La Ingeniería Social en Empresas: Retos y Soluciones

El avance de la tecnología ha traído consigo grandes ventajas. Sin embargo, también ha traído grandes retos para empresas y usuarios que utilizan el internet. La ingeniería social busca engañar con distintas tácticas a los usuarios para conseguir su información, aprovechando así las debilidades del sistema para su beneficio. ¿Quieres saber más sobre esto? ¡Continúa leyendo!

¿Qué es la ingeniería social?

La ingeniería social es el conjunto de tácticas utilizadas por los cibercriminales para jugar con las emociones de sus víctimas y lograr diversos objetivos fraudulentos o ilícitos.

A diferencia de los ataques tradicionales de ciberseguridad, la ingeniería social opera mediante la manipulación de la naturaleza humana, utilizando técnicas psicológicas, comúnmente basadas en el miedo o la confianza, para provocar ciertos comportamientos y acciones. 

Los cibercriminales que realizan este tipo de ataques son conocidos como ingenieros sociales. Estos engañan a los usuarios y realizan los ciberataques para obtener información sensible como contraseñas, datos personales, o acceso a redes sociales.

Usualmente, este tipo de ataques de ingeniería social se hace para obtener información confidencial que sirva para usurpar identidades, crear identidades artificiales, o incluso hacer compras con la tarjeta de crédito de la víctima.

Este tipo de ataques se ha hecho muy común. Según Splunk, el 98% de los ciberataques se realizan mediante la ingeniería social. De ahí la importancia de entender los fundamentos de la ingeniería social para poder detectar vulnerabilidades y estar un paso delante de los ciberdelincuentes. Asimismo, las empresas deben lidiar con más de 700 ataques de ingenería social al año.

¡Aumenta tu productividad sin descuidar tu ciberseguridad! Protege a tu empresa del fraude con una solución personalizada por Zenpli. Trabajemos juntos. 

Estrategias más utilizadas en los ataques de ingeniería social 

Para los ciberdelincuentes, las emociones e instintos de las víctimas son vitales para provocar determinadas acciones. Emplean distintos canales como mensajes de texto, emails o llamadas telefónicas para llegar a los usuarios. Sirviéndose de estos medios, los ingenieros sociales utilizan distintas estrategias para llevar a cabo fraudes y estafas. Algunas de las más comunes son:

Causar miedo o sensación de urgencia

Una táctica muy común es inducir miedo a los usuarios. Esto puede hacerse a través de varios canales de comunicación que sirven para plantear escenarios falsos que atemorizan y apremian a  los usuarios.

Por ejemplo, un correo electrónico alertando sobre un ingreso no autorizado a tu cuenta bancaria. Para solucionarlo, se te pide ingresar a otro link y agregar tu información personal como dirección de correo electrónico asociada al banco, número de tarjeta de crédito, o datos confidenciales sobre tu cuenta. 

De esta manera, el cibercriminal utiliza tu instinto para promover el miedo a perder dinero o tener problemas con tu cuenta bancaria para obtener la información que necesita.

Apelar a la codicia

Este tipo de estrategia apela al deseo de obtener algo; riqueza, poder, o algún bien material. Funciona a través de mensajes que ofrecen una recompensa como dinero, teléfonos, comida gratis, etc., con la condición de hacer clic a un link o transferir cierta cantidad de dinero.

Generalmente, son ofertas muy buenas y poco realistas que se basan en la codicia del usuario. Uno de los ejemplos más conocidos y antiguos es el llamado 419 scam o la estafa del príncipe nigeriano. 

Esta estafa ofrecía una gran recompensa a cambio de ayudar a un príncipe u oficial nigeriano que estaba siendo perseguido. La «ayuda» consistía en transferirle dinero y compartirle tu información del banco para poder obtener la recompensa. 

Fingir ser una figura de autoridad

Las personas suelen confiar y obedecer ante la ley, agencias gubernamentales o figuras de autoridad, incluso sin cuestionar direcciones o indicaciones. Por esto algunos ciberdelincuentes se hacen pasar por estos actores para captar la atención de las personas y motivarlas a obedecer órdenes.

Por ejemplo, al recibir un correo electrónico de un manager de tu empresa del que nunca habías escuchado, pero lleva toda la identificación de la empresa, es posible no dudar de su autoridad. Esta persona puede pedirte acceso a documentos con información privada de la empresa, y al ser una figura de autoridad, puedes no cuestionar la veracidad de su información. Solo se siguen las instrucciones.

Hacerse pasar por una marca reconocida

A través de la confianza que solemos depositar en marcas que conocemos, los cibercriminales pueden crear un perfil falso para obtener beneficios de los usuarios. Esta estrategia suele implementarse a través de sitios webs falsos, o archivos adjuntos con kits que se asemejan a la identidad visual de la marca.

Por ejemplo, un correo estéticamente similar a una marca reconocida ofrece grandes descuentos en sus productos a través de la descarga de un «cupón» o si accedes a una página web y te registras con tus datos.

Apelar a la buena voluntad de la víctima

La necesidad de ayudar a los otros es parte de la naturaleza humana. Sabiendo esto,  los hackers se aprovechan de la empatía que pueda sentir un usuario para llevar a cabo campañas que jueguen con su buena voluntad.

Recaudaciones de fondos, mensajes ofreciendo soporte técnico, o encuestas son algunos de los recursos o pretextos que usualmente se utilizan. El mensaje parece venir desde un perfil falso de una organización, así como de algún compañero de trabajo o conocido. 

Así, enganchan al usuario para que llegue a un sitio web falso o incluso descargar un software malicioso como un ransomware.

Tipos de ataques de ingeniería social

La ingeniería social se ha vuelto muy popular, y siguen surgiendo métodos nuevos para manipular a los usuarios. La mejor manera de enfrentar esto y prevenir ataques es conocer cómo operan los ciberladrones. Veamos los métodos más comunes:

Phishing

Para esta técnica, el estafador se encarga de estructurar el mensaje de tal manera que no quepa duda de que viene de parte de una empresa o persona confiable. Los ataques de phishing se pueden subdividir en varios tipos:

Smishing

Se realiza a través de mensajes de texto (SMS) o en plataformas de mensajería (como WhatsApp). Su nombre es una combinación entre el acrónimo «SMS» y el vocablo phishing. 

Puede manifestarse a través de un mensaje de alguien haciéndose pasar por una persona o institución en la que el usuario confía. Por ejemplo, el banco del usuario envía un mensaje de alerta sobre el estado de seguridad de la cuenta: «Su cuenta bancaria se encuentra en peligro por una actividad sospechosa. Para desbloquearla haga clic aquí.»

Aunque parezca ser un mensaje legítimo, realmente es el ciberdelincuente intentando manipular las emociones del usuario, quien desesperadamente puede acceder al link, el cual lo llevará a una web falsa. Usualmente, esta web solicita la información de inicio de sesión para poder acceder a la cuenta y tomar el dinero.

Vishing

También conocido como phishing de voz, se realiza a través de llamadas telefónicas, tanto en líneas fijas como en teléfonos celulares. Es común que lo hagan individuos que se hacen pasar por empleados del call center de una empresa reconocida, aunque también puede hacerse con mensajes pre-grabados o a través de programas o aplicaciones que modifican la voz. 

El ciberdelincuente puede realizar llamadas bajo el falso pretexto de realizar una encuesta. Por ejemplo, el delincuente puede pedir desde el nombre de la víctima, hasta información persona como el número de cuenta o número de tarjeta de crédito para llevar a cabo la estafa. 

Spear phishing

Este tipo de ataque se planea meticulosamente, y se lleva a cabo luego una investigación que identifica individuos dentro de un grupo o empresa con una posición estratégica o que puedan ser fáciles de engañar. El fraude se realiza mediante correos electrónicos.

Los correos electrónicos de phishing están curados con información personal de la víctima para hacerlos ver reales y confiables. Generalmente, hacen que el usuario descargue archivos adjuntos o acceda a enlaces maliciosos que introducen  malware al sistema operativo para robar información personal o de la empresa.

Por ejemplo, un correo que parece venir de un alto ejecutivo de la empresa, como el CEO. Al tener información precisa sobre la empresa y la persona, la víctima cree que es verdadero. Generalmente, estos correos invitan a la víctima a entrar en un link malicioso o a descargar un archivo con virus. Así, el ciberdelincuente puede acceder a la red de la empresa o estafar a la víctima. 

Baiting

Traducido al español como cebo o carnada, el baiting consiste en ofrecer música, software o juegos sin tener que pagar. Los ciberdelincuentes infectan estos archivos con malware, y de esta manera acceden a la información del usuario y a todo su sistema operativo.

En algunos casos, el baiting puede hacerse también de manera física. Por ejemplo, dejan un dispositivo USB con un malware en la calle con alguna etiqueta interesante como «documentos de la empresa», o algo más cotidiano como «música». 

Al encontrarse con este interesante dispositivo, el usuario lo lleva a casa para conectarlo a su computadora y ver qué contiene. En este momento, el software malicioso se introduce en el equipo, abriéndole la puerta al delincuente.

Tailgating

El tailgating o piggybacking consiste en obtener acceso a áreas resguardadas o bloqueadas. Puede ser de tipo:

• Físico, es decir, que se siga a una persona autorizada para entrar a ciertos espacios o establecimientos que requieren una autenticación.
• Virtual, obtener acceso a carpetas o servidores confidenciales de una empresa a través del engaño a uno de sus empleados. Por ejemplo, manipulándolo para conseguir la información o instalando un malware en su sistema.

Pretexting

En este ataque, el ciberdelincuente crea un escenario o contexto falso para poder hacerse con la confianza de la otra persona. Se pueden hacer por correo electrónico, llamadas o incluso en persona. Esta técnica puede estar presente en otros tipos de ataques, pues ayuda a generar el contexto adecuado para realizar una estafa. 

Por ejemplo, una «persona conocida» le escribe al usuario debido a una emergencia de salud. Plantea toda la situación, explicando con detalle lo sucedido y finaliza el mensaje pidiendo ayuda económica para poder costear los gastos. En este caso, el usuario cree el contexto creado por su «amigo»., y accede a transferir el dinero solicitado. 

Scareware

Con un funcionamiento similar al malware, este ataque puede mostrarse a modo de mensaje, pop-up, o notificaciones falsas de antivirus. Suelen incluir alguna advertencia sobre una amenaza a la seguridad del equipo del usuario, invitándolo a descargar otro software para solucionar el problema.

Por ejemplo, un pop-up que advierte «Se ha encontrado una amenaza de virus en el ordenador. Para limpiar su computador, haga clic acá». Al acceder al link, el usuario es redirigdo a una página web maliciosa, en donde se le pide que descargue un software, al instalarlo este esparce el virus por el ordenar, facilitando el robo de información o el daño del ordenador. 

Ataque de abrevadero (watering hole)

El hacker infecta con códigos maliciosos una web verdadera, y una vez que el usuario ingresa, se instala automáticamente un malware en el dispositivo que esté utilizando. Son ataques difíciles de identificar.

Este tipo de ataque puede darse en una página web visitada por el usuario de manera cotidiana. Digamos que alguien entra a la página web de la empresa en la que traba para acceder a recursos internos, al ser tan difícil de detectar el ataque, el usuario utiliza la web como lo haría normalmente. 

Sin embargo, el malware se encarga de robar las credenciales e información de la persona para acceder de manera libre a la información de la empresa, pudiendo así robar datos sensibles o información confidencial. 

Quid pro quo

Quid pro quo, traducido al castellano como «algo a cambio de algo» es un ataque que se basa en engañar al usuario ofreciéndole alguna recompensa (dinero, productos, etc.) a cambio de información confidencial. Puede presentarse como un concurso, o hasta como un falso agente que ofrece soporte técnico.

Por ejemplo, un correo que invita al usuario a participar en un gran sorteo por un tentador premio. Lo único que debe hacer el usuario es hacer clic en un link y acceder a una web para registrarse. Una vez que el usuario complete el registro, los ciberdelincuentes ya tendrán sus datos personales, listos para ser utilizados posteriormente en estafas o robos.

Cómo prevenir los ataques de ingeniería social

Algunos consejos que puedes aplicar en tu día a día para evitar caer en estas estafas:

• Ser escéptico: por muy tentador o creíble que parezca un mensaje o una llamada, es importante pensar críticamente y analizar la situación antes de realizar cualquier acción. Cuestiona toda comunicación con terceros que te pida información personal
• Ser meticuloso: Presta atención a las URL de los sitios web y a las direcciones de los remitentes. Los enlaces y correos electrónicos maliciosos a menudo imitarán a empresas legítimas con errores ortográficos o dominios incorrectos. Revisa cuidadosamente el nombre del remitente y la URL antes de hacer clic.
• Desacelera: Los ingenieros sociales crean una falsa sensación de urgencia para que los objetivos actúen precipitadamente. Resiste la presión para actuar rápidamente y tómate el tiempo para validar cualquier solicitud inusual.
• No hacer clic en los enlaces de correos desconocidos: evita acceder a links que lleguen a ti por correos, pues es una de las maneras más comunes que tienen los ciberdelincuentes para robar tu información. Asegúrate de entrar a páginas legítimas y protegidas.
• No descargar archivos: los juegos, música y películas piratas son la carnada perfecta para instalar malwares en los ordenadores. Cerciórate de descargar archivos provenientes de fuentes confiables y de webs oficiales.
• Actualiza tu antivirus: los antivirus desactualizados dejan brechas que pueden ser aprovechadas por malwares y ciberdelincuentes. Asegúrate de mantenerlo actualizado para poder bloquear las amenazas y proteger tu seguridad.
• Contraseñas fuertes: es recomendable tener contraseñas con números, letras y caracteres que sean difíciles de adivinar. Recuerda asignar contraseñas distintas a todas tus cuentas para evitar brechas. 

4 consejos para defender a tu empresa de los ataques de ingeniería social

Los ataques que utilizan como base las tácticas de ingeniería social son difíciles de prevenir, pues se valen del error humano. No obstante, tener una estrategia adecuada de prevención de fraudes puede ayudar a mitigarlos o evitarlos. A continuación te dejamos algunos consejos para defender a tu empresa de los ataques de ingeniería social:

Capacita al personal

Educar a tus empleados sobre la ingeniería social es una de las mejores maneras de prevenir ataques. Enseñarles sobre la información personalmente identificable (Personally identifiable information, PPI)  puede ayudarlos a actuar con mayor cautela al momento de compartir datos confidenciales a través de correos electrónicos, redes sociales o llamadas.

También es importante mantener las políticas claras y reforzarlas continuamente, para garantizar su implementación. 

Optimizar los procesos de autorización dentro de la organización

Para minimizar las brechas de riesgo y la fuga de información, es esencial entender la importancia de la información delicada. En tal sentido, tener un proceso adecuado a nivel organizacional puede significa contar con una continua verificación entre pares, lo que permite reducir considerablemente las amenazas ligadas a la ingeniería social. 

Tecnologías de ciberseguridad

Para proteger a una empresa de los ataques de ingeniería social es fundamental estructurar un plan de protección basado en las premisas de la ciberseguridad. Es decir, implementar tecnologías para la seguridad (como antivirus y cortafuegos), tener sistemas operativos siempre actualizados para evitar brechas, y preparar soluciones de detección y respuesta. 

Validación de seguridad 

En el caso de la prevención hacia los usuarios o consumidores que gozan de alguno de sus productos o servicios, es necesario contar con un departamento de verificación de identidad que pueda conocer a los usuarios, su actividad digital y detectar cualquier detalle que pueda dar indicios de que sus dinamicas son un riesgo para el normal desenvolvimiento de su empresa. 

Sin duda, la ingeniería social representa un reto para las empresas que buscan resguardar la seguridad de sus usuarios. Por esto, es crucial recorrer este camino de la mano de expertos en identificar patrones de fraude y en procurar datos de identidad para evitar ataques de identidad sintética, como Zenpli, tu mejor aliado para proteger tus datos. 

En Zenpli contamos con uno de los mejores procesos del mercado para detectar patrones de comportamiento que indiquen que la cuenta de un usuario pudo haber sido vulnerada por ATO (Account Take Over), disminuyendo el riesgo que supondría este hecho para el negocio y para los demás usuarios.    

Asimismo, la API de Zenpli reconoce fácilmente cuando se trata de un intento de onboarding (apertura de cuenta) con datos de identidad sintética obtenidos a través de ataques de ingeniería social.

Ya sabes qué es y cómo funciona la ingeniería social. ¿El siguiente paso? Proteger tu empresa y tus datos confidenciales con estos consejos. 

En Zenpli te ayudamos a gestionar y verificar las identidades de los usuarios que admites en tus plataformas. Contáctanos para saber más sobre nuestro software de seguridad.