Los mensajes de phishing basados en la ingeniería social se duplicarán en 2022 según los datos de Panda Security. Es decir, los hackers se tomarán más tiempo para enviar comunicaciones fraudulentas a sus víctimas, ya que antes de ponerse en contacto con ellas, estudiarán en profundidad quiénes son, así al contactarlas sus mensajes sean mucho más creíbles.
A medida que la informática evoluciona, los ciberestafadores lo hacen con ella, adaptando sus métodos a las nuevas oportunidades que les ofrecen metodologías como la ingeniería social. Estas son estrategias con las que los hackers roban datos, contraseñas e información sensible de los usuarios mediante el engaño. Al ser el eslabón humano el más débil de la cadena en cuestiones de ciberseguridad, los delincuentes aprovechan esta vulnerabilidad para infectar empresas con ransomware, por ejemplo.
Ataques de Spear SMSishing y Spear WhatsApphising
El SMSishing, una forma de hacer phishing a través de mensajes de texto, ha aumentado de manera constante durante los últimos años. Se trata de una técnica que los hackers han pulido con los años para incrementar su efectividad.
Por medio de la ingeniería social, los ciberdelincuentes cada vez saben más cosas sobre sus víctimas para enviarles mensajes más personalizados y creíbles. Así, y al igual que ha ocurrido con los ataques por correo electrónico, el SMSishing comenzó con mensajes no dirigidos que se enviaban a grandes grupos de usuarios, pero últimamente se han convertido en textos más específicos que se hacen pasar por mensajes de alguien que conoces. Los hackers se hacen pasar por un familiar o incluso por el jefe o un compañero de trabajo.
Sin embargo, los hackers son conscientes de que las herramientas de mensajería como WhatsApp, Facebook Messenger e incluso Teams o Slack se usan mucho más y con mucha más rapidez que el tradicional SMS.
Por eso, cada vez más se introducen en entornos empresariales para hacer robos mucho más planificados y mucho más cuantiosos. En este sentido, la estafa que más prolifera basada en la ingeniería social es el fraude del CEO.
¿Alguna vez te llegó un WhatsApp de tu jefe pidiéndote que lo ayudes a configurar una cuenta para un proyecto en el que está trabajando? Aunque no lo creas, antes de hacerlo deberías comunicarte con él o ella por otro medio y verificar que realmente es esa persona.
¿En qué consiste la ingeniería social?
Básicamente, la ingeniería social es capaz de aprovechar los sesgos cognitivos de las personas, una característica de la que por ahora las máquinas carecen; por ejemplo, valiéndose de la confianza que puede provocar una figura de autoridad, un familiar o una gran empresa. De esta forma, los hackers se hacen pasar por una de estas figuras para acercarse a su víctima y obtener todo tipo de información personal o financiera.
Estos métodos son cada vez más habituales y peligrosos, tanto que hasta la Comisión Federal de Comercio de EEUU, advirtió a la ciudadanía sobre un grupo de ciberdelincuentes, que se hacían pasar por caseros, ofreciendo propiedades reales en alquiler, pero quedándose con el dinero de las víctimas sin ofrecer nada a cambio. La base de esta estafa era obtener información personal de los caseros, su correo y contraseña para poder suplantarlos, evitando así que quien los contactara, sospechase.
Entre los casos más famosos de hackeos en los que se utilizó la ingeniería social para acceder a datos sensibles, figura el ciberataque a Sony Pictures en 2014 o el reciente pirateo de cuentas de Twitter a personalidades como Elon Musk, Obama o Bill Gates. El peligro de esta estrategia radica en que la víctima no suele darse cuenta del engaño hasta que es demasiado tarde, siendo en muchas ocasiones, imposible recuperar el dinero o el control sobre los datos personales.
“Los ataques suelen comenzar con un correo, un mensaje directo a través de redes sociales o aplicaciones de mensajería, un mensaje de voz e incluso una llamada aparentemente inofensiva y de una supuesta fuente fiable. Dentro de la ingeniería social, existen distintas técnicas a las que se les ha dado nombre para poder identificarlas y a su vez, prevenirlas”, comenta Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Phishing
La técnica más famosa es el phishing, un método del que no escapa nadie, desde el presidente de los Estados Unidos hasta un estudiante. Los ciberestafadores se comunican con sus víctimas, normalmente a través del correo electrónico, haciéndose pasar por una fuente fiable como un banco, una empresa de electricidad o de algún servicio básico o incluso una plataforma de compra venta como Amazon. En estos mensajes pueden pedir a la víctima de forma directa sus datos o instarla a acceder a un link para iniciar sesión en el supuesto servicio.
El problema es que la web, aunque en apariencia sea como la de la fuente que dice ser la remitente del correo, en realidad es un portal fraudulento, creado por los propios hackers, para que la víctima introduzca sus datos creyendo que es una web legítima. Por eso, la mejor recomendación es fijarse siempre en las distintas señales identificativas de la web original, como la URL o el icono con un candado verde junto a la dirección web. Desconfía también si tu banco te pide datos personales o el código pin, esto es algo que nunca haría una entidad bancaria. Para terminar de asegurarte, llama al teléfono de atención al cliente del supuesto remitente del correo y pregunta sobre la comunicación que te ha llegado.
Vishing
Esta estafa es una ramificación del phishing, sólo que la comunicación es por voz. Los ciberestafadores suplantan un número telefónico de fuentes fiables como entidades gubernamentales o grandes empresas, haciéndose pasar por técnicos, empleados, alguien de recursos humanos o incluso compañeros de trabajo. De esta forma, tratan de ganarse la confianza de la persona que contactan para preguntarle sus datos personales o de la empresa en la que trabaja.
Whaling
Al igual que en el vishing, los estafadores suplantan la identidad de compañeros de trabajo para obtener información de una empresa, el whaling trata de simular ser CEO o un cargo importante dentro de una gran empresa, para atacar directamente a altos cargos o directivos de esa misma organización, obteniendo así información valiosa, además de claves y contraseñas. Comparte técnicas con el phishing como la creación de portales fraudulentos y comunicaciones con los logos y la estética de la empresa a la que suplantan.
Smishing
Es un tipo de phishing, que se lleva a cabo a través de SMS, cuya clave está en la celeridad que demanda el atacante durante su comunicación con la víctima. Suelen simular una situación de urgencia de un compañero o familiar, para provocar una reacción rápida, impidiendo la reflexión para evitar que descubra que es una estafa.
Baiting
No todas las formas de estafa son digitales, el baiting es un híbrido. Los hackers dejan en sitios estratégicos USB infectados con malware, lugares como estaciones de autobús, tren o metro, establecimientos públicos o universidades. De esta forma, gracias a la curiosidad innata del ser humano, logran infectar el ordenador del incauto que conecte el USB extraviado para conocer su contenido.
Cómo evitar las estafas a través de ingeniería social
No hace falta ser un experto en tecnología para evitar la mayor parte de las técnicas de ingeniería social, basta con prestar atención a ciertas señales y seguir buenas prácticas como instalar un antivirus de confianza, capaz de proteger de amenazas avanzadas y ciberataques; o configurar su cuenta de correo electrónico para reforzar los filtros de spam.
Es aconsejable también:
- Investigar el remitente del correo, sms, o Whatsapp
- Llamar al servicio al cliente oficial de la empresa
- Ponerse en contacto con el familiar o compañero que supuestamente se está comunicando
Asimismo desconfía de ofertas y ventajas demasiado buenas a coste cero, ya que suelen ser un gancho de las estafas que utilizan ingeniería social.