Muy buenas! Esperamos que hayáis tenido buena salida y entrada de año, y que la vuelta a la carga no haya sido demasiado dura 🙂
En esta ocasión vamos a hablar de un tema que nos apasiona y que está presente en el día a día de la sociedad. Podemos decir que a pesar de que está de actualidad desde hace años, la pandemia no ha hecho más que agravarlo, y por ello, pensamos que ya es hora de que todos entendamos cómo funciona la ingeniería social.
La ingeniería social, o el arte de hackear personas se trata de un conjunto de técnicas usadas para engañar, manipular y obtener “algo” de una persona, (ya sea información o la realización de alguna acción) que beneficie a la persona que las lleve a cabo.
Como ya puedes imaginar, son usadas por los ciberdelincuentes para conseguir sus objetivos en el mundo digital.
Pero ¿cómo funciona?
Independientemente del objetivo el ciberdelincuente se va a poner en contacto contigo (la víctima) a través de un medio de comunicación (mensaje, una llamada, un email…) y te va contar “su historia” (el pretexto con el que te va a intentar convencer para que pases de posible víctima a víctima).
Cuanto más trabajada esté esta historia, más posibilidades de éxito en el ataque.
Ejemplos de historias (también conocido como pretexting):
La plataforma ha sufrido un fallo de seguridad y necesita que confirmes el acceso para que no lo pierdas 🤔.
Tu empresa tiene un gran acuerdo con la compañía de la 🍏 y tiene descuentos exclusivos para ti (¿podrás aguantar la curiosidad?).
Te llaman por teléfono de la compañía de las 🪟 que hay un problema con tu licencia, que ellos te ayudan en remoto conectándose a tu ordenador (¡qué majos oye!).
Tienes un pedido parado en aduanas 📦 a la espera de un pago de una cantidad no muy alta de dinero, pero hasta que no lo pagues no lo recibirás.
Te escribe un familiar lejano que hace mucho que no ves (realmente desde nunca), que está en un país extranjero y necesita tu ayuda 🆘.
¿Te suena alguna de estas?
Todos estos ejemplos usan técnicas de ingeniería social, concretamente phishing a través de distintos medios. Tienen en común que irán acompañados de un enlace que te va a pedir algo más como:
Credenciales
Datos bancarios o transferencias
Acceso a tu ordenador
Y claro, te llegan este tipo de mensajes y te preguntas “¿y esta gente cómo ha sabido de mi? Why me?” 😩
Según el tipo de ataque pueden ser ataques no dirigidos o dirigidos.
Ataques no dirigidos: son campañas masivas, pesca de arrastre 🎣, tu correo está en alguna base de datos filtrada (ya es pública) y ¡ancha es castilla!
Más posibles víctimas, menos víctimas reales.
Ataques dirigidos: conocido como spear phishing, mucho más elaborado, hechos en especial para ti o para gente como tú (de tu empresa, usuarios de una plataforma determinada…), un grupo más pequeño y concreto. Están mucho mejor hechos y hay más posibilidades de que las víctimas caigan (gracias a un buen pretexting).
Y, ¿qué hago si lo recibo?
Si recibes una llamada o un mensaje (ya sea por email, redes sociales o cualquier aplicación de mensajería) podrías:
En el caso de las llamadas, preguntar:
Para mensajes escritos:
Revisa el remitente/emisor del mensaje (que sea amazon.com y no amazon.mejoratencionalcliente.com).
Antes de hacer click en cualquier enlace, puedes poner el cursor sobre el enlace y ver a qué URL lleva, o copiar el enlace y pegarlo en el navegador (sin darle a intro para que no nos lleve a la web), y así comprobar si la URL es fiable (vamos, que no te ofrezcan un iPhone con un 50% de descuento con un botón de COMPRAR YA, y la web asociada sea manzanasbaratas.com).
En resumen, en ninguno de los casos debes proporcionar ninguna información personal, puedes dar largas y si tienes muchas dudas, ponte en contacto con la entidad por tu cuenta para saber si es una comunicación legítima o no.
Bonus track: No te lo puedes perder
Si quieres profundizar más en el mundo de la ingeniería social, a finales de 2022 la editorial 0xword publicó el libro “Social Hunters: Hacking con ingeniería social en el Red Team“, puedes comprarlo aquí.
Puedes aprovechar ahora que hay un 10% de descuento usando el código: REBAJAS2023 hasta el 16 de enero.
PD: Sí, está escrito por Carol y por mí (Marta) 😇