Blagging

¿Qué es el Blagging?

Blagging es un término del argot utilizado para recopilar información personal y confidencial de alguien sin su consentimiento. Es un tipo de ataque de phishing bajo la tapadera de la ingeniería social.

Existen múltiples técnicas de blagging utilizadas por los hackers hoy en día para robar información.

Ingeniería social en el Blagging

Muchas personas son culpables de revelar demasiada información personal en sus cuentas sociales.

Incluso por teléfono o en conversaciones cara a cara, es fácil hacerse vulnerable proporcionando información confidencial, desde nombres completos hasta credenciales de cuentas, fotos, direcciones de contacto y mucho más.

Los ciberdelincuentes buscan estos datos personales para realizar ataques de blagging.

¿Cómo funciona el Blagging?

  • Suplantación de identidad

El hacker se hace pasar por un funcionario, por ejemplo, un empleado de una empresa, un ejecutivo de un banco o un agente de policía. Crea confianza en la mente del objetivo.

Por ejemplo, los hackers pueden llamar haciéndose pasar por el servicio técnico de TI y pedir a la víctima una contraseña para solucionar un problema informático.

  • Falsa urgencia

El estafador presiona a la persona objetivo haciendo que la solicitud sea urgente. Amenazan con cerrar cuentas o emprender acciones legales para obtener información rápidamente, dando a la víctima poco tiempo para verificar la legitimidad de la solicitud.

  • Phishing

Los ciberdelincuentes utilizan técnicas de phishing mediante el envío de códigos maliciosos a través de correos electrónicos o enlaces, con la intención de infectar los dispositivos informáticos de la persona objetivo y robar datos confidenciales.

Estos correos electrónicos suelen parecer proceder de fuentes de confianza y, si la víctima hace clic en el enlace malicioso, puede descargarse e instalarse software o programas espía.

  • Ataque USB Drop

En este ataque, los ciberdelincuentes dejan dispositivos infectados y cargados de malware, como unidades USB, en lugares públicos donde las víctimas pueden darse cuenta y recogerlos.

Una vez conectados a un dispositivo, los ciberdelincuentes acceden al sistema de la víctima.

Normalmente, los aparcamientos, las cafeterías y los ascensores son los lugares más populares para este ataque.

También hay que tener cuidado con los dispositivos USB que se regalan en los eventos de criptografía.

  • Tácticas de simpatía

Los estafadores juegan con la empatía de la víctima utilizando falsas narrativas emocionales para manipularla, por ejemplo, apelaciones emotivas en torno a la necesidad de dinero para sus hijos o tras desastres naturales.

  • Quid Pro Quo

Los estafadores ofrecen incentivos (falsos) como primas, dinero en efectivo o participación en los beneficios a cambio de información.

  • Seguimiento

Los estafadores siguen físicamente a un empleado hasta un local o una zona restringida para obtener acceso.

Confían en que la gente mantenga las puertas abiertas o no pregunte por su aspecto.

  • Obtención de información

Los blaggers inician conversaciones amistosas para extraer información sobre sistemas, procesos o vulnerabilidades.

Medidas preventivas

  • Verificar las afirmaciones

Si alguien dice ser un técnico informático o un colega que necesita información, deténgase y devuelva la llamada utilizando un número oficial para asegurarse de su autenticidad.

Verifique de cerca las direcciones de correo electrónico, los nombres y los datos de contacto para una mayor confirmación.

  • Valida las solicitudes

Como empleado, investiga cualquier solicitud poco común, aunque parezca importante o “sea una emergencia”.

Trasládala a un responsable o eleva un ticket a través de los canales adecuados.

  • Restrinja el acceso a las cuentas

Los empleadores deben permitir a los empleados el acceso mínimo necesario para su trabajo.

Por ejemplo, es probable que los agentes de atención al cliente no necesiten acceder a los sistemas financieros.

  • Informe de actividades sospechosas

Si una solicitud parece sospechosa o sospechosa, plantee sus preocupaciones. Informe inmediatamente al equipo de seguridad o de gestión si sospecha que se trata de un intento de blagging.

Siga observando los sistemas y el comportamiento de los usuarios para detectar actividades inusuales.

  • Formación sobre seguridad

Los trabajadores alertas y formados tienen más probabilidades de identificar e impedir los intentos de blagging.

Educar a la gente es necesario para defenderse contra la ingeniería social, y los planes de formación deben estar equipados con incidentes y ejemplos del mundo real.

  • Seguridad por capas

Aplique múltiples medidas de seguridad en lugar de confiar en un solo sistema.

Este modelo múltiple de seguridad debe contar con controles de seguridad física, seguridad de los puntos finales, seguridad del correo electrónico, controles de acceso y herramientas de prevención de pérdida de datos.

Lo esencial

A diferencia de la mayoría de las ciberamenazas, las soluciones de ciberseguridad no pueden evitar el blagging. Las apelaciones a la naturaleza humana no pueden ser atrapadas tan fácilmente por el software antimalware o los cortafuegos. La forma de protegerse contra él es estar alerta, formarse, actuar con precaución y reaccionar con rapidez ante los incidentes.

Verifique siempre la legitimidad de la persona con la que interactúa en línea o por teléfono, y nunca facilite documentos o información esenciales sin comprobar de forma independiente y cautelosa su autorización.

Temas relacionados

Kuntal Chakraborty

Kuntal Chakraborty es ingeniero informático de profesión y formación y fundador de Philarity.com. Cuenta con una amplia experiencia técnica como ingeniero de sistemas e ingeniero de redes en Siemens y Atos. Kuntal también ha trabajado en el ámbito de la Inteligencia Artificial (IA) y el Aprendizaje Automático (AM) en diferentes puestos. Además, está muy interesado en la ciberseguridad y ha publicado varios artículos al respecto en algunas publicaciones internacionales. También ha creado y publicado con éxito algunas habilidades de Alexa como parte de la comunidad de desarrolladores de Amazon Alexa.