en estos días es por medio de ingeniería social conocer a los proveedores de una empresa, y por medio de una técnica conocida como email spoofing enviar un mensaje como este “Estimado cliente le informo que la empresa ha cambiado su cuenta bancaria y que desde el próximo mes las facturas pendientes no la consignen a esta cuenta”

En este tipo de delitos siempre recomendamos que se realice pruebas de OSINT, o búsqueda de información en fuentes públicas para establecer riesgos que pueden conocer ciberdelincuentes. El mejor camino para la ciberseguridad es la anticipación y la desconfianza. La seguridad es también entender que la malicia de los atacantes no tiene limite.

Germán Realpe Delgado- Ceo de Cloud Seguro, columnista y parte de enter.co

Imágenes: Pete Linforth en Pixabay 

La seguridad informática en realidad es un monstruo de dos cabezas. Por un lado está la parte técnica; los ‘firewalls’, los servidores, la redundancia y el software. Pero por otro lado hay una parte de la cual no se habla tanto pero puede ser más importante.

La ingeniería social es cuando los hackers usan a las mismas personas para ingresar a las redes de las organizaciones. Por ejemplo, el hacker llama al área de contabilidad y se hace pasar por el asistente del presidente para conseguir la clave administradora de la lista de clientes. Eso es un caso típico de ingeniería social. Sin embargo, a medida que el correo electrónico se ha convertido en la forma más popular de comunicación en el mundo profesional, es por ahí por donde están atacando los criminales.

Lo más preocupante de la ingeniería social es que muy complicada de atacar. La empresa puede capacitar al personal, pero tradicionalmente los hackers son bastante convincentes como para poder lograr sus objetivos. Además, mucha gente todavía no sabe la gran amenaza que representa una vulnerabilidad en seguridad informática. Por lo tanto, aun con capacitaciones y advertencias, los usuarios no la tienen presente en todo momento.

Sin embargo, no todo está perdido. A pesar de que es una difícil tarea, no se puede dejar desatendida. Es importante saber por dónde están tratando de entrar los piratas informáticos. Hoy en día, los delincuentes aprovechan las coyunturas para conseguir que los empleados de las organizaciones caigan en sus trampas. Según Trend Micro, hay varias maneras en las que los piratas informáticos están enredando a sus víctimas.

El correo electrónico parece ser el método más popular para llevar a cabo los engaños . Si recibe un correo con una noticia relevante de última hora es mejor verificar de quién proviene para garantizar su veracidad. Los criminales aprovechan los desastres naturales y las noticias de última hora para hacer ataques de phishing. De esta forma, logran que la víctima entre a un sitio controlado por ellos para que ingrese sus credenciales y robar su información. Este método es especialmente popular para tratar de robar información bancaria.

Otro de los temas que puede atraer a las víctimas son las noticias sobre las celebridades. Normalmente un atacante configura un correo en el cual anuncia la muerte de alguna celebridad y los lleva a una página que captura la información confidencial.

Otro de los aspectos que hay que tener en cuenta con la ingeniería social son las redes sociales. Los atacantes han desarrollado programas para que un usuario ingrese sus credenciales. ¿Para qué sirve esto? Al ingresar a la red social de una persona, el criminal puede tener mucha más inteligencia para ejecutar ataques más dirigidos.

Además de los ya mencionados, los criminales aprovechan las fiestas navideñas y otras celebraciones para atraer a las víctimas y robar su información.

Lo más importante  que se debe tener en cuenta es que hay muchas formas de ser víctima de la ingeniería social. Desde una llamada telefónica, pasando por un amigo de Facebook hasta un correo electrónico, los hackers pueden engañar a un usuario a entregar hasta la contraseña de su tarjeta de crédito. Eso sin mencionar cosas menos personales pero más estratégicas para una organización, como el usuario y contraseña de la red de la empresa.

Tanto desde TI como desde el negocio hay que enfatizar en que es necesario mantener la guardia en todo momento. Todos los métodos de comunicación pueden ser una posible autopista para que los criminales informáticos obtengan información sobre el usuario y sobre la empresa. Entre otras precauciones, hay que tener cuidado con los correos sospechosos, y hay que evitar hacer clic en enlaces desconocidos.