Ingeniería Social para Hackear; Incluso con las mejores precauciones técnicas de seguridad, toda empresa tiene un factor de riesgo difícil de controlar: el humano.
Para hacerse con datos importantes o acceder a ellos, un hacker necesita entender no sólo los ordenadores, sino también a las personas.
¿Qué es exactamente la ingeniería social y cómo puede protegerse?. En el siguiente artículo de master en ciberseguridad online responderemos a las preguntas clave para defendernos de Hackeos mediante la ingeniería social.

Hoy en día no hay ninguna tecnología que no pueda ser superada a través de la ingeniería social

Ingeniería Social para Hackear

Ingeniería Social para Hackear

¿Qué es la Ingeniería Social?

La ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. El tipo de información que buscan estos delincuentes puede variar, pero cuando se trata de individuos, los delincuentes suelen intentar engañarle para que les dé sus contraseñas o información bancaria, o acceder a su ordenador para instalar secretamente software malicioso, que les dará acceso a sus contraseñas e información bancaria, además de darles el control de su ordenador.

Los delincuentes utilizan tácticas de ingeniería social porque suele ser más fácil explotar su inclinación natural a la confianza que descubrir formas de piratear su software.

Por ejemplo, es mucho más fácil engañar a alguien para que te dé su contraseña que intentar hackear su contraseña (a menos que la contraseña sea realmente débil).

La seguridad consiste en saber en quién y en qué confiar. Es importante saber cuándo no creer en la palabra de una persona y cuándo la persona con la que te comunicas es quien dice ser. Lo mismo ocurre con las interacciones online y el uso de los sitios web: ¿Cuándo confía en que el sitio web que está utilizando es legítimo o es seguro para proporcionar su información?.

Pregunte a cualquier profesional de la seguridad y le dirá que el eslabón más débil de la cadena de seguridad es el ser humano que acepta una persona o un escenario por su valor nominal. No importa cuántas cerraduras y cerrojos haya en tus puertas y ventanas, o si tienes perros guardianes, sistemas de alarma, focos, vallas con alambre de espino y personal de seguridad armado; si confías en la persona de la puerta que dice ser el repartidor de pizzas y le dejas entrar sin comprobar primero si es legítimo, estás completamente expuesto a cualquier riesgo que represente, esto es un buen ejemplo de ingeniería social para hackear.

¿Qué aspecto tiene un ataque de ingeniería social?

Correo electrónico de un amigo

Si un delincuente consigue hackear o aplicar ingeniería social a la contraseña del correo electrónico de una persona, tendrá acceso a la lista de contactos de esa persona, y como la mayoría de la gente utiliza una sola contraseña en todas partes, probablemente también tenga acceso a los contactos de las redes sociales de esa persona.

Una vez que el delincuente tiene esa cuenta de correo electrónico bajo su control, envía correos electrónicos a todos los contactos de la persona o deja mensajes en todas las páginas sociales de sus amigos, y posiblemente en las páginas de los amigos de la persona.

Aprovechando su confianza y curiosidad, estos mensajes

Contienen un enlace que tienes que comprobar -y como el enlace viene de un amigo y tienes curiosidad, confiarás en el enlace y harás clic- y se infectarán con malware para que el delincuente pueda tomar el control de tu máquina y recopilar la información de tus contactos y engañarlos igual que te engañaron a ti.

Contiene una descarga de imágenes, música, película, documento, etc., que tiene software malicioso incrustado. Si lo descargas -lo cual es probable que hagas ya que crees que es de tu amigo- te infectas. Ahora, el delincuente tiene acceso a tu máquina, cuenta de correo electrónico, cuentas de redes sociales y contactos, y el ataque se extiende a todos tus conocidos. Y así sucesivamente.

Correo electrónico de otra fuente de confianza

Los ataques de phishing son un subconjunto de la estrategia de ingeniería social que imitan a una fuente de confianza e inventan un escenario aparentemente lógico para entregar las credenciales de acceso u otros datos personales sensibles. Normalmente las instituciones financieras representan la gran mayoría de las empresas suplantadas y, de acuerdo con el informe anual de Verizon sobre investigaciones de fugas de datos, los ataques de ingeniería social para hackear que incluyen el phishing y el pretexto (véase más abajo) son responsables del 93% de las fugas de datos con éxito.

Utilizando una historia o pretexto convincente, estos mensajes pueden

Pedir urgentemente su ayuda. Su «amigo» está atrapado en el país X, le han robado, golpeado y está en el hospital. Necesitan que les envíes dinero para poder volver a casa y te dicen cómo enviar el dinero al delincuente.

Utiliza intentos de phishing con un fondo que parezca legítimo. Normalmente, un phisher envía un correo electrónico, un mensaje instantáneo, un comentario o un mensaje de texto que parece proceder de una empresa, un banco, una escuela o una institución legítimos y populares.

Te pide que hagas una donación para su recaudación de fondos de caridad, o alguna otra causa. Probablemente con instrucciones sobre cómo enviar el dinero al delincuente. Aprovechándose de la amabilidad y la generosidad, estos phishers piden ayuda o apoyo para cualquier desastre, campaña política u organización benéfica que esté de actualidad.

Presentan un problema que requiere que usted «verifique» su información haciendo clic en el enlace mostrado y proporcionando información en su formulario. La ubicación del enlace puede parecer muy legítima, con todos los logotipos y contenidos correctos (de hecho, los delincuentes pueden haber copiado el formato y el contenido exactos del sitio legítimo). Como todo parece legítimo, usted confía en el correo electrónico y en el sitio falso y proporciona cualquier información que el delincuente le pida. Este tipo de estafas de phishing suelen incluir una advertencia de lo que ocurrirá si no actúas pronto porque los delincuentes saben que si consiguen que actúes antes de pensarlo, es más probable que caigas en su intento de phishing.

Otro ejemplo muy utilizado de ingeniería social para hackear es notificarle que es un «ganador». Puede que el correo electrónico diga que es de una lotería, o de un familiar fallecido, o de la millonésima persona que hace clic en su sitio, etc. Para poder darte tus ‘ganancias’ tienes que proporcionar información sobre tu ruta bancaria para que sepan cómo enviártelo o dar tu dirección y número de teléfono para que puedan enviarte el premio, y puede que también te pidan que demuestres quién eres, incluyendo a menudo tu número de la seguridad social. Estos son los «phishing de la avaricia», en los que, aunque el pretexto de la historia sea poco convincente, la gente quiere lo que se le ofrece y cae en la trampa dando su información, para luego ver vaciada su cuenta bancaria y robada su identidad.

Hacerse pasar por un jefe o compañero de trabajo. Puede pedir una actualización sobre un proyecto importante y exclusivo en el que está trabajando su empresa, información sobre el pago de una tarjeta de crédito de la empresa o cualquier otra consulta que se haga pasar por un asunto cotidiano.

Vídeo ejemplo de un ataque sencillo de ingeniería social utilizando la «Navaja Suiza» Kali Linux.

Escenarios de cebo

Estos esquemas de ingeniería social para hackear saben que si se cuelga algo que la gente quiere, mucha gente morderá el anzuelo. Estos esquemas se encuentran a menudo en sitios Peer-to-Peer que ofrecen una descarga de algo como una nueva película o música. Pero también se encuentran en las redes sociales, en sitios web maliciosos que se encuentran en los resultados de las búsquedas, etc.

O bien, el esquema puede aparecer como una oferta increíblemente grande en sitios de clasificados, sitios de subastas, etc. Para disipar tus sospechas, puedes ver que el vendedor tiene una buena calificación (todo planeado y elaborado de antemano).

Las personas que muerden el anzuelo pueden ser infectadas con software malicioso que puede generar cualquier número de nuevos exploits contra ellos mismos y sus contactos, pueden perder su dinero sin recibir su artículo comprado y, si fueron lo suficientemente tontos como para pagar con un cheque, pueden encontrar su cuenta bancaria vacía.

Respuesta a una pregunta que nunca tuvo

Los delincuentes pueden fingir que responden a su «solicitud de ayuda» de una empresa y al mismo tiempo ofrecer más ayuda. Eligen empresas que utilizan millones de personas, como una empresa de software o un banco. Si no utilizas el producto o servicio, ignorarás el correo electrónico, la llamada telefónica o el mensaje, pero si por casualidad utilizas el servicio, hay muchas probabilidades de que respondas porque probablemente sí quieres ayuda con un problema.

Por ejemplo, aunque sepas que no has hecho una pregunta en un principio, probablemente tengas un problema con el sistema operativo de tu ordenador y aproveches la oportunidad para que te lo arreglen. Y gratis. En el momento en que responde, se ha creído la historia del delincuente, le ha dado su confianza y se ha abierto a la explotación.

El representante, que en realidad es un delincuente, tendrá que «autentificarte», hacer que te conectes a «su sistema» o hacer que te conectes a tu ordenador y darle acceso remoto a tu ordenador para que pueda «arreglarlo» por ti, o decirte los comandos para que puedas arreglarlo tú mismo con su ayuda, aunque algunos de los comandos que te digan que introduzcas abrirán un camino para que el delincuente vuelva a entrar en tu ordenador más tarde.

Entre ejemplos de ingeniería social para hackear de este tipo, los mas usados es suplantar la identidad de empresas de envío de paquetería, o de tráfico para que abones una multa ficticia o incluso los hackers fácilmente descubren cual es tu hosting y te envían urgentemente un mensaje de que no te queda sitio en tus cuentas de correo.

Crear desconfianza

Algunas formas de ingeniería social para hackear consisten en crear desconfianza o en iniciar conflictos; a menudo son llevadas a cabo por personas que conoces y que están enfadadas contigo, pero también las realizan personas desagradables que sólo quieren causar estragos, personas que primero quieren crear desconfianza en tu mente sobre los demás para luego intervenir como héroes y ganarse tu confianza, o por extorsionistas que quieren manipular información y luego amenazarte con revelarla.

Esta forma de ingeniería social suele comenzar por obtener acceso a una cuenta de correo electrónico u otra cuenta de comunicación en un cliente de mensajería instantánea, red social, chat, foro, etc. Lo consiguen mediante el pirateo, la ingeniería social o simplemente adivinando contraseñas muy débiles.

A continuación, la persona maliciosa puede alterar las comunicaciones sensibles o privadas (incluidas las imágenes y el audio) utilizando técnicas básicas de edición y las envía a otras personas para crear drama, desconfianza, vergüenza, etc. Pueden hacer que parezca que se ha enviado accidentalmente, o que parezca que están informando de lo que «realmente» está pasando.

También pueden utilizar el material alterado para extorsionar a la persona que han hackeado o al supuesto destinatario.

Hay literalmente miles de variantes de ataques de ingeniería social. El único límite al número de formas en que pueden manipular socialmente a los usuarios mediante este tipo de exploits es la imaginación del delincuente. Y usted puede experimentar múltiples formas de exploits en un solo ataque. Luego, es probable que el delincuente venda su información a otros para que también puedan ejecutar sus exploits contra usted, sus amigos, los amigos de sus amigos, y así sucesivamente, ya que los delincuentes aprovechan la confianza equivocada de la gente.

No te conviertas en una víctima

Aunque los ataques de phishing son muy frecuentes, duran poco y sólo necesitan que unos pocos usuarios muerdan el anzuelo para que la campaña tenga éxito, existen métodos para protegerse. La mayoría no requiere mucho más que simplemente prestar atención a los detalles que tiene delante. Tenga en cuenta lo siguiente para evitar ser víctima de un phishing.

Consejos para recordar:

Vaya más despacio. Los spammers quieren que usted actúe primero y piense después. Si el mensaje transmite una sensación de urgencia o utiliza tácticas de venta de alta presión, sé escéptico; nunca dejes que su urgencia influya en tu revisión cuidadosa. Lo primero que hay que hacer cuando te envian un email es revisar si ese email es oficial, por ejemplo te llega un supuesto email de SEUR O DE LA DGT DE TRÁFICO, ¿va después de la @ el dominio oficial?, de no ser así ya has desenmascarado a un delincuente utilizando ingeniería social para hackear.

Investiga los hechos. Sospeche de cualquier mensaje no solicitado. Si el correo electrónico parece provenir de una empresa que usted utiliza, investigue por su cuenta. Utiliza un motor de búsqueda para ir a la página web de la empresa real, o una guía telefónica para encontrar su número de teléfono.

No dejes que un enlace controle el lugar al que llegas. Mantén el control encontrando el sitio web tú mismo utilizando un motor de búsqueda para asegurarte de que aterrizas donde pretendes hacerlo. Al pasar el ratón por encima de los enlaces en el correo electrónico se mostrará la URL real en la parte inferior, pero una buena falsificación puede llevarle a equivocarse.

El secuestro de correos electrónicos está muy extendido (Email hijacking). Los piratas informáticos, los spammers y los ingenieros sociales que se hacen con el control de las cuentas de correo electrónico de la gente (y de otras cuentas de comunicación) se han convertido en un fenómeno generalizado. Una vez que controlan una cuenta de correo electrónico, se aprovechan de la confianza de los contactos de la persona. Incluso cuando el remitente parece ser alguien conocido, si no esperas un correo electrónico con un enlace o un archivo adjunto, comprueba con tu amigo o partner de trabajo antes de abrir los enlaces o descargar.

Ten cuidado con cualquier descarga. Si no conoces personalmente al remitente, descargar cualquier cosa es un error.

Las ofertas extranjeras son falsas. Si recibe un correo electrónico de una lotería o sorteo extranjero, dinero de un familiar desconocido o solicitudes de transferencia de fondos de un país extranjero para obtener una parte del dinero, está garantizado que se trata de una estafa.

Formas de protegerse contra la ingeniería social para hackear:

Elimine cualquier solicitud de información financiera o de contraseñas. Si le piden que responda a un mensaje con información personal, es una estafa.

Rechaza las peticiones u ofertas de ayuda. Las empresas y organizaciones legítimas no se ponen en contacto con usted para ofrecerle ayuda. Si no ha solicitado específicamente ayuda al remitente, considere una estafa cualquier oferta de «ayuda» para restablecer la puntuación de crédito, refinanciar una vivienda, responder a su pregunta, etc. Del mismo modo, si recibe una solicitud de ayuda de una organización benéfica o de una organización con la que no tiene relación, elimínela.

Poner los filtros de spam al máximo. Todos los programas de correo electrónico tienen filtros de spam. Para encontrar el tuyo, busca en las opciones de configuración y ponlo en alto; recuerda comprobar periódicamente la carpeta de correo no deseado para ver si un correo legítimo ha quedado atrapado allí por accidente. También puedes buscar una guía paso a paso para configurar tus filtros de spam buscando el nombre de tu proveedor de correo electrónico más la frase «filtros de spam». No obstante siempre se cuela alguno y volvemos a lo mismo, no abras nada que no conozcas o no esperas, y estate tranquilo porque las cosas serias vienen por carta certificada.

Proteja sus dispositivos informáticos. Instale programas antivirus, cortafuegos y filtros de correo electrónico y manténgalos actualizados. Configura tu sistema operativo para que se actualice automáticamente, y si tu smartphone no lo hace, actualízalo manualmente cada vez que recibas un aviso para hacerlo. Utilice una herramienta antiphishing ofrecida por su navegador web o por un tercero para que le avise de los riesgos.

TIP MUY IMPORTANTE

Ahora que muchos bancos te obligan a verificar compras online desde tu móvil con una app del propio banco, olvídate de instalar en ese móvil aplicaciones de terceros de dudosa procedencia, como por ejemplo aplicaciones que no están subidas en las stores oficiales.

No es probable Extremadamente probable
AUDIBLE

¡Si te ha gustado la publicación «Ingeniería Social para Hackear», te animamos a estudiar un Máster en Ciberseguridad Online para convertirte en un verdadero experto de la seguridad en internet! ¡Dale al Like y comparte, los futuros reclutadores contrastarán que sigues contenido de calidad especializado en tu nicho profesional!