La ciberseguridad no se alcahuetería sólo de sistemas y redes informáticas, las personas que utilizan estas tecnologías todavía juegan un papel importante. La mayoría de los ataques de ransomware comienzan con el factótum humano: la ingeniería social. Una evaluación nuevo del educador de amenazas indica que casi un tercio de los empleados son víctimas de ataques de ingeniería social. Los actores maliciosos explotan las emociones humanas para atraer a la víctima desprevenida a compartir datos personales o profesionales confidenciales. Estas estafas suelen aparecer en las informativo y la mayoría de las personas están familiarizadas con estos ataques. Entonces, ¿por qué siguen siendo eficaces? Exploremos algunas de estas tácticas para descubrir la psicología detrás de la ingeniería social.
Ingeniería Social y Emoción Humana
La ingeniería social puede describirse como influir en cierto para que realice una batalla que puede o no ser lo mejor para él. Los actores maliciosos utilizan las emociones como útil de ingeniería social para persuadir a sus víctimas a realizar una batalla que normalmente no harían. Ser víctima de este tipo de ataques no indica errata de conocimiento o inteligencia. Por ejemplo, en una simulación adversa nuevo realizada por Social-Engineer, LLC (SECOM), incluso los profesionales de la seguridad cibernética revelaron información confidencial durante una prueba de vishing. ¿Por qué estos ataques son efectivos incluso cuando se dirigen a profesionales en el campo? Todo se reduce al impacto que tienen las emociones en el comportamiento humano. Por ejemplo, los actores maliciosos utilizan técnicas de influencia para desencadenar emociones fuertes como el miedo. Desencadenar un “secuestro de la angina” o una reacción que anula el pensamiento metódico. Esto lleva a una persona a realizar una batalla que normalmente no haría. Aquí hay unos ejemplos:
Miedo
El miedo es una emoción desagradable, a menudo cachas, que resulta de la anticipación o la conciencia del peligro. Los actores malintencionados suelen utilizar el miedo para manipular a sus víctimas porque es una de las emociones humanas más poderosas. Adicionalmente, el miedo es realizable de provocar. Por ejemplo, imagine tomar un correo electrónico simulado que dice: “Atención. Se ha detectado actividad fraudulenta en su cuenta. Cambie su contraseña ahora”. ¿Cómo te sentirías? Otro ataque mucho más temible es una estafa de “secuestro aparente”, en la que se le dice a la víctima que un ser querido ha sido secuestrado. Mediante engaños y amenazas, los malos actores obligan a las víctimas a abonar un rescate.
Codicia
El Diccionario de Cambridge define la codicia como “un cachas deseo de obtener más de poco, especialmente capital”. La codicia es parte del ser humano y, por este motivo, los ingenieros sociales la consideran una útil de gran éxito. Un ejemplo de esto es la “estafa 419 nigeriana”. Los ciberdelincuentes se hacen acontecer por extranjeros ricos, por teléfono o correo electrónico, que necesitan ayuda para trasladar millones de dólares desde su país de origen. Prometen un parada porcentaje de la fortuna como premio a cambio de una pequeña suma. Movido por la codicia, el objetivo comparte la información de su cuenta bancaria pensando que recibirá la premio.
Utilidad
Desde pequeños, a la mayoría de nosotros se nos enseña a ser serviciales y obedientes para ser percibidos como una buena persona. Los atacantes malintencionados pueden emplear esta voluntad de ayudar a otros. Por ejemplo, los actores de amenazas a menudo apuntan a los nuevos empleados por su disposición a ser avíos y sobresalir en su nuevo trabajo. En la mayoría de las culturas se nos enseña a obedecer a los superiores y a la autoridad. Entonces, cuando una persona en una posición de autoridad hace una solicitud, pocos cuestionarán su validez. Sabiendo esto, los malos actores pueden hacerse acontecer por el caudillo a través de un correo electrónico de phishing solicitando un auxilio que debe manejarse rápidamente. Este “auxilio” puede ser una solicitud de información financiera (plástico de regalo, números de cuenta, etc.) u otra información confidencial (credenciales de inicio de sesión, información corporativa, etc.).
Aprieto
En la mayoría de los casos, un ataque de ingeniería social incluirá el componente de aprieto. Un sentido de aprieto puede hacer que la víctima actúe ayer de pensar. Ejemplos: hay un cargo sospechoso en su cuenta que necesita su pronta atención; o recibes una solicitud urgente de tu caudillo, a quien no puedes contactar en ese momento.
Curiosidad
La curiosidad es otra técnica utilizada en ingeniería social. Los atacantes prometen poco de interés o provechoso para engañar a las víctimas. Este tipo de ataque podría ser tan simple como mandar un correo electrónico indicando “Su adquisición en Amazon por la cantidad de $800,00 está tira para enviarse. Haga clic aquí para ver su pedido”. Este tipo de correo electrónico o texto puede despertar la curiosidad del objetivo, quien puede sentirse obligado a hacer clic en el enlace.
Principios de influencia
Adicionalmente de utilizar las emociones humanas como herramientas para manipular a sus víctimas, los delincuentes todavía son maestros en implantar principios de influencia. Algunos de estos pueden incluir reciprocidad, compromiso, prueba social, autoridad, placer y escasez. Cuanto más aprendemos sobre estos aspectos psicológicos que nos afectan, más conscientes podemos arribar a ser. Siempre que sientas que te invade una emoción cachas, ya sea provocada por cierto, poco o una situación, da un paso detrás y tómate un tiempo ayer de desempeñarse.
La psicología está en la raíz de la ingeniería social. Sin requisa, comprender el comportamiento humano e implementar principios de influencia no son sólo para delincuentes ni para fines nefastos. Aprenda a comprender la ciencia detrás de los aspectos psicológicos, fisiológicos y artísticos de las comunicaciones humanas asistiendo a nuestra próxima Aplicación fundamental de la ingeniería social (FASE). Este curso interactivo de 4 días se centra en los aspectos de la toma de decisiones humanas y por qué es importante comprender estos mecanismos. Ya sea que venga como directivo, mercader, simulador de adversario, padre, instructor o cualquier otro rol que pueda tener, FASE lo ayudará a ver cómo puede beneficiarse de este conocimiento en su carrera y en la vida.
Escrito por:
Rosa Rowles
Analista de Riesgos Humanos en Social-Engineer, LLC
