Top
TAKTICTAKTIC Ingeniería Social y Ciberseguridad
ingeniería social

Ingeniería Social y Ciberseguridad

Acabo de terminar la segunda temporada de Mr. Robot, donde un joven programador trabaja como ingeniero de ciberseguridad de día y como hacker/justiciero de noche. La serie cuida mucho los detalles y ha hecho un esfuerzo por ser cercana a la realidad. En ella podemos ver multitud de herramientas utilizadas por profesionales de la ciberseguridad y hackers, como Kali Linux, Wget, Shellshock, Metasploit Framework, Social Engineer Toolkit (SET). Pero lo que más me ha llamado la atención es que, a pesar de los amplios conocimientos y la alta capacidad técnica del protagonista, en todos los ataques que realiza hay un alto componente de ingeniería social. Hoy escribimos sobre Ingeniería social y Ciberseguridad. ¿Te quedas?

Ingeniería social y Ciberseguridad

La Ingeniería social se basa en 4 principios básicos de las relaciones humanas:

  • Todos queremos ayudar
  • El primer movimiento es siempre de confianza hacia el otro
  • No nos gusta decir no
  • A todos nos gusta que nos alaben

Los ciberdelincuentes utilizan nuestra predisposición habitual a ayudar para ganarse nuestra confianza y obtener sus fines, sin tener que escribir una sola línea de código.

Muchas veces los departamentos de seguridad de las empresas se centran en aspectos técnicos, como cortafuegos y antivirus, acceso por huella, políticas de actualización y mantenimiento del sistema, para evitar accesos no autorizados. Sin embargo, en muchas ocasiones estos se producen de una manera más humana.

Los ejemplos son muy variados: una simple llamada de teléfono en la que nos informan de que el departamento de informática está realizando unos cambios y necesita nuestra contraseña de acceso, un mail corporativo con el nombre de un compañero con el que estamos realizando un proyecto que incluye un adjunto llamado cronograma_proyecto.pptx o un pendrive que nos encontramos de camino al trabajo con el logo de la empresa, y que al conectarlo a nuestro equipo vemos que contiene el archivo nominaEnero2017.xls. Todos ellos pueden proporcionar al atacante el control de nuestro sistema.

Y las empresas son el objetivo. Las grandes compañías tienen más dinero y más datos que robar, por lo que son objetivos más lucrativos. Según ‘The Human Factor Report 2015′, en 2014 los cibercriminales pasaron al sector empresarial, dejando atrás los ataques masivos por otros más sofisticados y dirigidos a mandos intermedios. El estudio establece que este grupo de profesionales doblaba en número de clics en mails maliciosos a la media, clics que se producían en las últimas horas del día en un 96 % de los casos. 

La técnica utilizada para conseguir que la persona haga clic en un adjunto malicioso o que entregue información confidencial consiste en efectuar un ataque orientado al objetivo. Con suficiente información de la víctima, como su puesto, empresas relacionadas, contactos, etc.,  el atacante se ganará su confianza, haciéndole creer que está realizando un trámite auténtico con su banco, su departamento de IT o con el comercial de otra empresa. Resulta muy sencillo obtener la información necesaria. Por ejemplo, LinkedIn es una mina de oro de ejecutivos y mandos intermedios. Además, se puede automatizar la recogida de e-mails junto con datos personales para efectuar un ataque de phishing.

Cómo evitar los ciberataques

Las políticas de seguridad de los sistemas de información de una empresa también deben afrontar estos retos. No es suficiente con crear normas y procedimientos o implantar medidas técnicas de seguridad. Todos los miembros de la organización deben estar informados de estos métodos de ataque. Para ello es necesario proporcionar formación suficiente para los empleados en temas como:

  • Usar contraseñas seguras y cambiarlas habitualmente. Si la contraseña puede ser adivinada con información personal, la utilizas en otros sitios o no son lo suficientemente robustas, alguien puede hacerse pasar por ti. Y sobre todo no la dejes en un post-it en la pantalla del ordenador.
  • No revelar datos confidenciales por teléfono o email, siendo conscientes de los posibles ataques que se pueden producir por estos medios.
  • No hacer clic en enlaces a páginas web desde mails.
  • Cuando utilicemos servicios web como banca por Internet, comprobar que la dirección que aparece en el navegador es correcta y que accedemos de manera segura con el protocolo https. De lo contrario, alguien puede suplantar nuestra identidad.
  • No confiar en los remitentes de mail o números de teléfono, puesto que pueden ser alterados con facilidad.

Y, sobre todo, utilizar el sentido común. Ante una llamada o mail sospechoso pregúntate si alguien puede obtener provecho de la información que revelas. Con esto en mente, y siendo conscientes de las diferentes formas en que un atacante puede abordarnos, podremos evitar un gran número de amenazas.

Eduardo Navarro
Eduardo Navarro

enavarro@taktic.es