De acuerdo a Informe de defensa digital de Microsoft 2023 Según datos, los ataques de phishing fueron el tercer vector de amenaza más común el año pasado y representaron el 25% de todas las notificaciones de ataques exitosos.
Parte de lo que hace que los ataques de phishing sean un método de ataque tan popular es el uso de ingeniería social para maximizar el éxito. Hoy, El 90% de los ataques de phishing utilice tácticas de ingeniería social para manipular a las víctimas para que revelen información confidencial, hagan clic en enlaces maliciosos o abran archivos maliciosos. A menudo, estos ataques buscarán influir en las víctimas creando una falsa sensación de urgencia, empujándolas a un estado emocional intenso o aprovechando hábitos o rutinas existentes.
A medida que las organizaciones buscan defenderse contra el phishing y otras amenazas cibernéticas comunes, necesitarán comprender cómo los atacantes manipulan el comportamiento humano para lograr el resultado deseado.
¿Cómo funciona la ingeniería social?
En términos generales, los ataques de ingeniería social son una estafa a largo plazo. Este tipo de ataques pueden requerir meses de planificación e investigación laboriosa mientras los adversarios buscan construir una base sólida de confianza con sus víctimas. Una vez que se ha establecido esta confianza, los ingenieros sociales pueden manipular a las víctimas para que realicen ciertas acciones que de otro modo estarían fuera de lugar, como hacer clic en un enlace de correo electrónico malicioso. A menudo, los atacantes manipularán ciertas palancas del comportamiento humano, como la urgencia, la emoción y el hábito, para convencer a su objetivo de que se comporte de cierta manera.
La ingeniería social a menudo comienza con la investigación. Los adversarios identificarán su objetivo y recopilarán información de antecedentes, como posibles puntos de entrada o los protocolos de seguridad actuales de la empresa. A partir de ahí, los ingenieros se centrarán en establecer confianza con el objetivo. A menudo intentan darle vueltas a una historia, enganchar al objetivo y tomar el control de la interacción para dirigirla de una manera que beneficie al ingeniero.
Si el atacante conoce a su víctima, podrá predecir cómo esa víctima podría responder a una solicitud urgente o a un correo electrónico aparentemente rutinario de un servicio que ya utiliza.
Por ejemplo, a principios de 2022, un grupo de amenazas Ocho tempestades lanzó una serie de campañas de amplio alcance que destacaban técnicas de adversario en el medio (AiTM), ingeniería social y capacidades de intercambio de SIM. Inicialmente se dirigieron a organizaciones de subcontratación de procesos comerciales y telecomunicaciones móviles para iniciar intercambios de SIM, pero luego se expandieron para apuntar a organizaciones de tecnología, correo electrónico y telecomunicaciones por cable. El grupo de amenazas comúnmente lanza ataques de ingeniería social investigando la organización e identificando objetivos para hacerse pasar por víctimas de manera efectiva, utilizando información de identificación personal para engañar a los administradores técnicos para que realicen restablecimientos de contraseñas y restablezcan métodos de autenticación multifactor (MFA). También se ha observado que Octo Tempest se hace pasar por empleados recién contratados en un intento de integrarse en los procesos normales de contratación.
Los ingenieros sociales a menudo buscan obtener información de su objetivo a lo largo del tiempo. Si el ingeniero puede convencer a su objetivo de que le entregue voluntariamente información aparentemente inocente durante un período de semanas o meses, podrá aprovechar estos datos para obtener acceso a información aún más confidencial. Una vez que tengan lo que necesitan, el ingeniero se desconectará y llevará la interacción a un final natural, ¡a veces sin levantar ninguna sospecha sobre su objetivo!
¿Qué pueden hacer las organizaciones para protegerse contra el fraude de ingeniería social?
Mientras tácticas de ingeniería social están presentes en una amplia gama de ataques, son especialmente frecuentes en el compromiso del correo electrónico empresarial (BEC). En 2022, el Centro de Denuncias de Delitos en Internet de la Oficina Federal de Investigaciones (FBI) informó más de 2.700 millones de dólares en pérdidas ajustadas por BEC.
Los ejecutivos de empresas, los altos directivos, los gerentes financieros y el personal de recursos humanos son objetivos frecuentes de BEC debido a su acceso a información confidencial como números de Seguro Social, declaraciones de impuestos u otra información de identificación personal. Sin embargo, los nuevos empleados también corren riesgo, ya que pueden ser más susceptibles a verificar solicitudes de correo electrónico desconocidas. Algunos de los tipos de ataques BEC más comunes incluyen compromiso directo de correo electrónico, compromiso de correo electrónico de proveedores, estafas de facturas falsas y suplantación de abogados.
Entonces, ¿qué deberían hacer las empresas en respuesta?
- Indique a los usuarios que mantengan sus cuentas personales separadas y que no las combinen con correos electrónicos del trabajo o tareas relacionadas con el trabajo. Cuando los empleados utilizan su correo electrónico del trabajo para cuentas personales, los actores de amenazas pueden aprovecharse haciéndose pasar por estos programas y acercarse para obtener acceso a la información corporativa de un empleado.
- Haga cumplir el uso de MFA en toda su empresa. Los ingenieros sociales suelen buscar información como credenciales de inicio de sesión. Al habilitar MFA, incluso si un atacante obtiene su nombre de usuario y contraseña, no podrá acceder a sus cuentas ni a su información personal.
- Advierta a los usuarios que no abran correos electrónicos o archivos adjuntos de fuentes sospechosas. Si un compañero de trabajo o contratista envía un enlace en el que se debe hacer clic con urgencia, los empleados deben confirmar directamente con la fuente si realmente enviaron ese mensaje.
- Aliente a los empleados a no compartir demasiada información personal o eventos de la vida en línea. Los ingenieros sociales necesitan que sus objetivos confíen en ellos para que sus estafas funcionen. Si pueden encontrar datos personales en los perfiles de redes sociales de los empleados, pueden utilizar esos datos para ayudar a que sus estafas parezcan más legítimas.
- Proteja las computadoras y dispositivos de la empresa con software antivirus, firewalls y filtros de correo electrónico. En caso de que una amenaza llegue a un dispositivo de la empresa, contará con protección para ayudar a mantener su información segura.
La ingeniería social es muy adaptable y los actores de amenazas buscan constantemente nuevas formas de manipular a sus víctimas. Sin embargo, al rastrear la inteligencia sobre amenazas y monitorear los vectores de ataque actuales, las empresas pueden reforzar las defensas y evitar que los ingenieros sociales utilicen los mismos métodos para comprometer a futuras víctimas.
A aprende más sobre tácticas de ingeniería social y otros conocimientos de inteligencia sobre amenazas, visite Experto en seguridad de Microsoft.