Cuando los lobos se disfrazan de ovejas

 

El lobo detrás de la oveja

La ingeniería social. El as en la manga del ciberdelincuente. El conejo sacado de la chistera. Aprovecharse de ese gran defecto en el ser humano que es la confianza. A la ingeniería social también se le conoce como «el arte del engaño». No es magia, pero tienen mucho que ver. Cuando asistimos a un espectáculo de magia es el propio mago el que con su astucia, trata de engañarnos para hacernos pensar que algo es de una manera, cuando realmente no es así.

Al igual que este mago, el ingeniero social utiliza las mejores técnicas y su astucia para que su «truco de magia» resulte efectivo y parezca lo más creíble posible.

Dicho de otra manera, el ingeniero social busca captar la atención de sus víctimas para conseguir un objetivo, que actúen como él quiere. Y el truco es muy sencillo. Se busca aprovechar la curiosidad o el morbo que nos produce conocer y manejar cierta información. Una forma de manipularnos para hacernos actuar de la forma que ellos quieren.

La ingeniería social se lleva a cabo por cualquier medio, desde el día a día y las rutinas de una persona, pasando por correos electrónicos, redes sociales…hasta conseguir el objetivo.

Vamos a un caso más práctico. Supongamos que somos ciberdelincuentes y buscamos que alguien se descargue una aplicación o un archivo que contiene nuestro virus dentro. ¿Qué haríamos? ¿Cómo conseguimos que alguien se lo descargue y lo abra o instale?

No parece sencillo, ¿o si?

Si es el lobo, sin estar disfrazado, el que busca este objetivo, su mensaje sería algo así…»Oye amigo, hazme el favor y descárgate este virus en el ordenador»

No parece la mejor de las opciones, ¿verdad?. Tal vez deberíamos optar por el recurso del mago, el arte del engaño.

Vamos a suponer ahora que el lobo sí se ha disfrazado, que ahora no es quien dice ser. A ver que os parece esto…

«Oye amigo, ¿has visto las últimas fotos comprometidas de Jennifer Lawrence?. Aquí las tienes! [enlace]»

O…

«Estamos sorteando 15 entradas gratis para la final de la Champions League en Milán, ¡participa ya! [enlace]»

No sé vosotros, pero a más de uno le falta tiempo para hacer click en el enlace (todo sea por ver a su Ronaldo o Messi levantando un título más). ¿Por qué creéis que estos mensajes son mucho más llamativos?. Es de sentido común, si a una persona le dices que se descargue directamente el virus, no lo hará, obviamente, pero qué pasa si le vendemos el enlace bajo un titular que le genere curiosidad.

Es posible que pinche y acabe picando en la trampa.

A qué nos estamos enfrentando

El ingeniero social aparece cuando menos te lo esperas pero también tiene debilidades y suele caer en la tendencia de actuar en los mismos escenarios una y otra vez, como esos magos que acaban haciendo sus trucos siempre en la misma plaza del pueblo, dónde, atónitos, los espectadores le adoran y aplauden.

Algunos de esos escenarios más usuales son estos:

  • Noticias y rumores sobre famosos: Es sabido que los famosos suelen ser los objetivos principales de estos ciberdelincuentes, pero también son el puente que le llevan al resto de personas. Por ejemplo, los fans de un actor o de un futbolista. Escándalos, rumores, filtraciones, cualquier cosa vale para captar la atención de los usuarios. Imaginación es lo que menos echan en falta estos ingenieros sociales. Vídeos o enlaces a supuestos detalles de un famoso suelen ser los que más nos encontramos.
  • Celebración de eventos: Desde festivales, congresos, quedadas, cualquier excusa es buena para poner en circulación falsas entradas, sorteos o descuentos que todo el mundo querrá obtener. ¡Y están tan cerca! Basta con unos pequeños datos personales y lo tendremos. O eso nos quieren hacer creer.
  • Nuevos productos o servicios: Los días de salida para juegos, móviles, o cualquier producto son bien utilizados por los ciberdelincuentes para aprovechar la alegría e impaciencia del momento en los usuarios. Son una ayuda para propagar malware en correos, aplicaciones, tweets, vídeos…
  • Noticias, newsfeeds…: Difundir noticias diarias masivas está a golpe de click. Sin embargo, el atacante podría tener una gran base de datos con correos electrónicos y demás información de usuarios con el fin de obtener cuentas con el robo de credenciales.
  • Situaciones críticas: Normalmente las más usadas, multas, denuncias, supuestos robos de cuenta en su cuenta de google, de apple…hay infinidad de situaciones en las que es fácil confiar y caer en la trampa. Estos ataques están clasificados como «phising», en los que a través de un email o mensaje, se avisa a cierto usuario de que ha habido irregularidades en su cuenta y debe acceder de nuevo para verificar su perfil. Es el más usado puesto que su objetivo es robar datos personales y bancarios de los usuarios. Algunos ejemplos muy muy típicos de phising:
    • Problemas en cuentas de correo como gmail, hotmail…
    • Problemas de seguridad en cuenta de apple o icloud.
    • Supuestas detecciones de intrusión en redes sociales
    • Multas de policía
    • Problemas de seguridad en cuentas bancarias
    • Envíos de facturas electrónicas…

No ser caperucita roja

Podemos pillar el truco del mago. No es tan difícil. Basta con tener algo de sentido común. Y además, aplicándose estos consejos:

  1. Nadie nos va a regalar nunca nada.
  2. Siempre que vayamos a introducir datos privados en una página web conviene asegurarse de que nos encontramos en la URL correcta, este suele ser el punto débil del phising, el falso enlace.
  3. No dar bajo ninguna circunstancia nuestras contraseñas a nadie, especialmente por correo electrónico o redes sociales. Aunque nos estén regalando a cambio las entradas para la final de la champions league.
  4. Nunca abrir un fichero o archivo extraño aunque sea de un remitente conocido si el mensaje no parece tener sentido o es algo que no estábamos esperando.
  5. Tampoco dar o introducir nunca datos privados sobre cuentas bancarias o personales a cualquiera si alguien bajo alguna excusa nos lo está pidiendo, aunque éste nos diga que se trata del servicio técnico o el administrador de nuestro banco.
Este es el objetivo que buscamos: Dar caza al lobo.

 

Para finalizar, queremos nombrar a Kevin Mitnick, uno de los hackers e ingenieros sociales más famosos de la historia y que basaba sus ataques en considerar que todos podemos fallar fácilmente en este aspecto ya que los ataques de ingeniería social, muchas veces llevados a cabo solo con ayuda de un teléfono, están basados en cuatro principios básicos y comunes a todas las personas:
  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No. Solo decir sí.
  • A todos nos gusta que nos alaben.

Se podrían añadir algunos tipos más como:

  • La curiosidad.
  • El miedo.
  • La codicia.
  • La compasión.
  • Motivaciones de tipo sexual.

Y por supuesto, no olvidarnos de los gatitos adorables, sí, esos enlaces de vídeos y fotos de tiernos gatitos que todo el mundo ve y les gusta, pero que muchos conducen a dar acceso a información personal.

No hay que olvidar que el hombre es el eslabón más débil de la cadena, una mentira bien llevada será más que suficiente para que seamos nosotros mismos quienes les facilitemos usuarios, contraseñas, datos bancarios… sin hacerles recurrir a detalles técnicos o trabajos más costosos.
Para el bueno de Kevin, la ingenería social no es más que esto:

«Social engineering is using manipulation, influence and deception to get a person, a trusted insider within an organization, to comply with a request, and the request is usually to release information or to perform some sort of action item that benefits that attacker.»