La ingeniería social o el sofisticado mundo de los delitos informáticos psicológicos usa la influencia y la persuasión para engañar a las personas convenciéndolas de que el ingeniero social es alguien que no es, o por manipulación.
Durante un período de casi cuatro años (desde 2013 hasta finales de 2016) ciberataques, que incluyeron tácticas engañosas de ingeniería social como spear-phishing, water-holing, baiting y varios otros tipos con nombres igualmente llamativos había costado a las empresas 1.600 millones de dólares, según el FBI. Además se supo, muchas grandes corporaciones fueron estafadas por esta modalidad de cibercrimen: Associated Press, Sony Pictures, Yahoo, la Convención Nacional Demócrata e incluso el Departamento de Justicia de los Estados Unidos.
¿Qué es la ingeniería social en ciberseguridad?
Allá por 1992, Kevin Mitnick conocido como ‘El hacker más buscado del mundo’, persuadió a alguien de Motorola para que le diera el código fuente de su nuevo teléfono plegable, el MicroTac UltraLite. El hacker, explicó cómo lo logró en el Capítulo 3 de un libro que Mitnick coescribió titulado “El camino de la menor resistencia”. Entre otras cosas, desvela que caer presa de la ingeniería social tiene menos que ver con medidas tecnológicas de defensa inadecuadas y más con la mente humana. Como lo expresaron Mitnick y su coautor en su introducción:
La ingeniería social usa la influencia y la persuasión para engañar a las personas al convencerlas de que el ingeniero social es alguien que no es, o por manipulación. Como resultado, el ingeniero social es capaz de aprovechar las personas para obtener información con o sin el uso de la tecnología.
Hay ejemplos de llamados a personas haciéndose pasar por alguien quien supuestamente tuvo un accidente o no puede comunicarsecon el fin de solicitar sus correos electrónicos, contraseñas de seguridad, el PIN de una cuenta o de un cajero, información de la seguridad social y mucho más. Esta técnica dentro de la ingeniería social se llama vishing o voice solicitation (una voz que solicita algo).
Los expertos en ciberseguridad aseguran que:
La situación ideal en un ataque de ingeniería social es que el estafador consigue que hagas algo que normalmente no harías y crees que me estás ayudando. Y estarás tan satisfecho de haber ayudado, que te irás sintiéndote satisfecho.
En 2014, solo un año después de un ataque que se reveló, había robado la información personal de tres mil millones de usuarios de Yahoo, la compañía fue atacada nuevamente, esta vez con un correo electrónico de spear phishing que engañó a un empleado y esto hizo comprometer a 500 millones cuentas. El Departamento de Justicia de Estados Unidos acusó del crimen a agentes de inteligencia rusos.
Los ingenieros sociales no operan en el vacío. Sus trabajos se ven facilitados por una cultura de sobrecompartición desenfrenada en las redes sociales. Nombres, fechas, ubicaciones, gustos, disgustos, inclinaciones políticas, inclinaciones sexuales: todo son cosas útiles para alguien que quiere hacearte a ti o a tu empresa. Tanto en Internet, como en persona, el conocimiento es poder.
La inteligencia artificial podría crear un caos de ataques cibernéticos en el futuro
A medida que la inteligencia artificial se vuelve más inteligente, se está acumulando una verdadera explosión de la ingeniería social. Los expertos aseguran que se trata de
La inteligencia artificial es una nueva cara de la piratería que es mucho más profunda y tridimensional.
Olvídese de los ejércitos de bots de Twitter que escupen mentiras y de historias falsas de Facebook diseñadas para fomentar protestas o frustrar la participación de los votantes; algo mucho más perverso viene con la inteligencia artificial. Y su llegada es inminente.
Imagínese que la inteligencia artificial produjo a un humano que dice: “Hola, soy Gregory de su compañía telefónica y he secuestrado a su esposo, Jerry. Pague este rescate “. O, “Hola, abuela, necesito 500 dólares. Mi auto se descompuso” (pero con la voz del nieto).
Será tan convincente, que la abuela solo hará una pregunta: “¿A dónde envío el dinero?”.
¿Dónde obtendrá la inteligencia artificial estas muestras de voz para propósitos tortuosos? No busque más allá de Instagram, Facebook, Twitter y YouTube, todos los cuales contienen muchos videos personales. Lo que significa que el potencial de reajuste de la imagen es igualmente alto, como lo demuestran los recientes clips a medio hacer con el director ejecutivo de Facebook, Mark Zuckerberg, y la presidenta de la Cámara de Representantes, Nancy Pelosi. Llamados “deepfakes” y hasta ahora no regulados legalmente, pronto serán incluso más fáciles de hacer de lo que ya son, más difíciles de detectar y ampliamente difundidos.
A medida que aumenta este caos impulsado por la inteligencia artificial, los piratas informáticos mal intencionados usarán la tecnología para rastrear cuentas de redes sociales individuales en busca de patrones reconocibles entre usuarios conectados (amigos, familiares, colegas) para lanzar ataques dirigidos adicionales. Pueden generar llamadas automáticas con guión y potenciadas por inteligencia artificial, que podrían ascender a cientos de miles. Eso es lo que se conoce en el mundo empresarial como escalabilidad.
8 ejemplos conocidos de ataques de ingeniería social y su significado
Cebo (baiting)
Los atacantes atraen a posibles objetivos ofreciéndoles algún tipo de recompensa.
Robo de desvío (Diversion Theft)
Los atacantes engañan a los objetivos físicos y en línea para que redirijan mercancías o información confidencial.
Trampa de miel (Honeytrap)
Los atacantes seducen a los objetivos, a través de anuncios, correo electrónico y redes sociales, para que cedan información personal o entreguen información confidencial de un trabajo.
Quid pro quo
Los atacantes prometen bienes o servicios a cambio de información.
Suplantación de identidad (pishing)
El atacante envía correos electrónicos fraudulentos, pero a menudo de apariencia real, a miles de víctimas potenciales con la esperanza de que una parte de ellos divulgue información personal, incluidas contraseñas, números de seguridad social y números de tarjetas de crédito.
Pretextando (pretexting)
Los atacantes mienten sobre quiénes son o crean un escenario ficticio para extraer información personal confidencial.
Pícaro (rogue)
Los atacantes engañan a los objetivos para que compren software de seguridad falso y malicioso, a través del cual implementa ransomware, malware que bloquea el acceso a un sistema o datos hasta que se paga un rescate.
Spear Phishing
Los atacantes se hacen pasar por amigos o colegas conocidos para lanzar un ataque por correo electrónico dirigido a personas o empresas con el fin de obtener información personal o corporativa confidencial.
La ingeniería social avanza rápidamente, tanto que la lista de técnicas anteriores, todas las cuales pueden causar serios estragos, se está volviendo casi obsoleta.