Antes de lanzar un ataque de ingeniería social, los atacantes dedican un tiempo considerable a recopilar información sobre sus objetivos. Este proceso, conocido como reconocimiento y perfil, es fundamental para personalizar los ataques y aumentar sus probabilidades de éxito.
Los atacantes utilizan una variedad de métodos para obtener información sobre sus objetivos, tanto de fuentes públicas como privadas. Algunas de las técnicas más comunes incluyen:
Redes sociales: Las plataformas como Facebook, Twitter, LinkedIn e Instagram son una mina de oro para los atacantes. Al analizar las publicaciones, fotos, amigos y conexiones de una persona, pueden construir un perfil detallado de sus intereses, hábitos y relaciones.
Motores de búsqueda: Los motores de búsqueda como Google permiten encontrar información pública sobre personas, empresas y organizaciones. Los atacantes pueden utilizar operadores de búsqueda avanzados para refinar sus resultados.
Foros y grupos en línea: Los foros y grupos en línea son lugares donde las personas comparten información personal y profesional. Los atacantes pueden infiltrarse en estos grupos para obtener información valiosa.
Contenedores de basura: Los atacutes pueden revisar los contenedores de basura de sus objetivos para encontrar documentos descartados que contengan información confidencial.
Ingeniería social: Los atacantes pueden utilizar técnicas de ingeniería social, como el pretexting, para obtener información directamente de las víctimas.
Hackeo: En algunos casos, los atacantes pueden piratear sistemas informáticos para obtener acceso a bases de datos que contienen información personal.
Los atacantes buscan cualquier información que pueda ser utilizada para personalizar un ataque. Algunos ejemplos incluyen:
Información personal: Nombre completo, fecha de nacimiento, dirección, número de teléfono, correo electrónico, etc.
Información profesional: Empleador, puesto, departamento, compañeros de trabajo, etc.
Intereses y aficiones: Deportes, hobbies, organizaciones a las que pertenecen, etc.
Información financiera: Números de cuenta, contraseñas, etc.
Información de contacto de familiares y amigos: Para utilizarla en ataques de spear phishing.
El reconocimiento y el perfil son fundamentales para el éxito de un ataque de ingeniería social por varias razones:
Personalización: Al conocer a su víctima, los atacantes pueden personalizar sus ataques para que sean más creíbles y persuasivos.
Evasión de defensas: Los atacantes pueden adaptar sus ataques para evitar las medidas de seguridad que tienen en cuenta.
Aumento de la confianza: Al demostrar que conocen a la víctima, los atacantes pueden aumentar la confianza de la víctima y hacer que sea más probable que revele información confidencial.
Privacidad en las redes sociales: Ajusta la configuración de privacidad de tus redes sociales para limitar la cantidad de información que compartes públicamente.
Cuidado con la información que compartes en línea: Evita compartir información personal en foros públicos o en redes sociales.
Contraseñas fuertes: Utiliza contraseñas únicas y complejas para cada cuenta.
Autenticación de dos factores: Habilita la autenticación de dos factores en todas tus cuentas importantes.
Software de seguridad: Mantén actualizado tu software de seguridad y utiliza herramientas de detección de phishing.
Concientización: Educa a tus empleados sobre las técnicas de ingeniería social y cómo protegerse contra ellas.
La ingeniería social es, en esencia, una forma de manipulación psicológica. Los atacantes emplean una serie de técnicas diseñadas para aprovechar las vulnerabilidades humanas y persuadir a las víctimas a realizar acciones en contra de sus propios intereses.
Reciprocidad: Los atacantes suelen ofrecer algo de valor (un descuento, un favor) con la esperanza de que la víctima se sienta obligada a devolver el favor, por ejemplo, proporcionando información confidencial.
Escasez: Crear una sensación de urgencia o escasez puede llevar a las personas a tomar decisiones impulsivas. Frases como "oferta limitada" o "últimas unidades disponibles" son comunes en los ataques de phishing.
Autoridad: Los atacantes a menudo se hacen pasar por figuras de autoridad (por ejemplo, personal de TI, funcionarios gubernamentales) para dar credibilidad a sus solicitudes.
Consenso social: Crear la impresión de que muchas otras personas ya han realizado una acción puede influenciar a las víctimas a seguir el ejemplo.
Simpatía: Los atacantes pueden utilizar el encanto, la amabilidad o la halago para ganarse la confianza de las víctimas.
Miedo: Generar miedo o ansiedad puede llevar a las víctimas a tomar medidas precipitadas.
Lógica emocional: Apelar a las emociones de las víctimas, como la curiosidad, la empatía o la avaricia, puede ser muy efectivo.
Phishing: Un correo electrónico que parece provenir de un banco advierte sobre una actividad sospechosa en la cuenta y solicita que se haga clic en un enlace para verificar la información. La urgencia y la autoridad del banco pueden llevar a la víctima a proporcionar sus credenciales.
Baiting: Se ofrece un dispositivo USB con información interesante para que la víctima lo conecte a su ordenador. El dispositivo está infectado con malware. La curiosidad y la recompensa potencial son los desencadenantes.
Pretexting: Un atacante se hace pasar por un técnico de soporte y llama a una víctima para informarle de un problema con su ordenador. La víctima, confiando en el "técnico", puede proporcionar información sensible.
Mantener la calma: Ante situaciones sospechosas, tómate un momento para pensar antes de actuar.
Verificar la información: Siempre verifica la identidad del remitente y la autenticidad de los enlaces antes de hacer clic.
Ser escéptico: Desconfía de las ofertas que parecen demasiado buenas para ser verdad.
Educarse: Conoce las técnicas de ingeniería social más comunes y cómo identificarlas.
La explotación de la confianza es una de las tácticas más poderosas utilizadas por los atacantes de ingeniería social. Al establecer una relación de confianza con sus víctimas, los cibercriminales pueden manipularlas para que revelen información sensible o realicen acciones que comprometan su seguridad.
Los atacantes utilizan una variedad de técnicas para ganarse la confianza de sus víctimas:
Personalización: Los ataques se adaptan a cada víctima, utilizando información personal obtenida de las redes sociales, correos electrónicos o incluso conversaciones casuales.
Autoridad: Los atacantes se hacen pasar por figuras de autoridad, como técnicos de soporte, personal de TI o representantes de empresas conocidas.
Urgencia: Se crea un sentido de urgencia para presionar a la víctima a tomar una decisión rápida y sin pensar.
Reciprocidad: Se ofrece algo de valor a la víctima con la esperanza de que se sienta obligada a devolver el favor.
Escasez: Se crea una sensación de escasez para incentivar a la víctima a actuar rápidamente.
Consenso social: Se sugiere que muchas otras personas ya han realizado la acción solicitada.
Phishing dirigido: Un correo electrónico personalizado que parece provenir del jefe de la víctima, solicitando información confidencial.
Vishing: Una llamada telefónica de un supuesto representante de un banco que solicita verificar la información de la cuenta.
Baiting: Un dispositivo USB infectado encontrado en un lugar público, etiquetado de manera atractiva para que la víctima lo conecte a su ordenador.
Pretexting: Un atacante se hace pasar por un empleado de una empresa de servicios públicos para obtener acceso a la casa de la víctima.
Naturaleza social: Los seres humanos somos seres sociales y tendemos a confiar en los demás.
Reciprocidad: Sentimos la necesidad de devolver los favores.
Autoridad: Tendemos a obedecer a las figuras de autoridad.
Urgencia: A menudo actuamos impulsivamente cuando nos sentimos presionados por el tiempo.
Verificar la identidad: Siempre verifica la identidad del remitente antes de abrir archivos adjuntos o hacer clic en enlaces.
Ser escéptico: Desconfía de las ofertas que parecen demasiado buenas para ser verdad.
Educarse: Conoce las técnicas de ingeniería social y cómo identificarlas.
Fortalecer las contraseñas: Utiliza contraseñas fuertes y únicas para cada cuenta.
Habilitar la autenticación de dos factores: Agrega una capa adicional de seguridad a tus cuentas.
Mantener actualizado el software: Instala las últimas actualizaciones de seguridad para proteger tus dispositivos.