Ingeniería social 🔴 Ataque

La ingeniería social hace referencia al conjunto de técnicas de manipulación psicológica utilizadas por individuos malintencionados, a menudo ciberdelincuentes, para conseguir que las personas divulguen información confidencial o realicen acciones que comprometan la seguridad de sus datos personales o los de su organización.

Estos ataques no se dirigen directamente a los sistemas informáticos, sino que explotan las debilidades humanas, jugando con emociones y sesgos cognitivos como la confianza (haciéndose pasar por una persona digna de confianza), el miedo (a un castigo o a un problema urgente), la urgencia (para obtener una reacción rápida), la curiosidad (con señuelos tentadores), la codicia (promesas de beneficios económicos), el altruismo (pidiendo ayuda para una causa) o la ignorancia.

---

Tipos de ingeniería social

1. Phishing (phishing) Fraude: Envío de correos electrónicos o mensajes fraudulentos que imitan fuentes legítimas (bancos, redes sociales, administraciones públicas, proveedores de energía, etc.).
2. Suplantación de identidad Una versión muy selectiva y personalizada del phishing, que utiliza información personal para aumentar la credibilidad.
3. Ballenera ataques de "spear phishing" dirigidos a empleados de alto nivel dentro de una organización.
4. Vishing Llamadas: los atacantes llaman a sus víctimas haciéndose pasar por representantes de servicios o empresas oficiales (por ejemplo, falso soporte técnico).
5. phishing por SMS (smishing) Suplantación de identidad por SMS.
6. Robo de identidad Los atacantes se hacen pasar por alguien de confianza (colega, amigo, superior).
7. Cebo oferta de un beneficio (por ejemplo, software o música gratuitos, descuentos) para que faciliten sus datos de acceso o realicen otras acciones como descargar un malware.
8. Pretextos La creación de un escenario inventado para inducir a la víctima a divulgar información o realizar una acción. Por ejemplo, un falso policía, un falso agente del proveedor de electricidad, un falso encuestador, etc.
9. Surf de hombro : observación discreta de las acciones de una persona (introducción de contraseñas, lectura de información confidencial)
10. Tailgating acceso físico a un lugar seguro siguiendo a un empleado, sin saberlo o no.
11. Quid pro quo intercambio de un servicio por datos.

---

 Cómo funciona

Etapas clave :

1. 1. Reconocimiento y recogida de información : el atacante recopila información sobre el objetivo a través de redes sociales, bases de datos públicas (OSINT), páginas web de empresas, etc.
   2. Crear un escenario creíble : el atacante desarrolla un escenario verosímil y personalizado, jugando con la urgencia, la autoridad, la familiaridad o la rareza.
   3. Contacto y manipulación psicológica : el agresor se pone en contacto con la víctima y utiliza técnicas de manipulación (presión, adulación, miedo, culpabilidad, falsa urgencia) para persuadirla de que actúe.
   4. Operación : la víctima realiza la acción deseada por el atacante (revelación de información, instalación de malware, transferencia bancaria).

---

💥 Consecuencias

• Financiero : fraude, robo de dinero, ransomware, pérdidas comerciales.
• Seguridad de los datos : filtración de datos personales o profesionales, invasión de la intimidad.
• Reputación : pérdida de confianza entre clientes, socios y empleados, daño a la imagen de marca.
• Legal : multas por incumplimiento de la normativa de protección de datos (RGPD), procedimientos judiciales.
• Operativo : interrupciones de la actividad empresarial, indisponibilidad de los sistemas informáticos, pérdida de productividad.

---

Ejemplos notables

1. Ataque al objetivo (2013): Hackeo masivo a través de un proveedor de sistemas de calefacción, ventilación y aire acondicionado (HVAC), robo de 40 millones de números de tarjetas bancarias y 70 millones de direcciones e información personal.
2. Estafa Bitcoin en Twitter (2020): pirateo de las cuentas de Twitter de personalidades famosas (Barack Obama, Elon Musk, Bill Gates) mediante un ataque de ingeniería social dirigido a empleados de Twitter, distribución de mensajes fraudulentos animando a la gente a enviar bitcoins.
3. RSA SecurID (2011) : robo de datos tras un ataque de phishing dirigido a empleados de RSA, que comprometió la seguridad de los tokens de autenticación SecurID.
4. Campaña de Clinton (2016): compromiso de los correos electrónicos de John Podesta, jefe de campaña de Hillary Clinton, a través de un ataque de phishing dirigido.

---

💉Protección y recursos

• Formación y sensibilización de los usuarios : formación periódica de los empleados y el público en técnicas de ingeniería social, simulaciones de ataques de phishing.
• Comprobación de fuentes e información : confirme la identidad de los contactos por medios alternativos (llamada telefónica directa, consulta del sitio web oficial), nunca haga clic en enlaces sospechosos.
• Políticas de seguridad sólidas : aplicación de políticas de seguridad claras (gestión de contraseñas, control de acceso, gestión de dispositivos), aplicación del principio del menor privilegio.
• Autenticación multifactor (AMF) : activación de la autenticación de dos factores para reforzar la seguridad de las cuentas en línea.
• Herramientas técnicas de seguridad : uso de filtros antispam, antivirus, etc. cortafuegossistemas de detección de intrusos y soluciones de seguridad del correo electrónico.
• Plan de respuesta a incidentes : definir procedimientos claros en caso de incidente de seguridad y crear un equipo de respuesta a incidentes.
• Desconfíe de las ofertas demasiado buenas para ser ciertas: Cuidado con las ofertas tentadoras, las ganancias fáciles y las peticiones urgentes.

---

📊Estadísticas y cifras

• Francia :
  • 83 % de los ciberataques implican phishing (ANDDI, 2022)
  • 54 % de las empresas francesas han sufrido un intento de ingeniería social (ANSSI, 2021).
• Mundo :
  • 82 % de las violaciones de datos utilizan ingeniería social (Verizon DBIR 2022).
  • Pérdidas de 2.400 millones de dólares en Estados Unidos (FBI IC3, 2021).
  • 30 % de los usuarios hacen clic en enlaces de phishing (Proofpoint, 2022).