Por: CP Iván Rodríguez. Colaborador de Auditool.
La ingeniería social es una técnica empleada por los delincuentes mediante la cual se pretende engañar a los usuarios de ciertos sistemas informáticos para obtener información confidencial. Esta técnica busca una reacción predecible y se hace mediante la suplantación personal, de modo que les sean proporcionados detalles financieros o de otra índole a los delincuentes para no buscar debilidades de seguridad en dichos sistemas.
Quienes actúan como delincuentes, habitualmente, crean un falso escenario en el que se emplea información real de la víctima (número de identificación, datos bancarios, familiares, etc.), que normalmente implica una indagación o investigación previa para conseguir estos datos. En el escenario inventado, se suele suplantar a alguna autoridad, a una persona conocida o a alguien con posibilidades de acceder a información de la víctima. De esta manera, la víctima suministra aquellos datos a través de correos o llamadas telefónicas a los delincuentes.
Ahora, otro factor a considerar es el auge de las redes sociales, pues algunos usuarios tienden a colocar información de carácter personal (e incluso confidencial) de manera frecuente, tal como fotos familiares, sitios frecuentados, datos sobre el lugar de trabajo y residencia, por lo que estas redes constituyen una fuente que provee bastante información a los delincuentes para que puedan realizar un ataque informático.
Teniendo en cuenta que los ataques de ingeniería social son uno de los tipos de ciberataque más frecuente y con impacto sensible en las organizaciones y sus colaboradores, es importante que los auditores se mantengan actualizados respecto de las principales técnicas, de manera que efectúen mejores actividades de supervisión y las respectivas recomendaciones. Además, debe tenerse presente que las amenazas cibernéticas evolucionan constantemente y que los ciberdelincuentes buscan nuevas formas de obtener información. Dentro de las nuevas modalidades de ataque cibernético, se encuentran las siguientes:
- El ransomware como servicio (Ransomware as a service - RaaS)
Se trata de un accionar de los ciberdelincuentes, los cuales ofrecen a otros delincuentes que carecen de habilidades técnicas necesarias para crear su propio malware[1], la posibilidad de utilizar su software malicioso para que lleven a cabo ataques de ransomware, a cambio de una comisión. Este es un esquema similar al de los delincuentes que alquilan armas para cometer delitos. En este modelo, el delincuente que compra el servicio de RaaS puede personalizar el malware y enviarlo a las víctimas a través de correos electrónicos de phishing o mediante la explotación de vulnerabilidades en sistemas informáticos. Como en el ransomware tradicional, una vez que el malware se ejecuta en el sistema de la víctima, cifra los archivos y muestra una nota de rescate que exige el pago en criptomonedas para recuperar los archivos. El comprador del servicio de RaaS y el creador del malware comparten las ganancias obtenidas por el rescate[2].
- Ransomware de doble extorsión
Además de cifrar los datos de la víctima, los atacantes ahora amenazan con hacer públicos esos datos si no se paga un rescate, dicha amenaza de publicación agrega presión a las organizaciones víctimas. La primera vez que el malware ingresa a los dispositivos de la organización, encripta todos los archivos y datos que encuentra y solicita un pago a cambio de la clave de descifrado. Posteriormente, hay una segunda amenaza que hacen los ciberdelincuentes a la víctima, se trata de publicar la información robada en ciertos sitos web. Para evitar que esto suceda, piden otro pago. De acuerdo con lo mencionado en la encuesta realizada por Sophos el rescate promedio pagado en 2022 alcanzó los 812.360 dólares.
- Ataques de inteligencia artificial (IA)
Los ciberdelincuentes ahora utilizan la IA para automatizar y mejorar sus ataques. Se suele emplear para identificar vulnerabilidades, generar ataques personalizados y evadir sistemas de detección. Algunas acciones delictivas usando IA son obtener información privada sobre una persona sin su consentimiento, por ejemplo, para analizar los patrones de comportamiento de una persona a partir de su actividad en línea. También es posible emplear datos falsos al entrenar modelos de IA, buscando que el modelo tome decisiones en situaciones reales.
- Pishing y vishing avanzado y modelos lingüísticos (Large Language Models LLM)
Un ataque de phishing implica la distribución generalizada de un mensaje falso enviado por un ciberdelicuente, que se hace pasar por un colega o una empresa que ofrece un servicio. Dicho mensaje contiene enlaces o archivos maliciosos que pueden provocar violación de información confidencial. Ahora bien, mediante el empleo de modelos lingüísticos a partir de IA generativa es posible generar mensajes de aspecto más auténtico, que consideren el estilo de una organización o individuo, la presentación típica del mensaje y otros detalles específicos.
Por su parte, el vishing (es la misma técnica de pishing, pero haciendo uso de la voz), también ha evolucionado. Los ciberdelincuentes utilizan fragmentos de voz reales de los directivos de las empresas o de otro personal y crean mensajes que buscan que los destinatarios realicen ciertas acciones, tales como transferir dinero o facilitar claves de acceso o credenciales.
- Spear phishing y caza de ballenas (whaling)
Otros dos tipos de ataques de ingeniería social derivados del phishing son el spear phishing y el whaling. El spear phishing implica el intento de robo de cuentas o credenciales financieras de una persona u organización. Es una forma más específica y dirigida de phishing, en la que los atacantes investigan a sus objetivos y personalizan los correos electrónicos para que parezcan aún más legítimos y convincentes. Por su parte, la caza de ballenas (whaling) es un ataque dirigido a los más altos cargos de una organización: miembros de junta, CEO y otros altos ejecutivos. Estas personas suelen tener información comercial confidencial que es útil para el actor de amenazas, y los mensajes tienden a enfatizar en la importancia comercial mientras se hacen pasar por un cliente o una empresa asociada.
Los anteriores son solo algunos de los nuevos ataques de ingeniería social. Es importante que, al interior de las organizaciones, las personas responsables de la ciberseguridad se aseguren que toda la fuerza laboral esté debidamente capacitada y, de esa manera, evite cualquier posible ataque de los ciberdelincuentes. Algunas medidas son muy sencillas, pero bastante efectivas. Por ejemplo, nunca acceder a un enlace sin pasar el cursor sobre este para verificar que la dirección sea válida, verificar la dirección de correo electrónico del remitente, consultar ante cualquier duda y, en general, actuar con prudencia y escepticismo.
[1] El malware es cualquier tipo de programa o aplicativo que realiza acciones dañinas en un sistema informático de forma intencionada y sin el conocimiento del usuario.
[2] Más información sobre este tema puede consultarse en: https://www.cloudflare.com/es-es/learning/security/ransomware/ransomware-as-a-service/
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.
Y luego Agregar a la pantalla de inicio.