Los trucos de ingeniería social

La ingeniería social en el punto de mira: de los trucos clásicos a las nuevas tendencias.

En la publicación de hoy, analizamos algunos trucos de ingeniería social que suelen emplear los ciberdelincuentes para atacar a las empresas: variantes de una estafa relacionada con llamadas y correos electrónicos por parte de un soporte técnico falso, ataques de compromiso del e-mail corporativo, solicitud de datos por parte de organismos policiales falsos…

Hola, soy del soporte técnico

La llamada a un empleado de la empresa desde el “soporte técnico” es una estrategia clásica de ingeniería social. Por ejemplo, los ciberdelincuentes pueden llamar en fin de semana y decir algo como: “Hola, te llamo desde el servicio de soporte técnico de tu empresa. Hemos detectado una actividad extraña en tu equipo y necesitamos que vayas a la oficina de inmediato para averiguar qué sucede”. Está claro que a nadie le apetece ir a la oficina en fin de semana, por lo que el tipo del soporte técnico acepta “a regañadientes” y “como medida excepcional” romper el protocolo de la empresa y resolver el problema en remoto. Pero, para ello, necesitará las credenciales de inicio de sesión del empleado. Te haces una idea de lo que sucede a continuación, ¿verdad?

Hay una variación de esta estrategia que se generalizó durante la migración masiva al trabajo remoto durante la pandemia. El soporte técnico falso “percibe” actividad sospechosa en el ordenador portátil de la víctima utilizado para trabajar desde casa y sugiere resolver el problema utilizando una conexión remota, a través de una RAT. Una vez más, el resultado es bastante predecible.

Confirmar, confirmar, confirmar…

Siguiendo con el tema del soporte técnico falso, se detectó una técnica muy interesante durante un ataque a Uber el otoño del 2022, cuando un ciberdelincuente de 18 años logró comprometer varios sistemas de la empresa. El ataque comenzó cuando el delincuente obtuvo los datos personales de inicio de sesión de un trabajador independiente de Uber de la dark web. Sin embargo, para obtener acceso a los sistemas internos de la empresa, aún quedaba un pequeño detalle: superar la autenticación multifactor.

Y aquí es donde entra en juego la ingeniería social. A través de numerosos intentos de inicio de sesión, el atacante envió spam al desafortunado trabajador con solicitudes de autenticación, luego le envió un mensaje por WhatsApp haciéndose pasar por el soporte técnico con una propuesta para solucionar el problema: para detener el flujo de correo no deseado, solo tienes que confirmar este mensaje. Así se eliminó el último obstáculo en la red de Uber.

Soy el CEO y ¡necesito una transferencia ahora mismo!

Volvamos a un clásico: el siguiente es un tipo de ataque llamado ataque de compromiso de e-mail corporativo (BEC por sus siglas en inglés). La idea detrás de esto es iniciar de alguna forma la correspondencia con los empleados de la empresa, normalmente haciéndose pasar por un gerente o un socio comercial importante. Como norma general, el propósito de esta correspondencia es lograr que la víctima transfiera dinero a la cuenta que indican los estafadores. Mientras tanto, los escenarios de ataque pueden variar: si los delincuentes están más interesados en infiltrarse en la red interna de la empresa, pueden enviar a la víctima un archivo adjunto malicioso que debe abrir.

De una forma u otra, todos los ataques BEC giran en torno al compromiso del correo electrónico; pero ese es el aspecto técnico. El elemento de ingeniería social juega un papel mucho más importante. Mientras que la mayoría de los correos electrónicos fraudulentos dirigidos a usuarios comunes parecen de broma, las operaciones BEC involucran a personas con experiencia en grandes empresas que pueden escribir correos electrónicos comerciales plausibles y persuadir a los destinatarios para que hagan lo que los delincuentes quieren.

¿Por dónde nos habíamos quedado?

Cabe destacar una técnica de ataque BEC específica que se ha vuelto muy popular entre los ciberdelincuentes en los últimos años. Conocida como secuestro de conversaciones, esta estrategia permite a los atacantes infiltrarse en la correspondencia comercial haciéndose pasar por uno de los participantes. Por lo general, no se utilizan trucos técnicos ni el hackeo de cuentas para disfrazar al remitente: todo lo que necesitan los atacantes es hacerse un correo electrónico real y crear un dominio similar. De esta forma, se ganan automáticamente la confianza de todos los demás participantes, lo que les permite dirigir la conversación en la dirección que desean. Para realizar este tipo de ataque, los ciberdelincuentes suelen comprar bases de datos de correspondencia de correo electrónico robada o filtrada en la dark web.

Las situaciones de ataque pueden variar. No se descarta el uso de phishing o malware, pero según la estrategia clásica, generalmente los ciberdelincuentes intentan secuestrar conversaciones que están directamente relacionadas con el dinero, preferiblemente grandes cantidades, ingresando sus datos bancarios en el momento oportuno; después se huyen con el botín a una isla tropical.

Un buen ejemplo de secuestro de conversaciones es lo que sucedió durante la transferencia del futbolista Leandro Paredes. Los ciberdelincuentes se infiltraron en el intercambio de correos electrónicos bajo la apariencia de un representante del club de Paredes, Boca Juniors, que tenía derecho a un pequeño porcentaje de la tarifa de transferencia, que asciende a 520.000 €, cantidad que se embolsaron los estafadores.

Somos la policía, entrega tus datos

Una tendencia reciente, que parece haber aparecido en el 2022, consiste en que los ciberdelincuentes realicen solicitudes “oficiales” de datos cuando recopilan información para prepararse para ataques a usuarios de servicios online. Este tipo de solicitudes las han recibido proveedores de servicios de Internet, redes sociales y empresas tecnológicas con sede en EE. UU. desde cuentas de correo electrónico hackeadas que pertenecen a organismos de fuerzas del orden.

Te explicamos un poco más: en circunstancias normales, para obtener datos de proveedores de servicios en los Estados Unidos se requiere una orden judicial firmada por un juez. Sin embargo, en situaciones en las que la vida o la salud de las personas está en peligro, se puede emitir una solicitud de datos de emergencia (EDR).

Pero mientras que en el caso de las solicitudes de datos normales hay procedimientos de verificación simples y comprensibles, para los EDR actualmente no existe nada por el estilo. Por tanto, es muy probable que se conceda dicha solicitud si parece plausible y aparentemente proviene de una agencia de las fuerzas del orden. De esta forma, los ciberdelincuentes pueden obtener información sobre las víctimas de una fuente confiable y utilizarla para futuros ataques.

Cómo protegerte contra los ataques de ingeniería social

El objetivo de todos los métodos de ataque anteriores no es un trozo de hardware sin alma, sino un ser humano. Por tanto, para reforzar las defensas corporativas contra los ataques de ingeniería social, el foco debe estar centrado en los trabajadores. Esto implica enseñar a los empleados los conceptos básicos de ciberseguridad y explicarles cómo contrarrestar varios tipos de ataques. Una excelente forma de hacerlo es a través de nuestra solución de formación interactiva Kaspersky Automated Security Awareness Platform

Consejos