fbpx
Top

Ingeniería social, tres historias clásicas de fraudes habituales

Ingeniería Social

Ingeniería social, tres historias clásicas de fraudes habituales

Ahora que las relaciones entre las personas son cada vez más digitales, el uso de la ingeniería social es un problema de seguridad pública.

Por Josh Fruhlinger | Original de IDGN

 

La pandemia del COVID-19 generó, en paralelo, un correlato digital sn precedentes que hizo de finales de 2020 y comienzos de 2021 que el ransomware compitiera en titulares con el SAR-CoV2. 

Sirvieron, también, los años 2020 y 2021 para entender que no sólo de código se nutre un ciberataque exitoso: la psicología aplicada que conocemos como ingeniería social es esencial para lograr los grandes objetivos.

Incluso hasta los pequeños. No hablaremos en esta ocasión de los elementos claves y definitorios de la ingeniería social como proceso. 

Sin embargo, las historias de loss casos que  compartiremos harán evidente por qué los CIO y líderes de TI deben insistir en el entrenamiento de TODO el personal de la empresa para lograr “vacunar” a su organización de los ataques cada vez más frecuentes de la ciberpandemia. 

La confianza y la ingenuidad son lujos de otros tiempos. 

Ejemplos de ingeniería social

Una buena manera de identificar qué tácticas de ingeniería social hay que tener en cuenta es revisar el pasado: cómo se hizo antes.

Es cieroo: eso da para mucho. Quizás demasiado. 

Por el momento centrémonos en tres técnicas de ingeniería social (ndependientes de las plataformas tecnológicas) que han tenido mucho éxito anteriormente para los estafadores.

1. Ofrece algo dulce

Como le dirá cualquier estafador, la forma más fácil de dexraudar a una marca es explotar su propia codicia. 

Esta es la base de la clásica estafa 419 nigeriana, en la que el tomador trata de convencer a la víctima para que lo ayude a sacar dinero – supuestamente – mal habido de su país a un banco seguro, ofreciendo una parte de los fondos como recomoensa por la ayuda. 

Estos correos electrónicos del “príncipe nigeriano” han sido una broma corriente durante décadas. 

No obstante, siguen siendo una técnica de ingeniería social eficaz que enamora a la gente: en 2007, el tesorero de un condado escasamente poblado de Michigan entregó US$ 1,2 millones en fondos públicos a un estafador de este tipo, con la esperanza de cobrar personalmente. 

Otro atractivo común es la perspectiva de un trabajo nuevo y mejor el cual, aparentemente, es algo que muchos de nosotros queremos: tal es el caso de una brecha de seguridad enormemente vergonzosa en 2011, en la que se vio envuelta la empresa de ciberseguridad RSA debido, al menos, a las acciones de dos empleados de bajo nivel.  

Dichos colaboradores comprometieron a toda la organización cuando pp abrieron un archivo de malware adjunto en un correo electrónico de phishing con el nombre de archivo “plan de reclutamiento 2011.xls”.

Ingeniería social

2. Fingir hasta que lo consigas  

Una de las técnicas de ingeniería social más simples, y sorprendentemente más exitosa, es (simplemente) pretender ser la víctima.  

En una de las primeras estafas legendarias de Kevin Mitnick, obtuvo acceso a los servidores de desarrollo del sistema operativo de Digital Equipment Corporation simplemente llamando a la empresa, afirmando ser uno de sus principales desarrolladores y diciendo que tenía problemas para iniciar sesión. 

Inmediatamente fue recompensado con un nuevo nombre de usuario y contraseña.  

Todo esto sucedió en 1979. Uno pensaría que las cosas habrían mejorado desde entonces, pero estaría equivocado: en 2016, un pirata informático obtuvo el control de una dirección de correo electrónico del Departamento de Justicia de EE. UU. y la usó para hacerse pasar por un empleado. 

Logró persuadir al helpdesk para que le entregara un token de acceso a la intranet del Departamento de Justicia, diciendo que era su primera semana en el trabajo y que no sabía cómo funcionaba nada.

Muchas organizaciones tienen barreras destinadas a prevenir este tipo de suplantaciones descaradas pero, a menudo, se pueden eludir con bastante facilidad.

Cuando Hewlett-Packard contrató a investigadores privados para averiguar qué miembros de la junta de HP estaban filtrando información a la prensa en 2005, pudieron proporcionar a los IP los últimos cuatro dígitos del número de seguro social de sus objetivos. Estos fueron aceptados como prueba de identificación por el soporte técnico de AT&T. antes de entregar registros de llamadas detallados.

3. Actúa como si estuvieras a cargo 

La mayoría de nosotros estamos preparados para respetar la autoridad y, como resultado, respetar a las personas que actúan como si tuvieran la autoridad para hacer lo que están haciendo. 

Esto es algo que se puede explotar en diversos grados de conocimiento de los procesos internos de una empresa para convencer a las personas de que tiene derecho a estar en lugares o ver cosas que no deberías. 

O que una comunicación que proviene de usted REALMENTE proviene de alguien a quien respetan.  

Por ejemplo, en 2015, los empleados de finanzas de Ubiquiti Networks transfirieron millones de dólares en dinero de la empresa a estafadores que se hacían pasar por ejecutivos, usando (probablemente) una URL similar en su dirección de correo electrónico.  

En el lado de la tecnología más baja, los investigadores que trabajaban para los tabloides británicos a finales de los 2000 y principios de los 2010, a menudo, encontraban formas de obtener acceso a las cuentas de correo de voz de las víctimas haciéndose pasar por otros empleados de la compañía telefónica a través de puras mentiras. 

Por ejemplo, un IP convenció a Vodafone de restablecer el PIN del correo de voz de la actriz Sienna Miller llamando y afirmando ser “John de control de crédito”.

A veces son las demandas de lo que creemos autoridades externas aquellas que cumplimos sin pensarlo. 

El correo electrónico del jefe de la campaña de Hillary Clinton, John Podesta, fue pirateado por espías rusos en 2016 cuando le enviaron un correo electrónico de phishing disfrazado como una nota de Google pidiéndole que restableciera su contraseña.

Al tomar medidas que pensó que protegerían su cuenta, en realidad, regaló sus credenciales de inicio de sesión.

Si le pasó a él, puede pasarle a la cualquiera de nosotros. 

Periodista apasionada por la innovación, la tecnología y la creatividad. Editora de The Standard CIO y Factory Pyme para The HAP GROUP