Si bien es cierto la Ingeniería Social es un término asociado frecuentemente al área de la informática y tecnología, esta no está limitada a las mismas, los ingenieros sociales son personas con diferentes niveles de especialización en técnicas de convencimiento y manipulación.

Por esta razón es importante estar alerta y prepararnos para poder prevenir este tipo de ataques, así proteger no solo los recursos e información confidencial de las empresas sino también nuestros bienes personales.

Se dice que uno de los eslabones más débiles en cuanto a la seguridad en una empresa son los mismos colaboradores, por ende es de suma importancia repasar y capacitar a los mismos sobre las medidas de seguridad y protocolos a seguir para identificar y evitar cualquier tipo de siniestros.

Los ciberataques se componen de múltiples vectores, se utilizan diferentes técnicas para lograr sus objetivos. El estudio de Verizon Data Breach Investigations Report para el 2020, divide los ataques en tres etapas:

  1. Etapa inicial del ataque, donde las técnicas de ingeniería social son el segundo método más utilizado. En esta fase se colecciona información sobre el objetivo para poder lograr el objetivo final.
  2. Etapa media, donde la ingeniería social se encuentra como el tercer método más utilizado. El objetivo es recoger información adicional que el atacante no sabía que se necesitaba o para lograr algún nivel de acceso.
  3. Y en la etapa final, se posiciona como el quinto método, por detrás de errores humanos o de configuración y uso incorrecto de los equipos, los dos primero métodos más utilizados en la tercera etapa son métodos de hacking y malware. Ya para esta fase se busca terminar de recoger datos que podrían ser relevantes o para cubrir el rastro del ciberataque.

Podemos entonces afirmar que este método de ataque será empleado sin importar la etapa del ataque. Lastimosamente el resultado de los mismos son filtraciones de datos y al resultar públicos, representan un golpe financiero para las empresas por el costo de la información o secretos comerciales generando un golpe a su imagen.

Según el reporte de IBM, Informe sobre el coste de una brecha de datos en 2020, el costo de filtración de la información es en promedio de $1.68 millones.

En Network Daddy creemos en las campañas de prevención por lo tanto tener equipos y personal capacitado para detectar este tipo de fraudes y contenerlos en cualquier fase del ataque (mejor en fase 1 y 2) puede ayudar a evitar eventos y filtraciones de seguridad en la empresa.

Las empresas deben de preocuparse porque su personal esté capacitado para enfrentar estos eventos, de igual manera las personas se benefician de este conocimiento para su vida personal, ya que la ingeniería social la vemos en todas las áreas. Los atacantes siempre buscan sacar provecho de los eventos actuales para utilizar en sus técnicas de ingeniería social.

Para comprender mejor aún el tema es conveniente entender su objetivo. La ingeniería social busca que las personas actúen como normalmente no lo harían, para ser un poco más claros, la ingeniería social busca manipular nuestro pensamiento para que actuemos según los intereses de los atacantes. Para ello buscan cumplir con algunas de siguientes condiciones para lograr su objetivo:

  1. Primero los atacantes estudian acerca del objetivo, ya sea la empresa o solo la persona que quieren afectar. Conseguir datos, que pueden verificar con su persona.
  2. Cuál es su interés, se refiere a cómo lograr empatía con el objetivo. Buscan aprovechar situaciones que el objetivo podría acceder fácilmente, como por ejemplo entrega del fondo de capitalización laboral, beneficios fiscales, entre otros.
  3. Buscan no parecer una amenaza, se identifican e intentan seguir con la situación de empatía pero ahora del lado del atacante, como por ejemplo yo te quiero ayudar, esto tiene que hacerse ya para que se pueda aprovechar el beneficio, etc.
  4. La última condición que buscan cumplir es el no tardar mucho tiempo para que la víctima tome su decisión. El atacante busca que su víctima no tenga mucho tiempo para pensar y deba tomar la decisión lo más rápido posible, por ejemplo una llamada telefónica o un correo que genera una respuesta rápida.

Estas condiciones son las óptimas para tomar ventaja de nuestro estado, una vez que caemos en el juego de la ingeniería social, buscan generar un estado de alerta, de toma de decisiones, algo que normalmente buscamos hacer con calma para seguir los mejores pasos.

Es importante conocer algunos de los ataques de ingeniería social más utilizados, existen otras técnicas incluso donde nos enfrentemos a la persona y no como normalmente estamos acostumbrados que sea utilizando un medio de comunicación electrónico, los comunes por medio electrónico son:

  • Phishing, es considerado un ciberataque, su objetivo es obtener información confidencial, haciéndonos creer que es de alguna institución con la generalmente tenemos contacto, por ejemplo bancos (el más común), instituciones de gobierno, redes sociales. Su medio de contacto puede ser por correo, teléfono o mensajes de texto (no importa la aplicación). Generalmente se conoce el phishing como la táctica más utilizada a través del Internet.
  • Vishing, es también un ciberataque, y es igual que el phishing, la diferencia es que el medio se utiliza para tratar de obtener información sensible es a través de una llamada telefónica. Vishing es la unión de un concepto en inglés conocido como voice phishing.
  • Pretexting, es el término o traducción de pretexto, se trata de simular una realidad o una historia con cierta parte de realidad. Es la técnica que se utiliza para llevar a cabo el phising o vishing. Esta técnica es la que busca generar confianza con el objetivo, para que el objetivo se sienta cómodo con la persona que lo contacta, una vez que esto es exitoso, las personas comparten información que ellos buscan.

Mantenerse informado y alerta es deber de todos, tanto para proteger nuestra información confidencial como la de la empresa. Debemos ser responsables con los datos que manejamos. No menospreciar lo que sabemos o nuestros contactos es de suma importancia.

Las empresas deben de tomar la batuta y capacitar a sus colaboradores ya que generalmente estos son los objetivos más frecuentes. Antes de cada ciberataque que se prepara hay todo un periodo de conocimiento y recolección de datos por parte de los delincuentes. Depende de nosotros hacer que este trabajo sea difícil y complique las siguientes fases.

Por:
Ismael González Rodríguez.
Carlos R Jimenez Arroyo