Phishing y Ransomware: Técnicas de ingeniería social que ponen en riesgo la información de las empresas

Los ciberdelincuentes están evolucionando permanentemente y han adaptado diferentes técnicas de ingeniería social al ámbito digital, centrando ahora su atención en vulnerar más a las personas que a las tecnologías. El phishing y el ransomware parten de esta premisa y vienen en aumento, pues los criminales saben cómo engañar o cómo ganarse la confianza de sus víctimas para obtener su cometido. Veamos de qué se trata y cómo prevenir estos métodos de ciberfraude.

Ingeniería Social

La ingeniería social no es un concepto nuevo, sin embargo, no deja de ser vigente. Como humanos, tenemos una tendencia natural a confiar y los cibercriminales están aprovechando que es más fácil vulnerar a las personas -ya sea ganándose su confianza o engañándolas- para obtener información valiosa de las empresas, que intentando vulnerar los sistemas o tecnologías.

Entre los métodos de ingeniería social más usados por los cibercriminales están el phishing y el ransomware, en las que el usuario es engañado y termina siendo víctima de fraude, a veces sin siquiera enterarse.

El phishing puede hacerse a través de múltiples medios y dispositivos, como correos electrónicos, mensajes de texto, llamadas telefónicas, etc. El objetivo del delincuente es convencer a sus víctimas para que expongan información confidencial, y si bien uno de los más conocidos es el ya tradicional mail del banco informando un bloqueo en la cuenta, hay diferentes modalidades con las que los cibercriminales buscan capturar datos importantes que permitan vulnerar no solo a la persona sino también a la empresa para la cual trabaja.

Algunas de estas modalidades son:

  • Phising de clonado: Es el tipo más común y se refiere a cualquier ataque a través del cual los estafadores se hacen pasar por una empresa legítima e intentan robar credenciales de inicio de sesión. Utilizan con frecuencia amenazas y un sentido de urgencia para asustar a los usuarios, por ejemplo, mediante un mail al Área de Tesorería solicitando que hagan clic en un enlace para corregir un error en la cuenta bancaria de la empresa. En realidad, el enlace conduce a una página falsa y por desconocimiento o el afán del día a día, los colaboradores no todos los colaboradores tienden a verificar la URL o a identificar estas amenazas, y terminan entregando información de la empresa a manos criminales.
  • Spear phishing: En esta modalidad, los ataques están específicamente dirigidos. Los estafadores personalizan sus mails de ataque con el nombre, la posición, la empresa, el número de teléfono y otra información con la que intentan engañar al destinatario y hacerle creer que tiene una conexión con el remitente. Es especialmente frecuente en sitios de redes sociales como LinkedIn.
  • Suplantación del CEO: Sucede cuando los delincuentes atacan al CEO o algún alto directivo y roban sus credenciales de inicio de sesión o mail. De tener éxito, en la segunda etapa se pueden hacer pasar por el ejecutivo para autorizar transferencias bancarias fraudulentas o acceder a información vital de la empresa.
  • Pharming: Los cibercriminales adulteran los archivos host de una organización o el sistema de nombres de dominio de esta. Como resultado, las solicitudes de URL arrojan una dirección falsa y las comunicaciones se canalizan a un sitio web ilegítimo. Los usuarios introducen sus credenciales o información confidencial en el mismo, sin saber que ahora está siendo controlado por delincuentes.

Ransomware

De otro lado, el ransomware es un código malicioso que bloquea el dispositivo o encripta sus archivos para secuestrar la información. De esta forma, los ciberdelincuentes le exigen a las víctimas un monto, método y fecha límite de pago, por el rescate de los datos.

Se puede sufrir un ataque de estos al descargar actualizaciones de aplicaciones falsas, visitando sitios web comprometidos, descargando software pirata o abriendo archivos adjuntos y enlaces de correos electrónicos.

Con el paulatino paso de la computadora personal a los dispositivos móviles, estos malware también migraron hacia celulares y tablets, creando versiones que pueden infectar sistemas como iOs o Android. Para que el ransomware llegue a una máquina, un usuario debe descargar o ejecutar algún tipo de archivo, estos generalmente están ocultos de diferentes formas, algunas de estas son:

  • Correos electrónicos: Generalmente el malware se disfraza como un archivo adjunto. Si el usuario lo abre o lo instala, puede provocar una infección directamente. También puede que esté oculto en un botón o un enlace en el cuerpo del mail que lleve a un sitio web peligroso que provoque la infección.
  • Software libre: Es muy popular para los piratas informáticos ocultar el ransomware en versiones «crackeadas» de distintos programas, como juegos, contenido para adultos, protectores de pantalla y muchos más. Cuando se usa de esta manera, el ransomware puede pasar a través del firewall y programas antivirus, pues el usuario lo está descargando de manera directa.
  • Sitios web: En los que pueden ocurrir descargas involuntarias cuando un usuario visita un sitio con un navegador comprometido, por ejemplo, para ver alguna serie o película.
  • Aplicaciones externas: Al descargar apps de sitios que no son seguros, es decir fuera de la tienda de aplicaciones (Google Play o App Store por ejemplo).

Así vemos cómo los cibercriminales usan la ingeniería social para propagar el ransomware. ¿Cuánto podría costarle a la empresa el tener que pagar una extorsión a cibercriminales que logren secuestrar la información del negocio, a partir de una infección con ransomware en alguna máquina de la red?  

Protección ante estas amenazas

Es indispensable que todos los colaboradores conozcan y apliquen las diferentes recomendaciones básicas de seguridad, como:

  • Inspeccionar cuidadosamente todas las URL y evitar clickear en adjuntos, banners o links sin conocer su verdadero origen y destino.
  • En los mails, sospechar de aquellos con saludos genéricos, errores gramaticales u ortográficos.
  • Evitar descargar archivos si no se conoce plenamente al remitente y no hacer clic en los vínculos.
  • Realizar backups regularmente.
  • Solo iniciar sesión en sitios protegidos por HTTPS.

Y para las empresas, además de activar soluciones que puedan analizar y defender a los usuarios ante mails maliciosos entrantes y/o archivos adjuntos infectados, se deben implementar programas antivirus en todos los dispositivos corporativos y obtener las actualizaciones de bases de datos de amenazas, así como actualizaciones de seguridad emitidas por un proveedor de servicios de Internet confiable.

Por último, es indispensable contar con programas de awareness que brinden sensibilización y capacitación a todas las áreas de la organización, pues si bien estas amenazas son ampliamente conocidas por el personal de TI, no todas las personas están necesariamente familiarizadas o actualizadas en los nuevos riesgos que van surgiendo, y combatir los ataques de ingeniería social requiere promover cambios de comportamiento en entornos digitales por parte de los empleados.

En NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados y así promover una cultura de seguridad basada en las personas. ¡Contactanos!

Ingeniería Social: la estrategia detrás de muchos ciberataques a personas ¡y a empresas!

Ingeniería Social es un término que se refiere a la manipulación psicológica con la que una persona intenta lograr que otras hagan lo que ésta les pida, generalmente para obtener información que les permita llegar a un fraude, robo o extorsión. Es una técnica que comenzó en el plano físico, pero se trasladó al ámbito cibernético, convirtiéndose en pieza fundamental de los ciberataques. ¿Los empleados de tu empresa están capacitados para identificar y reaccionar ante estas amenazas?

La ingeniería social, conocida también como el arte de hackear humanos, se basa en la interacción de personas en donde la víctima es engañada para que viole todos los procedimientos de seguridad que debería haber seguido.

¿Acaso no has recibido el mail de un banco que te alerta porque la cuenta fue cancelada y tenés que hacer clic para diligenciar tus datos y de esta forma reactivarla? Así como este, hay cientos de ejemplos y formas en que los criminales pueden obtener información que les ayude a robar credenciales privilegiadas para acceder a entornos más protegidos -como los corporativos-, infectar con malware, cometer fraudes, extorsionar o robar la identidad digital de la víctima.

Correos electrónicos de phishing, vishing (llamadas telefónicas) o baiting (USB con malware que se deja en algún lugar público para alguien la encuentre y la conecte a su computadora), son algunas de las técnicas usadas por los cibercriminales. También usan las redes sociales para entablar relaciones cercanas con sus víctimas, generar confianza y obtener así los datos con los que finalmente pueda concretar su objetivo, ya sea en contra de la persona o de la empresa para la cual trabaja. Aquí vale la pena preguntarse ¿Qué tan informados están tus empleados sobre este tipo de tácticas?, ¿Saben cómo reaccionar ante ellas?

Ingeniería Social en el ámbito corporativo

Dicen que es más fácil engañar a alguien para que entregue su contraseña de ingreso que hacer el esfuerzo de hackear el sistema, el cual seguramente contará con monitoreos y alertas de seguridad que impedirán el ataque. Cuando vamos al ámbito corporativo, encontramos que los cibercriminales buscan atacar a personas con cargos directivos o estratégicos, pues así podrán acceder a datos confidenciales de mayor relevancia y será más útil el espionaje para lograr su cometido.

Lo más grave es que puede que el equipo de seguridad nunca se entere del robo de datos que se consumó a través de ingeniería social. ¿Cómo controlar que el director de Recursos Humanos no le comparta a su “colega” algunos datos relacionados con la estrategia del negocio a través de mensajes privados en LinkedIn?

Recordemos que la ingeniería social es equivalente al hacking personal, y de no contar con empleados informados y capacitados, esta podría ser la mayor amenaza de seguridad para la organización, por más actualizados que tengamos los sistemas operativos y por muy buenos software de seguridad que usemos.

Existen diferentes técnicas de ingeniería social, como:

  • Ofrecer recompensas o premios a cambio de descargar archivos maliciosos o entregar gran cantidad de datos que permitan robarle su identidad (Quid Pro Quo).
  • Phishing. Correo fraudulento que engaña para que la víctima comparta información sensible.
  • Robo de Identidad. Hacerse pasar por otra persona para obtener datos privilegiados.  
  • Scareware. Alertar sobre una infección de malware inexistente en el equipo y ofrecer una “solución” que termina por afectar el dispositivo.
  • Baiting. O carnada, como el caso mencionado del USB.
  • Hacking de email, envío de spam a contactos, etc.
  • Vishing. El criminal llama al empleado de una empresa para hacerse pasar por un colega que necesita cierta información para solucionar una urgencia.

El Spear Phishing puede ser uno de los más difíciles de identificar, pues el ciberdelincuente elige un objetivo dentro de la organización para realizar investigación sobre los temas, personajes, eventos de interés e información relacionada con el área, así puede enviarle mails segmentados y relevantes para que al final alguno de los empleados haga clic en un vínculo malicioso. De esta forma infecta una de las computadoras y puede ingresar a toda la red de la empresa.

Por todo lo anterior, las compañías deberían adoptar una cultura de seguridad basada en las personas, que brinde capacitación continua y mantenga informados a los empleados sobre las amenazas vigentes, tanto digitales como físicas. Además de la protección que puedan ofrecer los diferentes software de seguridad, combatir los ataques de ingeniería social requiere cambios de comportamiento, conocimiento y compromiso por parte de los empleados. Es recomendable que dentro de la estrategia de seguridad se considere:

  • Ayudar a los colaboradores a entender por qué es tan importante para la compañía que sigan las recomendaciones de seguridad y sean precavidos ante posibles ciberataques.
  • Realizar una evaluación que permita medir el nivel de entendimiento de los empleados sobre temas de seguridad. Así se podrán identificar potenciales riesgos y crear programas de capacitación a medida de estas necesidades.
  • Empoderarlos para que sepan reconocer las principales amenazas y puedan reaccionar correctamente ante ellas, tanto en el ámbito personal como en el corporativo.
  • Hacer seguimiento de cómo evoluciona el conocimiento de ciberseguridad con el transcurso de las capacitaciones.
  • Promover el uso del doble factor de autenticación y contraseñas seguras, para evitar el robo de identidad.

Además es fundamental contar con programas que eliminen las infecciones y puedan rastrear su origen, que eviten descargas no deseadas en los equipos de la oficina, que detecten y eliminen virus, malware y también filtren el spam, para proteger a los más incautos.

Porque como hemos visto, la ingeniería social representa un riesgo más alto que el malware y es más difícil protegerse frente a sus diversas tácticas, ya que el objetivo es llegar al sistema engañando a las personas. Por esto la seguridad de la información va más allá de lo técnico: debe considerarse también como un proceso cultural en la empresa, más si tenemos en cuenta que el 80% de los ciberataques se originan por errores humanos.

En NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados. ¡Contactanos!