La ingeniería social y el robo de datos corporativos

En otro artículo destaqué que los humanos somos la principal fuente de errores que pueden dar pie a brechas en la seguridad de una institución. Y ciertamente, los atacantes lo saben. Si estás interesado en saber cómo los delincuentes utilizan nuestras vulnerabilidades psicológicas para extraer datos valiosos, en este artículo desarrollo el concepto de ingeniería social.

¿Qué es la ingeniería social?

En el área de la seguridad, la ingeniería social es un método de irrupción no autorizada en un sistema u organización mediante la explotación del comportamiento humano. Por lo general, el atacante persuade a la víctima para que le deje acceder a donde él quiere o para que ésta le ceda la información que busca. Esto se consigue con una historia convincente que desencadene fuertes emociones e instintos humanos como la avaricia, el miedo o la simpatía.

Por qué debería importarnos la ingeniería social

Una encuesta reveló que la principal motivación para cometer un ataque de ingeniería social es el acceso a información privada, seguido por la ganancia económica y en tercer lugar, obtener una ventaja competitiva. Esto implica que, aparte del daño financiero directo que sufre la empresa, una brecha de seguridad conlleva otros perjuicios intangibles que eventualmente se traducen en grandes pérdidas.

Quizás el activo intangible más valioso de una empresa es su reputación. Y, sin duda, la principal consecuencia que tienen las brechas de seguridad es la pérdida de reputación. Desgraciadamente, según el Instituto Nacional de Ciberseguridad español, el daño generado a la reputación de una marca no puede, en la mayoría de casos, ser reparado al completo.

De hecho, se ha llegado a demostrar que tras un mes de hacerse pública una brecha de seguridad, el rendimiento de las acciones de las empresas es negativo. Además, el efecto de la pérdida de reputación no se limita a pérdidas a largo plazo sino que persiste incluso durante algunos años.

El uso de la ingeniería social pone en peligro la seguridad de la información, la cual es esencial para que una organización siga operando. La pérdida de reputación de una empresa por brechas de seguridad podría ser letal para su supervivencia. Por ejemplo, tras el robo de los datos de tarjetas de crédito a clientes de un vendedor online, difícilmente volverán estos a confiar en el vendedor.

Cómo funciona la ingeniería social

La ingeniería social supone un desafío para los expertos en seguridad porque no existen contramedidas técnicas que eliminen la vulnerabilidad psicológica de los humanos. Los ataques de ingeniería social se diseñan para apelar a emociones humanas que desencadenen una respuesta concreta en la víctima.

En el campo de la seguridad de la información, el último objetivo de quienes usan ingeniería social es acceder directamente a la información de una empresa ya sea personal o digitalmente. A diferencia de un hacker tradicional, el ingeniero social necesita hacer énfasis en sus habilidades sociales para abrirse camino hasta donde pretende llegar. Podemos distinguir dos grandes tipos de ingeniería social: personales y digitales.

Tipo personal

Son ataques que implican contacto humano entre el atacante y la víctima. Estas intrusiones consisten en idear una identidad falsa y preparar una historia para confundir a la víctima.

El punto de inflexión que determina si el intruso accede a la información es cuando este tiene que transmitir confianza. El ingeniero social lleva a cabo una labor de investigación exhaustiva sobre la empresa. Normalmente usa el logo de la compañía y su conocimiento sobre las políticas de la empresa y de personal. Algunos ejemplos de ataques son:

• Ingeniería social inversa. El atacante provoca un fallo en la seguridad y se presenta como una figura de autoridad al cargo de resolver el problema.
• Tailgating. Esta técnica es simple a la vez que ingeniosa. El intruso simplemente persigue a alguien con acceso hasta una zona restringida y pasa gracias esta. Un ejemplo sería ir vestido como personal técnico y llevar cajas muy pesadas. Las normas sociales llevan a la víctima a que instintivamente le sostenga la puerta abierta para que el intruso pueda pasar cómodamente.

Tipo digital

El atacante no necesita contacto físico con la víctima para acceder a la información. El valor de estas técnicas reside en que el atacante mantiene su anonimato y en el mayor alcance cuantitativo de los medios digitales. Algunos ejemplos son:

• “Envenenamiento” del motor de búsqueda. El ataque consiste en atraer a la víctima a un resultado de búsqueda online. Cuando el usuario hace clic en un enlace que cree que es relevante, este es redirigido a una página web donde se le persuade para ceder información. Esta técnica funciona muy bien con fenómenos que son tendencia. Si el atacante identifica palabras claves que son muy buscadas las usará para posicionar su página maliciosa.
• Social networking. El atacante usa software de una red social para construir una identidad falsa pero muy elaborada. Armado con tal identidad, el ingeniero social solo tiene que persuadir a sus objetivos de hacer clic en un link que seguramente descargue software malicioso.

En definitiva, toda organización debería, en mayor o menor medida, estar preparada para posibles intrusiones mediante ingeniería social. Si la seguridad de los datos de tu empresa depende de tus empleados, estos deberían estar listos para sospechar de gente que trate de acceder a puntos clave sin seguir las políticas de seguridad. Espero que este post te haya resultado interesante.

Hablando de ingeniería social, si te interesan estos temas, aquí tienes otro artículo donde te cuento las técnicas psicológicas utilizadas por un oficial alemán para extraer datos valiosos durante la Segunda Guerra Mundial. ¡Seguro que no te defraudará!

Referencias

Akey, P., Lewellen, S., & Liskovich, I. (2018). Hacking Corporate Reputations.

Conteh, N. Y., & Schmick, P. J. (2016). Cybersecurity: risks, vulnerabilities and countermeasures to prevent social engineering attacks. International Journal of Advanced Computer Research, 6(23), 31.

Gulati, R. (2003). The threat of social engineering and your defense against it. SANS Reading Room.

Instituto Nacional de Ciberseguridad. Ciberseguridad en la identidad digital y la reputación online. Una guía de aproximación para el empresario.

Ivaturi, K., & Janczewski, L. (2011, June). A taxonomy for social engineering attacks. In International Conference on Information Resources Management (pp. 1-12). Centre for Information Technology, Organizations, and People.

Imágenes utilizadas

1. Imagen por Andri
2. Imagen por Nick Demou
3. Imagen por Glenn Carstens-Peters