El panorama de las ciberamenazas continúa evolucionando con decano complejidad y sofisticación. Esto presenta desafíos incomparables para las organizaciones, así como para las personas en todo el mundo. Los ciberadversarios actuales emplean técnicas complejas que combinan la ingeniería social con amenazas persistentes avanzadas. Estos ataques suelen implicar una planificación y ejecución meticulosas. Esta decano complejidad hace que los ataques sean más difíciles de detectar, lo que exige un enfoque más proactivo y decisivo de la ciberseguridad. En muchos de estos ataques vemos un enfoque multifacético de ingeniería social. Los atacantes combinan vishing, phishing y smishing. Aquí en SECOM, a estos los llamamos ataques híbridos de ingeniería social. ¿Cómo se ejecutan? ¿Y por qué son eficaces?
Ingeniería social híbrida
Hay muchas formas en que un atacante podría utilizar la ingeniería social híbrida. Por ejemplo, un atacante podría remitir facturas falsas o algún otro tipo de archivo adjunto cargado con malware. El malware permite al atacante robar credenciales de paso, suficiente información confidencial para irrumpir en el perímetro o transferir fondos fuera de la estructura. Poco luego de remitir el correo electrónico, el atacante realiza un seguimiento con una citación telefónica para comprobar de que el objetivo descargue el archivo adjunto o refugio la elaboración. Estos ataques igualmente pueden ser muy efectivos cuando el vishing se realiza primero para crear confianza y luego envía el phish. A veces, el vishing y el phishing se pueden realizar simultáneamente mientras el objetivo está hablando por teléfono. A medida que el atacante establece una buena relación con el objetivo, enviará el phishing y le pedirá que realice la actividad deseada.
Otro vector global para la ingeniería social híbrida es el giro de correos electrónicos de phishing que contienen números de teléfono para que los objetivos llamen. Por ejemplo, el atacante podría remitir un correo electrónico de aspecto realista haciéndose acontecer por el sección de TI de la empresa y pidiendo a los empleados que llamen para informar de un “ticket descubierto”. Una vez que un empleado pira, el atacante contesta como el “servicio de protección técnica de TI” y obtiene información confidencial, como su código de paso único, ID de empleado, contraseña, etc.
Los ejemplos anteriores son sólo algunos de los ataques híbridos de ingeniería social que están en aumento. Según phishlabs.com, “más recientemente, los informes de vishing híbrido representaron casi el 40% de todo el phishing basado en respuestas. En 2024, los expertos de Fortra anticipan que esta táctica no hará más que crecer”.
El componente de ingeniería social
El componente de ingeniería social es lo que alimenta estos ataques. La ingeniería social se puede puntualizar como “cualquier acto que influya en una persona para que realice una actividad que puede o no ser lo mejor para sus intereses”. Durante un ataque de ingeniería social, los actores maliciosos provocan emociones humanas como miedo, curiosidad, necesidad, afán o ayuda, para suspender momentáneamente el pensamiento crítico y conquistar que su víctima realice una actividad que normalmente no haría. A menudo, la persona que pira se hace acontecer por una figura de autoridad y solicita una actividad inmediata. Esto da como resultado una situación de reincorporación presión en la que el personal se siente obligado a cumplir con esta solicitud “importante”.
Un ataque de ingeniería social contra una estructura con empleados sin educación y capacitación puede ser devastador. Al utilizar una combinación de phishing, vishing y smishing, los ingenieros sociales aprovechan las vulnerabilidades existentes. Estos ataques están cuidadosamente orquestados y se dirigen a diferentes empleados hasta que reúnen suficiente información para completar el rompecabezas de una estructura.
La forma más eficaz de combatir este tipo de ataques es desarrollar programas de concientización y capacitación, y probar de guisa proactiva la susceptibilidad a los ataques. Los empleados que conocen los vectores de ataque de ingeniería social y comprenden el valía de la información que poseen pueden servir como la primera tendencia de defensa de una estructura contra los ataques de ingeniería social.
Prueba. Educar. Proteger.
Quizás se pregunte “¿qué puedo hacer para protegerme contra ataques dirigidos tan avanzados?” Lamentablemente, no existe tecnología ni inteligencia fabricado que pueda detener esto. La mejor defensa es un entorno de entrenamiento auténtico, auténtico y realista que permita a su población verificar estos ataques de forma segura y cultivarse a denunciarlos.
Aquí en SECOM, hemos diseñado nuestros programas híbridos de ingeniería social simulados para utilizar capacitación basada en la empatía y enfocada en la presentación de informes para ayudar a sus empleados a cultivarse y solidificar estas lecciones en sus prácticas diarias. Para obtener más información, consulte los servicios gestionados que ofrecemos.
Escrito por
Rosa Rowles
Analista de Riesgos Humanos
Ingeniero social, LLC