Los seres humanos estamos predispuestos a querer ayudar a los demás. Está en nuestra naturaleza. Si eres recepcionista o trabajas en un servicio de asistencia, puede que incluso forme parte de la descripción de tu trabajo.
Aun así, ten cuidado con la ingeniería social. ¿Qué es la ingeniería social? Es la manipulación sutil del personal para obtener acceso ilegal a su edificio, sistemas y datos.
La ingeniería social es piratería informática. Pero no es piratear su red aprovechando una vulnerabilidad técnica. La ingeniería social es hackear a su personal, la capa orgánica de sus defensas.
La mayoría de nosotros compartimos características similares. A nadie le gusta tener problemas en el trabajo y nos compadecemos de quienes los tienen. Nos sentimos inclinados a ayudar a las personas que están luchando con problemas, incluso si eso significa que nos saltamos ligeramente las normas o rompemos el protocolo por un momento.
Es aún más probable que lo hagamos si nos cae bien o empatizamos con la persona que tiene el problema. También estamos condicionados a obedecer a las figuras de autoridad. Queremos que nos vean como capaces de ayudar y dispuestos a arrimar el hombro.
Los actores de amenazas hábiles pueden explotar todos estos rasgos y coaccionar a la gente para que haga lo que ellos quieren. Se trata de explotar la psicología humana para inducir a los incautos a realizar alguna acción que beneficie al agresor.
Los ataques de ingeniería social pueden producirse con una sola llamada telefónica o a lo largo de un periodo de tiempo, ganándose poco a poco la confianza y la aceptación.
Su objetivo es burlar sus medidas de seguridad o saltárselas.
No es nada nuevo
La ingeniería social existe desde que existen los timadores de confianza. Hay técnicas que funcionan, por lo que era inevitable que fueran recogidas y utilizadas por los actores de las ciberamenazas.
Se basan en las cualidades admirables de las personas, como su amabilidad y su deseo de ayudar, o en sus peores cualidades, como la codicia y el miedo.
El actor de la amenaza podría querer
- Obtener datos de tarjetas de crédito u otros datos financieros.
- Obtener las credenciales de acceso a una cuenta de usuario.
- Instalar malware, como registradores de pulsaciones de teclas, para que las pulsaciones de la víctima se envíen al servidor del actor de la amenaza.
- Instalar software de acceso remoto que permita a los autores de la amenaza acceder al ordenador de la víctima.
- Instalar ransomware para extorsionar a la empresa.
- Obtener acceso físico a su edificio para colocar dispositivos encubiertos con los que instalar manualmente malware o robar hardware.
A diferencia de muchos ciberataques, los ataques de ingeniería social se dirigen específicamente a sus víctimas. Esto contrasta con los ataques del tipo “reparte y rezar”, como los ataques de phishing o el escaneado de puertos.
Los ataques de ingeniería social pueden implicar conversaciones telefónicas, correo electrónico o acudir a sus instalaciones en persona. Muy a menudo, se utiliza una mezcla de estas técnicas para adaptarse a las necesidades del ataque.
Reconocimiento
Los actores de la amenaza recopilarán información sobre el objetivo dentro de la empresa. Monitorizan X (antes Twitter) y LinkedIn y buscan información que les dé ventaja. Las redes sociales son un arma de doble filo. Lo que transmites al mundo puede volverse fácilmente en tu contra.
- Un actor de amenazas puede ver que un alto cargo va a estar fuera de la oficina en una conferencia. Este es el tipo de información que pueden utilizar. Le da al actor de la amenaza una “entrada”.
- Llamarán y pedirán hablar con el asistente personal de esa persona. Como están hablando de un evento auténtico, el asistente no tiene motivos para sospechar que la persona que llama es fraudulenta.
- Si el autor de la amenaza ha “suplantado” el identificador de la línea de llamada, haciendo que parezca que la llamada procede del número de teléfono auténtico del evento, la ilusión es aún más convincente.
- Presentarán un problema y pedirán ayuda para solucionarlo. “Tenemos constancia de su reserva, pero no de ningún depósito o pago. Voy a estar para el salto de altura si no puedo solucionar esto antes de salir de mi turno en los próximos diez minutos. Realmente espero que puedas salvarme el pellejo. Por casualidad, ¿tiene los datos de la tarjeta de crédito con la que se hizo la reserva para que pueda consultarla?“.
Ataques por teléfono
Los ataques más sencillos suelen ser los mejores, y el soporte técnico es un objetivo habitual. Su trabajo consiste en resolver problemas. Su jornada laboral está dedicada a intentar satisfacer las necesidades de la persona que llama y a hacer desaparecer los problemas.
1. Hacerse pasar por un nuevo empleado
- Las empresas suelen publicar mensajes como este en LinkedIn o Twitter. “Bienvenido al nuevo miembro de la empresa, el señor Persona Nueva. Se unirá al equipo XYZ, etc.“.
- Un actor de amenazas puede llamar a su equipo de soporte técnico fuera de horas y fingir que es esa persona. Les dirá que acaba de empezar a trabajar allí -sí, estoy en el equipo XYZ- pero que no puede acceder a los sistemas de la oficina desde su casa.
- Este escenario suele funcionar porque los nuevos empleados suelen tener problemas iniciales. No se espera de ellos que conozcan todavía los sistemas, ni que sospechen si no pueden responder a una pregunta que se les haga. Y como es fuera del horario de trabajo, no hay nadie con quien cotejar o consultar.
- Normalmente, el actor de la amenaza llevará la conversación hasta el punto en el que lo más fácil para los chicos de soporte técnico sea realizar un restablecimiento de la contraseña y darle a la persona que llama su nueva contraseña.
2. Involucrar al soporte técnico en algo sensible
- Otra estratagema consiste en llamar al servicio de asistencia técnica y hacerse pasar por alguien del equipo de Investigaciones Internas de RR.HH., actuando sobre un asunto delicado y que requiere la máxima discreción. Mencionarán a una persona real de la empresa de tan alto rango que el ingeniero de soporte técnico seguro que ha oído hablar de ellos.
- “Están siendo investigados, no puedo decirte por qué, obviamente, pero necesitamos que su cuenta se bloquee de inmediato y que se establezca una nueva contraseña en ella para que los auditores externos puedan entrar, pero él no. Esta es la contraseña a utilizar…“
- Por supuesto, el actor de la amenaza simplemente ha elegido un nombre de la página Conozca al equipo del sitio web. Esta estratagema funciona haciendo sentir a la persona engañada que forma parte de algo importante, secreto y “grande”.
3. Construir una historia de fondo para un adjunto malicioso
- Una estratagema igual de sencilla consiste en llamar al servicio de asistencia técnica y describir un problema con el correo electrónico del autor de la amenaza. No importa lo que intenten, el problema persiste.
- El actor de la amenaza ofrecerá enviar una captura de pantalla o un archivo de registro al ingeniero de soporte desde su correo electrónico personal, que, por supuesto, sigue funcionando.
- Preparado y esperando el correo electrónico, tan pronto como el ingeniero de soporte lo recibe, abre el archivo adjunto malicioso inmediatamente. El actor de la amenaza ha instalado con éxito el malware en la red.
4. Hacerse pasar por el servicio técnico
Hacerse pasar por el servicio de asistencia técnica y llamar a otros miembros del personal también es uno de los favoritos. Hay muchas variantes de esta estafa.
- Una técnica consiste en llamar a recepción. Preguntan por un nombre que han escogido de LinkedIn o de otro sitio. Cuando consiguen hablar con ellos, explican que son del servicio técnico, o del centro de datos remoto, o algo parecido.
- “Parece que estás engullendo espacio en el disco duro del servidor, ¿estás copiando muchos datos o algo así?“.
- Por supuesto, la persona dice que no. Después de algunas preguntas más y de que el ingeniero de soporte técnico teclee frenéticamente, llegan a la conclusión de que la cuenta del empleado ha sido comprometida. Parece que alguien está almacenando datos de la empresa, listo para copiarlos fuera de la red. Cada vez más excitado, les pide que cierren la sesión y la vuelvan a abrir. “No, no ha cambiado nada. Sigue pasando”.
- El técnico, que hace un esfuerzo audible por mantener la calma, le dice al empleado que va a matar por la fuerza todos los procesos de esa cuenta.
- “Pero si hago eso, tendré que volver a conectarte, no podrás hacerlo. ¿Cuál es tu nombre de usuario? OK, gracias. ¿Y cuál es su contraseña actual? Lo tengo, OK, cierra la sesión ahora“.
- Tras una breve pausa, el ingeniero de soporte dice: “Estupendo, lo he detenido. De hecho, puede volver a conectarse y seguir con normalidad, después de todo no he tenido que borrar su cuenta“. Estarán muy agradecidos y darán las gracias al empleado por su ayuda. Deben estar agradecidos. Ahora tienen una cuenta que pueden utilizar para acceder a tu red.
Estos son ejemplos de ataques exitosos de ingeniería social que están ocurriendo hoy en día.
Ataques en persona
Obtener acceso físico a sus instalaciones permite al actor de la amenaza la oportunidad de realizar una variedad de acciones que comprometen aún más su seguridad.
1. Túneles SSH inversos
Los cortafuegos normalmente permiten que el tráfico salga de una red mucho más fácilmente de lo que el tráfico puede entrar. Los cortafuegos son guardias fronterizos, y la mayor parte de su atención se centra en lo que entra por la frontera. El tráfico que sale suele ser una preocupación secundaria.
- El actor de la amenaza puede crear dispositivos a partir de ordenadores baratos de una sola placa, como el Raspberry Pi, que, una vez conectados a una red, realizan una conexión saliente cifrada con el servidor del actor de la amenaza. Normalmente, un cortafuegos no está configurado para impedirlo.
- A continuación, el actor de la amenaza realiza una conexión cifrada de vuelta al dispositivo que ha plantado utilizando la conexión ya establecida desde la Raspberry Pi. Esto le da acceso remoto a tu red. Es una técnica llamada túnel SSH inverso.
Estos dispositivos encubiertos pueden esconderse dentro de fuentes de alimentación de viejos portátiles u otros dispositivos inocuos y enchufarse rápidamente detrás de equipos como grandes impresoras.
Las impresoras necesitan alimentación de red y un punto de red. Los puntos de red suelen suministrarse por pares, al igual que las tomas de corriente. La impresora sólo necesita uno de cada. Detrás de la impresora están las conexiones que necesita el aparato y un buen escondite.
2. Memorias USB
El actor de la amenaza puede simplemente coger un portátil y marcharse. Puede infectar la red con malware desde una memoria USB.
- Pueden dejar memorias USB llenas de malware cerca de las máquinas de café, en los baños o en escritorios vacíos. Suele haber un manojo de llaves conectado a la memoria USB.
- Cuando se descubre la memoria USB, la pregunta en la mente del miembro del personal es “¿Quién se ha olvidado las llaves?”, no “Hmm – aquí hay una memoria USB anónima“.
- Ese ligero cambio de mentalidad es importante. Perder las llaves es un gran problema. Quien las encuentra quiere que se las devuelvan a su dueño. ¿Cómo pueden averiguarlo? Tal vez haya algo en el lápiz de memoria que permita identificar al propietario.
- Hay archivos en dispositivo de memoria. Pueden parecer un PDF o un documento de Word, pero son malware camuflado. Si tienen títulos llamativos como “Planes de redundancia Fase 1”, será casi imposible que el miembro del personal no haga clic en ellos.
- Es posible autoejecutar programas en cuanto se insertan las unidades USB, lo que significa que el miembro del personal ni siquiera tiene que hacer clic en nada. Pero si la ejecución automática está desactivada -como debería ser-, tener archivos con títulos irresistibles es una estrategia alternativa habitual.
Un enfoque similar consiste en que el autor de la amenaza recoja material promocional de una empresa auténtica, como una empresa de mensajería.
- Adjuntan una memoria USB a cada uno de ellos. El actor de la amenaza se presenta en recepción y entrega tres o cuatro copias. Le pregunta al recepcionista si no le importaría pasárselos a la persona encargada de los envíos.
- Casi con toda seguridad, el recepcionista reservará una para sí mismo y, en cuanto el actor de la amenaza haya abandonado el edificio, la probará en su ordenador.
3. Acceder al edificio
Para pasar la recepción, los actores de amenazas se han hecho pasar por todo tipo de repartidores. UPS, servicios postales de Estados Unidos, repartidores de flores, mensajeros en moto, repartidores de pizza y repartidores de donuts, por nombrar algunos. Se han hecho pasar por agentes de control de plagas, trabajadores de la construcción e ingenieros de mantenimiento de ascensores.
- Llegar para mantener una reunión con alguien que el actor de la amenaza sabe que no está en la oficina (gracias a X o LinkedIn) es sorprendentemente eficaz. Por supuesto, se trata de alguien de alto rango.
- El recepcionista intenta llamar al empleado y dice que no contesta al teléfono. El actor de la amenaza dice que se lo esperaba. Han mantenido una conversación por mensaje de texto y el miembro del personal ha dicho que su reunión anterior parece que va a desbordarse.
- “Me han sugerido que espere en la cantina. Vendrán a por mí cuando estén libres. ¿Podría alguien indicarme dónde está, por favor?“.
- En el tailgating, el actor de la amenaza utiliza la entrada válida de otra persona al edificio como medio para entrar por la misma puerta. Un truco consiste en esperar en un punto de fumadores externo y entablar conversación. El actor de la amenaza se presenta. Consiguen el nombre de su interlocutor. Lo que quieren que ocurra es que otras personas lleguen al punto de fumadores mientras ellos ya están conversando. Esperarán hasta que el primer miembro del personal vuelva a entrar en el edificio. Se despedirán de ellos y se dirigirán a ellos por su nombre.
- Los recién llegados ni siquiera se preguntarán si esa persona es un miembro del personal. Está aquí en su punto de fumada, riendo y charlando con otros miembros del personal y dirigiéndose a ellos por su nombre.
- A continuación, el actor de la amenaza charla con los recién llegados. Les pregunta si conocen a la persona que acaba de marcharse y les dice que es un buen tipo.
- Cuando la segunda oleada de fumadores regresa al edificio, el actor de la amenaza les acompaña. Dejan que los miembros del personal introduzcan su código o utilicen su llavero o llave.
- Cuando se abra la puerta, hará ademán de mantenerla abierta y de hacer un gesto para que entre el personal real. A continuación, les sigue dentro.
Estamos tratando con personas, así que no hace falta decir que las defensas giran en torno a la formación, las políticas y los procedimientos.
- Juegos de rol y ensayos en equipo: Ensaye los procedimientos con los equipos y considere la posibilidad de realizar sesiones de juegos de rol con ingenieros sociales benignos y experimentados.
- Empresas de seguridad y pruebas de penetración: Las empresas de seguridad pueden ser contratadas para utilizar todas las técnicas descritas aquí y más para tratar de penetrar en sus defensas. Si sus ataques tienen éxito, le servirán de guía para reforzar aún más su seguridad mejorando los procedimientos o aplicando más control a los procedimientos existentes. Al igual que las pruebas de penetración que sondean sus defensas técnicas, la susceptibilidad a la ingeniería social debe comprobarse periódicamente. Puede combinarlo con una campaña benigna de phishing.
- Seguridad de dispositivos USB: Desactive la ejecución automática de los dispositivos USB. Trate las memorias USB anónimas como la caja de Pandora.
- Política de solicitudes externas: Tenga una política para las solicitudes fuera de los límites. Son peticiones que rompen el protocolo. Piden algo que normalmente no cumplirías, pero que podrías estar tentado a hacer porque es una emergencia. O algo excepcional. O circunstancias especiales. O porque necesita un descanso. No pongas a tus empleados en la disyuntiva de querer ayudar y saber que no deben hacerlo. Disponga de un procedimiento al que puedan adherirse.
- Escaneado de redes e identificación de nuevos dispositivos: Realice escaneos de red e identifique y examine los nuevos dispositivos que se han conectado a la red.
- Protección de credenciales de inicio de sesión: No facilite nunca al servicio de asistencia técnica, ni a nadie, sus credenciales de inicio de sesión. Nunca se las pedirán. Si le piden este tipo de información, son un fraude.
- Seguridad en las llamadas telefónicas: Si recibes una llamada telefónica en la que te piden información confidencial que has facilitado previamente, lo más seguro es que cuelgues y vuelvas a llamar.
- Política de acompañamiento de visitantes: Nunca dejes a los visitantes solos y acompáñalos siempre. Deje que los visitantes esperen a su contacto en recepción.
Fomentar una cultura de seguridad en su empresa le reportará beneficios y es la base de un planteamiento de seguridad a varios niveles.