Un nuevo informe de Intel Security y respaldado por el Centro Europeo del Cibercrimen de la Europol revela que las últimas técnicas de ingeniería social puestas en marcha por los cibercriminales son cada vez más sofisticadas y más difíciles de detectar. A través de estas técnicas, los cibercriminales consiguen que sus víctimas realicen acciones que normalmente no harían, y se suelen traducir en la pérdida de datos e información valiosa. Y también en cuantiosas pérdidas económicas y de reputación.
Este informe, denominado “Hacking the Human OS”, llega días después de que 100 bancos de todo el mundo hayan confirmado que han sufrido ataques de malware que les causó daños estimados en 1.000 millones de dólares. Las redes y ordenadores de los bancos sufrieron ataques de phishing demostrando la debilidad inherente en el “firewall humano” y la necesidad de educar a los empleados sobre las principales técnicas de persuasión en el mundo digital.
“Lo más común que nosotros vemos cuando investigamos brechas de datos es el uso de ingeniería social para obligar al usuario a hacer algo que facilite la infección de malware sin que sea consciente de ello” afirma Raj Samani, EMEA CTO de Intel Security, asesor el Centro Europeo del Cibercrimen de la Europol y autor del informe.
Paul Gillen, Director de Operaciones del Centro Europeo del Cibercrimen de la Europol también comenta que “los cibercriminales no necesitan necesariamente un gran conocimiento técnico para conseguir sus objetivos. Confían en la manipulación psicológica para infectar los ordenadores de las víctimas a través de phishing, por ejemplo. Dichas víctimas son persuadidas para que abran adjuntos aparentemente legítimos o pulsen en un enlace en el cuerpo del correo electrónico que parece proceder de fuentes conocidas”.
Qué es la ingeniería social y categorías
Se trata de un conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y premeditada por los cibercriminales para la obtención de información de terceros. Podría denominarse también como el sutil arte del engaño llevado a cabo a través de los usuarios, que en definitiva son el eslabón débil y que nos son conscientes del daño que pueden provocar. Un ataque que utilice ingeniería social puede dividirse en dos categorías:
◦Hunting: el objetivo es extraer información a través de una interacción mínima con el objetivo. Este enfoque generalmente implica un solo contacto entre el atacante y la víctima, y termina una vez que se ha conseguido la información.
◦Farming: en este caso el objetivo es establecer una relación continuada en el tiempo para “exprimir” al máximo a la víctima y extraer gran cantidad de información.
El informe también destaca un notable aumento en la sofisticación de las técnicas de ingeniería social. De hecho, los Laboratorios McAfee Labs han identificado un aumento en el uso de URLs sospechosas, con más de 30 millones identificadas a finales de 2014. Este aumento es atribuido al uso de nuevas URLs cortas, que con frecuencia esconden sitios web maliciosos y un aumento de las URLs de phishing. Estas URLs esconden en realidad el verdadero destino del enlace y suelen ser utilizadas por los cibercriminales para engañar a los empleados de las empresas. Es razonable preocuparse, teniendo en cuenta que un 18% de los usuarios está siendo víctimas de dichos emails de phishing.
El equipo de 500 investigadores de los laboratorios de McAfee Labs de Intel Security destaca el hecho de que dos tercios de los emails de todo el mundo son ahora spam destinado a la extorsión para obtener dinero e información confidencial del receptor. Esto supone que los consumidores y empleados deben estar alerta contra el phishing.
Según Javier Perea, regional director de Intel Security España, “las amenazas de ingeniería social son peores que el malware más intrusivo, ya que es más difícil protegerse frente a ellas. Especialmente porque el objetivo son las personas, no solo el sistema. En este sentido, la forma más eficaz de protegerse frente a estas amenazas es estar informado, y las empresas deben impulsar la educación en materia de seguridad, con el fin de mitigar los riesgos.”
La importancia de la seguridad y la gestión de políticas nunca han sido más evidentes. Sin embargo, un reciente estudio de Enterprise Management Associates, destaca que solo el 56% de los empleados ha recibido algún tipo de formación en seguridad, protocolos o políticas. El informe Hacking The Human OS de Intel Security revela algunas de las técnicas de persuasión básicas utilizadas actualmente por los cibercriminales, de las que todas las empresas y usuarios deben ser conscientes:
Seis puntos a tener en cuenta para enfrentarse al mundo digital
1. Reciprocidad: Cuando a alguien se le proporciona algo, tiende a sentirse obligado a devolver el favor
2. Urgencia: La gente tiende a obedecer cuando se les solicita información de una fuente de aparente confianza, como por ejemplo, cuando recibe un email que parece proceder de su banco pidiéndole que responda rápidamente o su cuenta será deshabilitada en 24 horas.
3. Consistencia: Una vez que los usuarios se comprometen a hacer algo, suelen cumplir sus promesas. Por ejemplo, un hacker se hace pasar como parte de un equipo de TI de una empresa y podría instar a que un empleado cumpla todos los procesos de seguridad que determine, y pedirle entonces que lleve a cabo una tarea sospechosa, pero que está en línea con los requisitos de seguridad.
4. Me gusta: Las víctimas suelen obedecer cuando les agrada la persona que con la que están interactuando. Un hacker podría utilizar sus encantos por teléfono o a través de la red para convencer a su víctima.
5. Autoridad: Se tiende a obedecer cuando la solicitud procede de una figura con autoridad. Un ejemplo podría ser un email para el departamento financiero que podría proceder, aparentemente, del CEO o Presidente.
6. Validación social: Solemos obedecer cuando vemos que los otros también lo hacen. Por ejemplo, un correo electrónico puede tener aspecto como si hubiera sido enviado por un grupo de empleados, que hace creer a otro empleado que es adecuado si ve que otros también lo han recibido.
—
Ilustración: Detalle, portada del informe “Hacking the Human OS”