Ingeniería social y ciberdelincuencia

La ciberdelincuencia consiste en la comisión de actividades delictivas que se llevan a cabo a través de medios tecnológicos. Los ciberdelitos que se cometen con más frecuencia son:

  • Estafas informáticas de suplantación de identidad para robar datos personales, como el phising o el carding,
  • Daños informáticos, como el borrado de bases de datos, interferencias en los sistemas para impedir el normal funcionamiento…
  • Delitos contra la intimidad, como el robo de datos o imágenes para su filtración.
  • Defraudar a las empresas de telecomunicaciones al colgarse de la red eléctrica o la conexión a internet de un tercero, por ejemplo.
  • Acoso.

Por ingeniería social entendemos “cualquier acto que trate de influir en una persona para que realice acciones que pueden o no estar entre sus intereses”. (Christopher Hadnagy, 2018).

La Ingeniería Social “utiliza la influencia y la persuasión para engañar a las personas, convenciéndolas, mediante la manipulación, de que el ingeniero social es alguien que no es.

Como resultado, el ingeniero social es capaz de aprovechar a las personas para obtener información con o sin el uso de tecnología.” Kevin Mitnick

En el ámbito de la ciberseguridad, un ciberatacante manipulará a una persona a través de técnicas psicológicas y habilidades sociales para conseguir información de su interés y/o ganar acceso a sistemas.

Tipos de ciberdelincuencia a través de la ingeniería social

Dependiendo del número de interacciones que requieran por parte de la persona ciberdelincuente, podemos encontrarnos con dos tipos:

Hunting (caza): Con una interacción, buscan afectar al mayor número de usuarios. Suele ser propio cuando se necesita un dato concreto (por ejemplo: unas credenciales). Con el menor contacto posible se incita a la víctima a realizar una acción, y así una vez conseguido, desaparecer.

Farming (cultivo): Los ciberdelincuentes harán varias interacciones con la víctima, con el fin de poder obtener más información y afinar el ataque. Aquí se buscará establecer cierta relación con la víctima, muchas veces con una identidad falsa, con el fin de conseguir la mayor información posible.

Técnicas de ciberdelincuencia a través de la ingeniería social

Para llevar a cabo los ataques se utilizan diferentes técnicas, todo depende de la imaginación de la persona cibercriminal y del objetivo que tenga.

Los ataques de ingeniería social se pueden hacer a través de internet, por teléfono, SMS, físicamente… Todo dependerá de la necesidad del o de la cibercriminal.

Algunas de las técnicas más utilizadas:

Phising:  Técnica de suplantación de identidad mediante correos fraudulentos que buscan redirigir a la víctima a una web falsa y así conseguir extraerle información o infectar su equipo.

Vhising: El vishing es una práctica de estafa informática, muy similar al phishing, en la que un ciberdelincuente intenta suplantar la identidad del afectado a través de VoIP (Voice over IP), se

hace pasar por una fuente fiable recreando una vozautomatizada semejante a la de las entidades bancarias.

Pretexting: Los/as atacantes se harán pasar por otra persona o entidad con el fin de ganar la máxima confianza con nosotros, y así recabar nuestra información. El acto de crear y usar una situación inventada con el objetivo de convencer al objetivo de facilitarle información o acceso

a materiales sensibles. Este tipo de ataques suele ser realizado a través del teléfono y puede  ser utilizado para obtener información, datos telefónicos, bancarios. También utilizado por

investigadores/as privados/as.

Baiting:  El/la ciberatacante busca atraer a la víctima con un cebo que pueda ser jugoso para esta. Basándose en la curiosidad que genera la sensación de oportunidad de este cebo,conseguirán recopilar información. Hay variedad de formas de llevar a cabo esta técnica, una muy conocida es el USB Baiting, en la que el atacante simulará dejar olvidada una memoria USB con malware2, en algún lugar público, y esperando a que cualquier persona lo encuentre y lo conecte a su equipo con la curiosidad y buena fe de devolver el pendrive a su dueño/a.

Tailgating:  El/la ciberatacante persigue a una persona para tener acceso físico a un área restringida (Por ejemplo: El atacante se puede valer de la cortesía de la víctima pidiéndole que le sujete la puerta mientras simula ir de repartidor cargado).

Shoulder Surfing: Consiste en mirar por encima del hombro cuando un usuario/a está introduciendo información sensible (Parecido sería el mirar la información reflejada en el cristal de una ventana. Por ejemplo, el reflejo del móvil en la ventana de un autobús en el que vamos tranquilamente sentados/as).

Dumpster Diving: Consiste en mirar en la basura en busca de algo que pueda revelar información. Ya lo dice el dicho “La basura de un hombre, puede ser el tesoro de otro”. Para evitar problemas es muy recomendable destruir documentos antes de tirarlos a la basura

Online grooming o engaño pederasta: Acoso y abuso sexual online que implican a un adulto que se pone en contacto con un niño, niña o adolescente con el fin de ganarse poco a poco su confianza para luego involucrarle en una actividad sexual. Esta práctica tiene diferentes niveles de interacción y peligro: desde hablar de sexo y conseguir material íntimo, hasta llegar a mantener un encuentro sexual. El abusador o abusadora se suele hacer pasar por menor y

adapta el lenguaje a la edad de la víctima. Se asegura de que nadie conoce su relación fuera de la red. Una vez establecida la confianza, envía, a través de un medio tecnológico, material sexual al niño o niña.

Como en todo, la mejor defensa contra los ciberataques es la prevención. Entre otras posibles precauciones, deberíamos:

Tomar conciencia: Tener conocimiento de este tipo de ataques, del impacto que tienen, y de las técnicas que se utilizan para ello es algo fundamental para reducir el porcentaje de opciones de ser víctimas de ellos. Por ello la formación en seguridad es imprescindible.

Tener cuidado con que información hacemos pública: Hay que tener cuidado con todo lo que compartimos.

No abrir links ni adjuntos sospechosos: ¡Esto es algo que ya nos dicen las madres desde muy pequeñas/os! “No aceptes cosas de personas desconocidas”

No tener confianza ciega y contrastar: Siempre contrastar fuentes oficiales. Puede parecer muy interesante un correo que diga que X tienda tenga los productos con descuentos del 70%, pero la mejor forma de saberlo es comprobando las páginas oficiales de esa tienda X.

Política de contraseñas y 2FA: Como siempre, emplear una contraseña fuerte, cambiarla cada cierto tiempo y no repetirla en diferentes servicios. Con 2FA ( autenticación en 2 pasos) daremos una capa extra de protección a nuestra cuenta.

Protección dispositivos: Mantener siempre actualizado el SO y el antivirus.

Verificar la seguridad de las webs donde introducimos datos personales: Es importante que las páginas web empiecen con el https:// pues van encriptadas y son mucho más seguras.

Deja un comentario