Ahora que las relaciones entre las personas son cada vez más digitales, el uso de la ingenierĂa social es un problema de seguridad pĂşblica.
Por Josh Fruhlinger | Original de IDGN
La pandemia del COVID-19 generĂł, en paralelo, un correlato digital sn precedentes que hizo de finales de 2020 y comienzos de 2021 que el ransomware compitiera en titulares con el SAR-CoV2.Â
Sirvieron, tambiĂ©n, los años 2020 y 2021 para entender que no sĂłlo de cĂłdigo se nutre un ciberataque exitoso: la psicologĂa aplicada que conocemos como ingenierĂa social es esencial para lograr los grandes objetivos.
Incluso hasta los pequeños. No hablaremos en esta ocasiĂłn de los elementos claves y definitorios de la ingenierĂa social como proceso.Â
Sin embargo, las historias de loss casos que compartiremos harán evidente por quĂ© los CIO y lĂderes de TI deben insistir en el entrenamiento de TODO el personal de la empresa para lograr “vacunar” a su organizaciĂłn de los ataques cada vez más frecuentes de la ciberpandemia.Â
La confianza y la ingenuidad son lujos de otros tiempos.Â
Ejemplos de ingenierĂa social
Una buena manera de identificar quĂ© tácticas de ingenierĂa social hay que tener en cuenta es revisar el pasado: cĂłmo se hizo antes.
Es cieroo: eso da para mucho. Quizás demasiado.Â
Por el momento centrĂ©monos en tres tĂ©cnicas de ingenierĂa social (ndependientes de las plataformas tecnolĂłgicas) que han tenido mucho Ă©xito anteriormente para los estafadores.
1. Ofrece algo dulce
Como le dirá cualquier estafador, la forma más fácil de dexraudar a una marca es explotar su propia codicia.Â
Esta es la base de la clásica estafa 419 nigeriana, en la que el tomador trata de convencer a la vĂctima para que lo ayude a sacar dinero – supuestamente – mal habido de su paĂs a un banco seguro, ofreciendo una parte de los fondos como recomoensa por la ayuda.Â
Estos correos electrĂłnicos del “prĂncipe nigeriano” han sido una broma corriente durante dĂ©cadas.Â
No obstante, siguen siendo una tĂ©cnica de ingenierĂa social eficaz que enamora a la gente: en 2007, el tesorero de un condado escasamente poblado de Michigan entregĂł US$ 1,2 millones en fondos pĂşblicos a un estafador de este tipo, con la esperanza de cobrar personalmente.Â
Otro atractivo comĂşn es la perspectiva de un trabajo nuevo y mejor el cual, aparentemente, es algo que muchos de nosotros queremos: tal es el caso de una brecha de seguridad enormemente vergonzosa en 2011, en la que se vio envuelta la empresa de ciberseguridad RSA debido, al menos, a las acciones de dos empleados de bajo nivel. Â
Dichos colaboradores comprometieron a toda la organizaciĂłn cuando pp abrieron un archivo de malware adjunto en un correo electrĂłnico de phishing con el nombre de archivo “plan de reclutamiento 2011.xls”.
2. Fingir hasta que lo consigas Â
Una de las tĂ©cnicas de ingenierĂa social más simples, y sorprendentemente más exitosa, es (simplemente) pretender ser la vĂctima. Â
En una de las primeras estafas legendarias de Kevin Mitnick, obtuvo acceso a los servidores de desarrollo del sistema operativo de Digital Equipment Corporation simplemente llamando a la empresa, afirmando ser uno de sus principales desarrolladores y diciendo que tenĂa problemas para iniciar sesiĂłn.Â
Inmediatamente fue recompensado con un nuevo nombre de usuario y contraseña. Â
Todo esto sucediĂł en 1979. Uno pensarĂa que las cosas habrĂan mejorado desde entonces, pero estarĂa equivocado: en 2016, un pirata informático obtuvo el control de una direcciĂłn de correo electrĂłnico del Departamento de Justicia de EE. UU. y la usĂł para hacerse pasar por un empleado.Â
LogrĂł persuadir al helpdesk para que le entregara un token de acceso a la intranet del Departamento de Justicia, diciendo que era su primera semana en el trabajo y que no sabĂa cĂłmo funcionaba nada.
Muchas organizaciones tienen barreras destinadas a prevenir este tipo de suplantaciones descaradas pero, a menudo, se pueden eludir con bastante facilidad.
Cuando Hewlett-Packard contratĂł a investigadores privados para averiguar quĂ© miembros de la junta de HP estaban filtrando informaciĂłn a la prensa en 2005, pudieron proporcionar a los IP los Ăşltimos cuatro dĂgitos del nĂşmero de seguro social de sus objetivos. Estos fueron aceptados como prueba de identificaciĂłn por el soporte tĂ©cnico de AT&T. antes de entregar registros de llamadas detallados.
3. ActĂşa como si estuvieras a cargoÂ
La mayorĂa de nosotros estamos preparados para respetar la autoridad y, como resultado, respetar a las personas que actĂşan como si tuvieran la autoridad para hacer lo que están haciendo.Â
Esto es algo que se puede explotar en diversos grados de conocimiento de los procesos internos de una empresa para convencer a las personas de que tiene derecho a estar en lugares o ver cosas que no deberĂas.Â
O que una comunicaciĂłn que proviene de usted REALMENTE proviene de alguien a quien respetan. Â
Por ejemplo, en 2015, los empleados de finanzas de Ubiquiti Networks transfirieron millones de dĂłlares en dinero de la empresa a estafadores que se hacĂan pasar por ejecutivos, usando (probablemente) una URL similar en su direcciĂłn de correo electrĂłnico. Â
En el lado de la tecnologĂa más baja, los investigadores que trabajaban para los tabloides británicos a finales de los 2000 y principios de los 2010, a menudo, encontraban formas de obtener acceso a las cuentas de correo de voz de las vĂctimas haciĂ©ndose pasar por otros empleados de la compañĂa telefĂłnica a travĂ©s de puras mentiras.Â
Por ejemplo, un IP convenciĂł a Vodafone de restablecer el PIN del correo de voz de la actriz Sienna Miller llamando y afirmando ser “John de control de crĂ©dito”.
A veces son las demandas de lo que creemos autoridades externas aquellas que cumplimos sin pensarlo.Â
El correo electrĂłnico del jefe de la campaña de Hillary Clinton, John Podesta, fue pirateado por espĂas rusos en 2016 cuando le enviaron un correo electrĂłnico de phishing disfrazado como una nota de Google pidiĂ©ndole que restableciera su contraseña.
Al tomar medidas que pensĂł que protegerĂan su cuenta, en realidad, regalĂł sus credenciales de inicio de sesiĂłn.
Si le pasĂł a Ă©l, puede pasarle a la cualquiera de nosotros.Â