Los seres humanos son el eslabón más débil en cualquier sistema de seguridad. Entonces, si soy un malhechor, ¿por qué no voy a hackear directamente al humano en lugar de tratar de encontrar una forma técnicamente compleja de ingresar al sistema? Bueno, de hecho, eso es lo que llamamos ingeniería social, este hacking de humanos. Y muchas veces se basa en dos motivaciones subyacentes diferentes que vamos a explotar en la psicología humana. Y es que las personas están impulsadas en gran medida por la codicia o el deseo de obtener algo, o están motivadas por el miedo. Y en algunos de estos casos, vamos a usar ambos, pero en otros casos solo uno de ellos. Te llevaré a través de tres escenarios diferentes en los que vamos a comprometer credenciales, vamos a comprometer el control del sistema y vamos a comprometer la propiedad intelectual de una organización. Tres ataques diferentes de ingeniería social. Vamos a entrar en los detalles.
Índice
Ataque 1: Compromiso de credenciales
En nuestro primer escenario, vamos a comprometer las credenciales, es decir, el ID de usuario y la contraseña que se utiliza para iniciar sesión en un sistema. Y algo que contribuye al éxito de este tipo de ataques de ingeniería social es si has realizado tu investigación de antemano. Es decir, has recopilado información y has investigado a tu víctima. ¿Dónde harías eso? Bueno, podrías buscar en redes sociales como Facebook, LinkedIn, Google, y cosas así para obtener toda la información posible sobre tu víctima. En este ejemplo, vamos a realizar lo que se conoce como un ataque de spear phishing, donde enviaremos un correo electrónico de phishing, pero será muy, muy dirigido porque hemos hecho esta investigación. Y es por eso que es más exitoso, porque la gente tiende a ignorar el contenido genérico. Así que recurro a estas fuentes y, a partir de ahí, puedo averiguar la organización para la cual trabaja mi víctima, su dirección de correo electrónico. Puedo obtener el título que tiene dentro de la organización. Quizás pueda obtener información sobre quién es su asistente administrativo, cosas por el estilo. Hay mucha información en línea que será muy útil. Ahora, lo que voy a hacer a partir de eso es aprovechar esa información. Supongamos que nuestra víctima ha recibido una laptop de la empresa, que es antigua y está esperando una actualización. Así que están buscándola. Quizás no sea codicia, pero es algo que esperan obtener de esto. Quieren una actualización de la laptop. Entonces, si yo fuera el atacante, enviaría un correo electrónico a la víctima. En el correo electrónico, enviaré toda esa información que obtuve. Lo enviaré desde una dirección basada en el nombre de dominio de la organización e incluso podría dirigirlo a su título, y en el asunto del correo electrónico pondré que se trata de su nueva laptop. Y todo lo que tienen que hacer es hacer clic en el enlace que les envío a un sitio web, digamos que es example.com. Pero fíjate que dejé afuera la «e». Esto se llama typo squatting, donde obtengo algo que es similar y tal vez nadie se dé cuenta de la diferencia. Pero es suficientemente parecido. Y le digo a la víctima que haga clic en el enlace para iniciar sesión y confirmar su pedido. Y cuando lo hagan, al hacer clic en el enlace, terminarán en el sitio web del hacker. Ahí se les pedirá su ID de usuario y su contraseña, y se les pedirá que hagan clic en «Sí» para confirmar su pedido. Ingresan la información, creyendo que van a obtener una nueva laptop. Cuando en realidad lo que hemos hecho es robar su ID de usuario y contraseña y agregarlos a la base de datos del hacker, donde luego pueden ingresar y exportar toda clase de información de ellos. Ahora, ¿qué podríamos haber hecho para prevenir esto? ¿Qué solución podría haber? Encontrarás que hay algunas soluciones comunes en estos casos cuando hablamos de ingeniería social. En este caso, una de las cosas que podría haber ayudado es si pudiéramos haber bloqueado el acceso al sitio web desde un principio. Y la solución que tenemos para eso es un DNS seguro. Y la capacidad a la que me refiero se llama Quad9. Quad9 es una capacidad gratuita. Lo único que tienes que hacer es cambiar tu DNS, es decir, la configuración de nombre de dominio en tu navegador o en tu sistema de IP y configurarlo en fours nines. Y cuando lo hagas, tiene una lista negra y busca sitios conocidos como maliciosos y te impedirá acceder a ellos desde el principio. Así que eso podría haber evitado que la persona llegara ahí desde un principio. ¿Qué más podríamos hacer? Bueno, realmente necesitamos, si piensas en esto, se trata de un ataque al ser humano, a su psicología, a su mente. Así que ahí es donde necesitamos poner muchas de nuestras defensas. Necesitamos mejorar la educación del usuario. Necesitamos hacerles saber que este tipo de escenario puede ocurrir para que estén preparados. Y en última instancia, tenemos que aplicar estas habilidades de pensamiento crítico. Hacer que las personas piensen, no solo actúen. En el primer ataque, aprovechamos la codicia o el intento de ofrecerles algo. Y en el siguiente, vamos a aprovechar el miedo. Y a veces, el miedo es un motivador aún más poderoso. En este caso, vamos a intentar obtener el control sobre el sistema del usuario. Entonces, el malhechor aquí nuevamente realiza su investigación, recopila información valiosa sobre la persona y en este caso en particular, descubre el número de teléfono de la víctima. Aquí está nuestra víctima. Reúne toda esta información. Cuanta más información tenga sobre el individuo, más convincente será cuando lo llame. Y eso es lo que hará a continuación. Llamará a la víctima y le dirá: «Soy de una empresa de software y hemos detectado que hay malware en su sistema y causará un gran daño. Borrará todos sus archivos. Causará daño a generaciones aún no nacidas». Y ahí está la motivación. Y también le agregamos un sentido de urgencia, eso multiplica el miedo o la codicia. Entonces, queremos agregar esa urgencia si somos ingenieros sociales. Les dirá: «Lo que necesito que hagas es que vayas a tu computadora». Aquí está la computadora de la persona y le dirá: «Necesito que descargues un software especial. He obtenido algunos datos de tu sistema. Ven a mi sitio web. Descarga esta herramienta gratuita de desinfección. Esto solucionará todos tus problemas y no te costará nada. Tu vida mejorará». La persona descarga el software y lo instala en su sistema. Ahora resulta que lo que estaba descargando no estaba mejorando las cosas, sino empeorándolas. De hecho, lo que descargó es lo que llamamos un troyano de acceso remoto (RAT, por sus siglas en inglés). Ahora, el malhechor tiene el control completo sobre el sistema de esta persona. Puede iniciar sesión en ese sistema y hacer cualquier cosa como si estuviera en el sistema. Puede robar toda su información, todos sus archivos, borrar todos los archivos, acceder al correo electrónico, y todas esas cosas. Muy perjudicial. Y de hecho, este tipo de escenario es muy, muy común. Muchas personas han caído en esta trampa debido al miedo y al sentido de urgencia. ¿Qué podemos hacer para prevenir esto? Bueno, algunas de las cosas que ayudarían son las mismas que mencioné anteriormente. Si tuviéramos una forma de bloquear un sitio web malicioso como este y supiéramos de antemano, el DNS seguro evitaría que este usuario descargara accidentalmente el software malicioso. Si educamos al usuario, este es un escenario del que todos deberían ser conscientes. Y eso es lo que estamos haciendo ahora, concienciarte sobre esto. Entonces, es menos probable que caigan en esta trampa. Resulta que las empresas de software no te llaman para decirte que tienes malware en tu sistema. Eso no sucede. Si alguien te llama, simplemente cuelga. Y otra cosa es, nuevamente, desarrollar esas habilidades de pensamiento crítico. Necesitamos que las personas cuestionen las cosas y no solo reaccionen, incluso si el sentido de urgencia intenta alejarnos de eso. Intenta evitar cualquier tipo de pensamiento y simplemente operar en el nivel del tronco del cerebro, simplemente reacciones automáticas. Y otra cosa que podríamos agregar aquí que podría ayudar es una medida técnica llamada autenticación multifactor. La autenticación multifactor haría que no solo ingresar un ID de usuario y una contraseña permitirían que esta persona acceda al sistema, sino que podría requerir otra forma de autenticación. Algo que tienes, algo que eres. Ahora, dependiendo de la forma en que funcione este RAT, eso puede o no ayudar, pero ciertamente puede ayudar a prevenir otros tipos de ataques. En nuestro último escenario, vamos a intensificar el miedo y la urgencia. Y vamos a usar tecnología para realzar todo eso y hacerlo aún más real. En este caso, vamos a robar propiedad intelectual corporativa. Eso es lo que estamos buscando. Entonces, ¿cómo vamos a hacer eso? Vamos a comenzar con nuestro malhechor aquí abajo, y una de las cosas que hizo fue, nuevamente, la fase de inteligencia. Fue a buscar toda esa información. Pero, sabes, una de las cosas que encontró fue que esta persona, nuestra víctima, iba a presentarse en una conferencia en una fecha y hora específicas. Así que sabe que la persona estará fuera de la oficina. Otra cosa que este tipo hizo en ese tiempo fue buscar en la web y encontrar una instancia donde había un video de nuestra víctima dando una presentación en una conferencia similar. Tomará ese video y lo alimentará a una forma de inteligencia artificial (IA) conocida como generador de deepfake. El deepfake tomará la información de este video. En este caso, eliminaremos el audio y entrenaremos su modelo de lenguaje para que pueda generar un archivo de audio que suene como esta persona, nuestra víctima. Sonará casi exactamente como ellos. Hasta el punto de que alguien no podría notar la diferencia. Y con eso, podemos poner palabras en la boca de esa persona. Puedo escribir un texto y hacer que pase por este simulador de voz. Y lo que salga sonará como si esa persona hubiera dicho algo que, de hecho, nunca dijo. Ahí está el gran plan. Ahora, ¿qué vamos a hacer? Vamos a configurarlo para poder hacer una llamada al asistente administrativo de esta persona, también información que obtuve durante la investigación. Descubrí su número de teléfono y ahora voy a hacer una llamada. Excepto que la llamada que voy a hacer irá directamente a su buzón de voz. Ahora bien, ¿cómo podría hacer esto? Bueno, podría hacerlo llamando después de horas, o podría hacerlo si sé cuándo normalmente van a almorzar, o ya existen herramientas que te permitirán evitar que el teléfono suene y vaya directamente al buzón de voz. Esas herramientas ya existen. Así que lo que voy a hacer como malhechor es generar este mensaje y hacer que llame al buzón de voz de esta persona. Y en el buzón de voz, pondré un mensaje muy urgente. Diré: «Mira, soy yo», y no importa quién sea yo, y diré: «Estoy en la conferencia, como sabes, y algo realmente terrible sucedió. Perdí mi teléfono. Por eso ves esta llamada proveniente de otro número que tuve que usar. Tuve que pedir prestado el teléfono de otra persona. Pero ahora mismo estoy en serios problemas. Y necesito tu ayuda. Necesito que, como tampoco tengo mi laptop aquí, me des acceso a un archivo». Esas cifras de ventas, esos planes de productos, cualquier información confidencial que esté buscando el atacante, «necesito que lo envíes a mi cuenta de correo electrónico personal, porque si no lo recibo en una hora, perderé mi trabajo. Y si pierdo mi trabajo, ¿adivina qué? También perderás tu trabajo. Así que esto es para salvar nuestros empleos. Tienes que actuar de inmediato. Ni siquiera pienses». Esa es la urgencia. Y en ese mensaje en el buzón de voz, también les diré el nombre de una cuenta de correo electrónico personal. Pero será la cuenta de correo del hacker, no será de la otra persona. Si la persona está suficientemente motivada y convencida porque suena como su jefe, sabe que el jefe está en la conferencia. Así que todo esto suena muy plausible. Y suena plausible porque este tipo hizo su investigación y, con la ayuda de tecnología de inteligencia artificial, puede simular la voz de la víctima final. Y esta persona cumple, envía la información, la información confidencial de la empresa al malhechor. Y ahora la información se ha filtrado. Esto no es solo hipotético, en realidad sucedió. Hubo un banco que perdió $35 millones debido a que alguien explotó este mismo tipo de escenario e imitó la voz de un ejecutivo. ¿Qué podemos hacer para prevenir esto, porque estamos buscando soluciones? Bueno, en este caso, el DNS seguro no ayudaría porque no accedimos a un sitio web. Pero sin duda, la educación del usuario ayudaría. Las personas necesitan saber que solo porque hayan escuchado algo no significa que necesariamente sea real. Deben tener las habilidades de pensamiento crítico para verificar esto. Tal vez llamar a la persona de vuelta. Verificar a través de otro medio para asegurarse de que la historia es cierta. Y, en última instancia, entrenarnos para no enviar, en ninguna circunstancia, no importa quién lo pida, información confidencial a una cuenta de correo electrónico personal. No importa cuál sea la justificación, porque eso seguro que me costaría mi trabajo. Entonces, estas son las tecnologías que pueden ayudar. En muchos casos, sin embargo, si lo piensas, no se trata solo de tecnología, se trata del usuario. Desafortunadamente, nadie ha inventado un firewall para la mente humana. Si lo hubiera, podríamos instalarlo y todo lo que tendríamos que hacer es actualizar la política en la mente de todos cada vez que nos enteremos de un nuevo ataque de ingeniería social. Obviamente, no es tan simple. Pero espero que ahora entiendas que un ataque de ingeniería social realmente no es tanto un ataque al sistema, sino un ataque a la persona. Y la psicología humana tiene ciertas debilidades. Entonces, ¿qué tenemos que hacer? En algunos casos, podemos usar medios tecnológicos para evitar el ataque. Pero en la mayoría de los casos, se trata de cosas como estas, donde entramos en la mente humana e intentamos entrenarla para que sea resistente a lo que de otra manera sería una vulnerabilidad. Gracias por leer. Si te pareció interesante este artículo y te gustaría aprender más sobre ciberseguridad, recuerda darle like y suscribirte a este blog..
Tabla resumen
| Escenario | Tipo de ataque | Solución recomendada |
|---|---|---|
| Compromiso de credenciales | Spear phishing | DNS seguro, educación del usuario y pensamiento crítico |
| Compromiso del sistema | Falso soporte técnico | DNS seguro, educación del usuario y autenticación multifactor |
| Robo de propiedad intelectual | Engaño mediante deepfake | Educación del usuario y verificación adicional |
Preguntas frecuentes (FAQs)
1. ¿Puede un DNS seguro prevenir todos los ataques de phishing?
No, un DNS seguro puede bloquear el acceso a sitios web maliciosos conocidos, pero no puede prevenir todos los ataques de phishing debido a que los atacantes pueden utilizar sitios web legítimos o técnicas más sofisticadas para engañar a los usuarios.
Sí, la educación del usuario es una de las mejores defensas contra los ataques de ingeniería social. Al capacitar y concienciar a los usuarios sobre las técnicas utilizadas por los atacantes, se puede reducir la probabilidad de que caigan en trampas y sepan cómo actuar ante situaciones sospechosas.
3. ¿La autenticación multifactor es una solución efectiva para proteger el acceso a los sistemas?
Sí, la autenticación multifactor agrega una capa adicional de seguridad al requerir más de una forma de autenticación para acceder a un sistema. Esto dificulta que los atacantes obtengan acceso no autorizado, incluso si han comprometido las credenciales de un usuario.
Hasta la próxima
Gracias por leer este artículo sobre ingeniería social y ciberseguridad. Espero que te haya sido útil y que ahora tengas una mejor comprensión de cómo los ataques de ingeniería social pueden comprometer los sistemas y cómo podemos protegernos. Si te interesa seguir aprendiendo sobre ciberseguridad, te invito a revisar otros artículos relacionados en nuestro blog. ¡Nos vemos pronto!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!