En un mundo cada vez más en línea, donde la confianza es a la vez una moneda y una vulnerabilidad, los actores de las amenazas tratan de manipular el comportamiento humano y aprovecharse de la tendencia de la gente a querer ayudar. En esta infografía, exploraremos la ingeniería social, incluyendo por qué los actores de amenazas valoran las identidades profesionales por encima de todas las demás, a la vez que le mostramos algunas de las formas en que manipulan la naturaleza humana para lograr sus objetivos.
Aprovechar la economía de confianza: el fraude de la ingeniería social
Ingeniería social y el atractivo delictivo del phishing
Aproximadamente el 90 %1 ataques de phishing implican tácticas de ingeniería social diseñadas para manipular a las víctimas -normalmente a través del correo electrónico- para que revelen información confidencial, hagan clic en vínculos maliciosos o abran archivos maliciosos. Los ataques de suplantación de identidad son rentables para los atacantes, se pueden adaptar para ayudar a eludir las medidas de prevención y cuentan con altas tasas de éxito.
Los mecanismos del comportamiento humano
Las técnicas de ingeniería social tienden a basarse en el uso de la confianza y la persuasión por parte del atacante para convencer a sus objetivos de que realicen acciones que, de otro modo, no serían comunes. Tres mecanismos eficaces son la urgencia, la emoción y el hábito.2
Urgencia
A nadie le gusta perder una oportunidad o incumplir una fecha límite importante. La sensación de urgencia puede llevar a que los objetivos, que de otro modo se comportarían de forma racional, entreguen información personal.
Ejemplo: Falsa urgencia
"La característica principal de un correo electrónico de phishing es adjuntar algún tipo de marco temporal. Quieren presionarte para que tomes una decisión en poco tiempo".
Jack Mott: Inteligencia contra amenazas Microsoft
Emoción
La manipulación emocional puede dar ventaja a los ciberatacantes, ya que los seres humanos son más propensos a realizar acciones arriesgadas en un estado emocional exacerbado, especialmente si hay miedo, culpa o ira de por medio.
Ejemplo: Manipulación emocional
"El señuelo más eficaz que he visto hasta ahora era un correo electrónico muy breve que decía que tu cónyuge nos había contratado para preparar tus papeles de divorcio. Haz clic en el vínculo para descargar tu ejemplar".
Sherrod DeGrippo: Inteligencia contra amenazas Microsoft
Hábito
Los delincuentes son buenos observadores del comportamiento y prestan especial atención a los hábitos y rutinas que la gente realiza "con el piloto automático", sin pensar demasiado.
Ejemplo: Hábito común
En una técnica conocida como "quishing3," los estafadores se harán pasar por una empresa creíble y te pedirán que escanees un código QR en su correo electrónico. Por ejemplo, pueden decirte que necesitas escanear el código porque el pago de una factura no se ha realizado o que necesitas restablecer tu contraseña.
"Los actores de la amenaza se adaptan a los ritmos del negocio. Son geniales a la hora de implementar señuelos que tienen sentido en el contexto en el que normalmente los recibimos".
Jack Mott: Inteligencia contra amenazas Microsoft
El límite entre la vida personal y profesional de un empleado puede, a veces, converger. Un empleado puede utilizar su correo electrónico de trabajo para cuentas personales que utilice para el trabajo. A veces, los actores de amenazas intentan aprovecharse de ello haciéndose pasar por uno de estos programas para acceder a la información corporativa de un empleado.
"En las estafas de phishing por correo electrónico, los ciberdelincuentes buscan en sus "señuelos" direcciones de correo electrónico corporativas. No merecen la pena las direcciones personales de correo web. Las direcciones de trabajo son más valiosas, por lo que dedicarán más recursos y se centrarán más en personalizar los ataques para esas cuentas".
Jack Mott: Inteligencia contra amenazas Microsoft
La "estafa larga"
Los ataques de ingeniería social no suelen ser rápidos. Los ingenieros sociales tienden a ganarse la confianza de sus víctimas a lo largo del tiempo mediante técnicas laboriosas que comienzan con una investigación. El ciclo de este tipo de manipulación podría ser el siguiente:
-
Investigación: Los ingenieros identifican un objetivo y recopilan información de fondo, como posibles puntos de entrada o protocolos de seguridad.
-
Infiltrarse: Los ingenieros se centran en establecer la confianza con el objetivo. Crean una historia, captan al objetivo y toman el control de la interacción para dirigirla de forma que beneficie al ingeniero.
-
Aprovecharse: Los ingenieros sociales obtienen la información del objetivo a lo largo del tiempo. Normalmente, el objetivo entrega esta información voluntariamente, y los ingenieros pueden utilizarla en su beneficio para acceder a más información confidencial.
-
Retirarse: Un ingeniero social llevará la interacción a un final natural. Un ingeniero experto lo hará sin que el objetivo sienta desconfianza
Los ataques de BEC destacan en el sector del ciberdelito debido a su énfasis en la ingeniería social y el arte del engaño. Los ataques de BEC de éxito cuestan a las organizaciones cientos de millones de dólares al año. En 2022, el Internet Crime Complaint Center de la Oficina Federal de Investigaciones (FBI) registró pérdidas ajustadas de más de 2700 millones de USD por 21 832 denuncias de BEC presentadas.4
Los principales objetivos de BEC son los ejecutivos y otros líderes de alto nivel, directores financieros y el personal de recursos humanos con acceso a registros de empleados como números del seguro social, declaraciones de impuestos u otra información personal identificable. También son un objetivo los nuevos empleados, que es menos probable que verifiquen las solicitudes de correo extrañas.
Prácticamente todas las formas de ataques de BEC están en alza. Entre los tipos de ataques BEC más comunes se incluyen:5
-
Compromiso directo de correo electrónico (DEC): Las cuentas de correo electrónico comprometidas se utilizan para ejecutar ingeniería social en roles de contabilidad internos o de terceros para transferir fondos a la cuenta bancaria del atacante o cambiar la información de pago de una cuenta existente.
-
Compromiso del correo electrónico del proveedor (VEC): Ingeniería social de una relación existente con un proveedor mediante el secuestro de un correo electrónico relacionado con el pago y la suplantación de empleados de la empresa para convencer a un proveedor de que redirija el pago pendiente a una cuenta bancaria ilícita.
-
Estafa de facturas falsas: Una estafa masiva de ingeniería social que se aprovecha de marcas comerciales conocidas para convencer a las empresas de que paguen facturas falsas.
-
Suplantación de abogado: El aprovechamiento de las relaciones de confianza con grandes bufetes de abogados de renombre para aumentar la credibilidad ante los ejecutivos de pequeñas empresas y start-ups con el fin de completar el pago de facturas pendientes, especialmente antes de acontecimientos significativos como las ofertas públicas iniciales. La redirección de los pagos a una cuenta bancaria ilícita se produce una vez alcanzado un acuerdo sobre las condiciones de pago.
Octo Tempest
Octo Tempest es un colectivo de actores de amenazas nativos de habla inglesa con motivaciones económicas, conocidos por lanzar campañas de gran alcance que destacan por sus técnicas de ataque tipo man-in-the-middle (AiTM), ingeniería social y capacidades de intercambio de SIM.
Octo Tempest es un colectivo de actores de amenazas nativos de habla inglesa con motivaciones económicas, conocidos por lanzar campañas de gran alcance que destacan por sus técnicas de ataque tipo man-in-the-middle (AiTM), ingeniería social y capacidades de intercambio de SIM.
Diamond Sleet
En agosto de 2023, Diamond Sleet llevó a cabo un ataque a la cadena de suministro de software del proveedor de software alemán JetBrains que comprometió servidores para procesos de creación, prueba e implementación de software. Dado que Diamond Sleet se ha infiltrado con éxito en entornos de compilación en el pasado, Microsoft considera que esta actividad supone un riesgo especialmente alto para las organizaciones afectadas.
En agosto de 2023, Diamond Sleet llevó a cabo un ataque a la cadena de suministro de software del proveedor de software alemán JetBrains que comprometió servidores para procesos de creación, prueba e implementación de software. Dado que Diamond Sleet se ha infiltrado con éxito en entornos de compilación en el pasado, Microsoft considera que esta actividad supone un riesgo especialmente alto para las organizaciones afectadas.
Sangria Tempest6
Sangria Tempest, también conocido como FIN, destaca por tener como objetivo el sector de la restauración y robar datos de tarjetas de pago. Uno de sus señuelos más eficaces consiste en una acusación de intoxicación alimentaria, cuyos detalles pueden consultarse al abrir un archivo adjunto malicioso.
Sangria Tempest, también conocido como FIN, destaca por tener como objetivo el sector de la restauración y robar datos de tarjetas de pago. Uno de sus señuelos más eficaces consiste en una acusación de intoxicación alimentaria, cuyos detalles pueden consultarse al abrir un archivo adjunto malicioso.
Sangria Tempest, que es principalmente de Europa del Este, ha utilizado foros clandestinos para reclutar a hablantes nativos de inglés, que reciben formación sobre cómo hacer que las tiendas envíen un señuelo por correo electrónico. El grupo ha robado decenas de millones de datos de tarjetas de pago a través de ese proceso.
Midnight Blizzard
Midnight Blizzard es un actor de amenazas con base en Rusia conocido por atacar principalmente a gobiernos, entidades diplomáticas, organizaciones no gubernamentales (ONG) y proveedores de servicios de TI, sobre todo en Estados Unidos y Europa.
Midnight Blizzard es un actor de amenazas con base en Rusia conocido por atacar principalmente a gobiernos, entidades diplomáticas, organizaciones no gubernamentales (ONG) y proveedores de servicios de TI, sobre todo en Estados Unidos y Europa.
Midnight Blizzard aprovecha los mensajes de Teams para enviar señuelos que intentan robar credenciales de una organización objetivo atrayendo a un usuario y obteniendo la aprobación de las solicitudes de autenticación multifactor (MFA).
¿Lo sabías?
La estrategia de nomenclatura de los actores de amenazas de Microsoft ha cambiado a una nueva taxonomía de nomenclatura para los actores de amenazas inspirada en temas relacionados con el clima.
La estrategia de nomenclatura de los actores de amenazas de Microsoft ha cambiado a una nueva taxonomía de nomenclatura para los actores de amenazas inspirada en temas relacionados con el clima.
Aunque los ataques de ingeniería social pueden ser sofisticados, hay cosas que puedes hacer para evitarlos.7 Si eres inteligente con tu privacidad y seguridad, puedes vencer a los atacantes en su propio juego.
En primer lugar, instruye a los usuarios para que mantengan sus cuentas personales y no las mezclen con el correo electrónico del trabajo o con tareas relacionadas con el trabajo.
Además, asegúrate de imponer el uso de la MFA. Los ingenieros sociales suelen buscar información como las credenciales de inicio de sesión. Al habilitar la MFA, aunque un atacante consiga tu nombre de usuario y contraseña, no podrá acceder a tus cuentas ni a tu información personal.8
No abras correos electrónicos ni archivos adjuntos de fuentes sospechosas. Si un amigo te envía un vínculo en el que necesitas hacer clic urgentemente, confirma con él si el mensaje procede realmente de él. Haz una pausa y pregúntate si el remitente es quien dice ser antes de hacer clic en algo.
Pausa y verificación
Desconfía de las ofertas demasiado buenas para ser ciertas. No puedes ganar un sorteo en el que no has participado y ningún miembro de la realeza extranjera te va a dejar una gran cantidad de dinero. Si te parece demasiado tentadora, haz una búsqueda rápida para determinar si la oferta es legítima o una trampa.
No compartas demasiado en Internet. Los ingenieros sociales necesitan que sus objetivos confíen en ellos para que sus estafas funcionen. Si pueden encontrar tus datos personales en tus perfiles de redes sociales, pueden utilizarlos para que sus estafas parezcan más legítimas.
Protege tus ordenadores y dispositivos. Utiliza programas antivirus, firewalls y filtros de correo electrónico. En caso de que una amenaza llegue a tu dispositivo, dispondrás de protección para mantener a salvo tu información.
"Cuando recibes una llamada telefónica o un correo electrónico dudoso, la clave está en parar y verificar. La gente comete errores cuando actúa demasiado deprisa, así que es importante recordar a los empleados que no tienen por qué reaccionar de inmediato ante este tipo de situaciones".
Jack Mott: Inteligencia contra amenazas Microsoft
Obtén más información sobre cómo ayudar a proteger tu organización viendo El riesgo de la confianza: Amenazas de ingeniería social y ciberdefensa.
-
[2]
El contenido de esta sección procede de https://go.microsoft.com/fwlink/?linkid=2263229
-
[6]
Waymon Ho, Around 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
-
[7]
Nota: El contenido procede de https://go.microsoft.com/fwlink/?linkid=2263229