Los mensajes de phishing basados en la ingeniería social continuarán su gran crecida durante 2023, según los datos de nuestra empresa hermana, WatchGuard. Es decir, los hackers van a tomarse más tiempo en enviar comunicaciones fraudulentas a sus víctimas, ya que antes de ponerse en contacto con ellas, estudiarán en profundidad quiénes son para que, al contactar con ellas, sus mensajes sean mucho más creíbles.

A medida que la informática evoluciona, los ciberestafadores lo hacen con ella, adaptando sus métodos a las nuevas oportunidades que les ofrecen metodologías como la ingeniería social.  Estas son estrategias con las que los hackers roban datos, contraseñas e información sensible de los usuarios mediante el engaño. Al ser el eslabón humano el más débil de la cadena en cuestiones de ciberseguridad, los delincuentes se aprovechan de esta vulnerabilidad para infectar empresas con ransomware, por ejemplo.

Ataques de Spear SMSishing y Spear WhatsApphising

De hecho, el SMSishing, que es una forma de hacer phishing, pero a través de mensajes de texto en el móvil, ha aumentado de manera constante durante los últimos años. Se trata de una técnica que los hackers van puliendo con los años para que sea cada vez más efectiva.

Por medio de la ingeniería social, los ciberdelincuentes cada vez saben cada vez más cosas sobre sus víctimas para enviarles mensajes cada vez más personalizados y creíbles. Así, y al igual que ocurrió con los ataques por correo electrónico, el SMSishing comenzó con mensajes no dirigidos que se enviaban a grandes grupos de usuarios, últimamente se han convertido en textos más específicos que se hacen pasar por mensajes de alguien que conoces. Los hackers se hacen pasar por un familiar o incluso por el jefe o un compañero de trabajo.

Sin embargo, los hackers son conscientes de que las herramientas de mensajería como WhatsApp, Facebook Messenger e incluso Teams o Slack se usan mucho más y con mucha más rapidez que el tradicional SMS.

Por eso, cada vez más se introducen en entornos empresariales para hacer robos mucho más planificados y mucho más cuantiosos. En este sentido, la estafa que más prolifera basada en la ingeniería social es el fraude del CEO.

¿Has recibido un WhatsApp de tu jefe pidiéndote que le ayudes a configurar una cuenta para un proyecto en el que está trabajando? Pues aunque no lo creas, antes de empezar a ayudarle,  quizás deberías llamarle o contactar con él a través de algún otro medio de comunicación para verificar que realmente es esa persona.

¿En qué consiste la ingeniería social?

Básicamente, la ingeniería social es capaz de aprovechar los sesgos cognitivos de las personas, una característica de la que por ahora las máquinas carecen; por ejemplo, valiéndose de la confianza que puede provocar una figura de autoridad, un familiar o una gran empresa. De esta forma, los hackers se hacen pasar por una de estas figuras para acercarse a la víctima y obtener todo tipo de información personal o financiera.

Estos métodos son cada vez más habituales y peligrosos, tanto que hasta la Comisión Federal de Comercio de EEUU se hizo eco de ellas advirtiendo a la ciudadanía sobre un grupo de ciberdelincuentes, que se hacían pasar por caseros, ofreciendo propiedades reales en alquiler, pero quedándose con el dinero de las víctimas sin ofrecer nada a cambio. La base de esta estafa era obtener información personal de los caseros, su correo y contraseña para poder suplantarlos, evitando así que el usuario con el que contactan, sospeche.

Entre los casos más famosos de hackeos en los que se utilizó la ingeniería social para acceder a datos sensibles, figura el ciberataque a Sony Pictures en 2014 o el reciente pirateo de cuentas de Twitter a personalidades como Elon Musk, Obama o Bill Gates. El peligro de esta estrategia radica en que la víctima no suele darse cuenta del engaño hasta que es demasiado tarde, siendo en mucha ocasión imposible recuperar el dinero o el control sobre los datos personales.

“Los ataques suelen comenzar con un correo, un mensaje directo a través de redes sociales o aplicaciones de mensajería, un mensaje de voz e incluso una llamada aparentemente inofensiva y de una supuesta fuente fiable. Dentro de la ingeniería social, existen distintas técnicas a las que se les ha dado nombre para poder identificarlas y a su vez, prevenirlas”, advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security.

Antivirus Gratis

Phishing

La más famosa es el phishing, un método del que no escapa nadie, desde el presidente de los Estados Unidos hasta un estudiante de instituto. Los ciberestafadores se comunican con sus víctimas, normalmente a través del correo electrónico, haciéndose pasar por una fuente fiable como un banco, una empresa de electricidad o de algún servicio básico o incluso una plataforma de compra venta como Amazon. En estos mensajes pueden pedir a la víctima de forma directa sus datos o instarla a acceder a un link para loguearse en el supuesto servicio.

El problema es que la web, aunque en apariencia sea como la de la fuente que dice ser la remitente del correo, en realidad es un portal fraudulento, creado por los propios hackers, para que la víctima introduzca sus datos creyendo que es una web legítima. Por eso, la mejor recomendación es fijarse siempre en las distintas señales identificativas de la web original, como la url o el icono con un candado verde junto a la dirección web. Desconfía también si tu banco te pide datos personales o el código pin, esto es algo que nunca haría una entidad bancaria. Para terminar de asegurarte, llama al teléfono de atención al cliente del supuesto remitente del correo y pregunta sobre la comunicación que te ha llegado.

Vishing

Esta estafa es una ramificación del phishing, sólo que la comunicación es por voz. Los ciberestafadores suplantan un número telefónico de fuentes fiables como entidades gubernamentales o grandes empresas, haciéndose pasar por técnicos, empleados, alguien de recursos humanos o incluso compañeros de trabajo. De esta forma, tratan de ganarse la confianza de la persona con la que contactan para preguntarle datos personales o de la empresa en la que trabaja.

Whaling

Al igual que en el vishing, los estafadores suplantan la identidad de compañeros de trabajo para obtener información de una empresa, el whaling trata de simular ser CEO o un cargo importante dentro de una gran empresa, para atacar directamente a altos cargos o directivos de esa misma organización, obteniendo así información valiosa, además de claves y contraseñas. Comparte técnicas con el phishing como la creación de portales fraudulentos y comunicaciones con los logos y la estética de la empresa a la que suplantan.

Smishing

Es un tipo de phishing, que se lleva a cabo a través de SMS, cuya clave está en la celeridad que demanda el atacante durante su comunicación con la víctima. Suelen simular una situación de urgencia de un compañero o familiar, para provocar una reacción rápida, impidiendo la reflexión para evitar que descubra que es una estafa.

Baiting

No todas las formas de estafa son digitales, el baiting es un híbrido. Los hackers dejan en sitios estratégicos USB infectados con malware, lugares como estaciones de autobús, tren o metro, establecimientos públicos o universidades. De esta forma, gracias a la curiosidad innata del ser humano, logran infectar el ordenador del incauto que conecte el USB extraviado para mirar su contenido.

Cómo evitar las estafas a través de ingeniería social

No hace falta ser un experto en tecnología para evitar la mayor parte de las técnicas de ingeniería social, basta con prestar atención a ciertas señales y seguir buenas prácticas como instalar un antivirus de confianza, capaz de proteger de amenazas avanzadas y ciberataques, como Panda Dome Advanced; o configurar la cuenta de correo electrónico para reforzar los filtros de spam.

También es aconsejable investigar el remitente de la comunicación, llamando al servicio al cliente oficial de la empresa o poniéndose en contacto con el familiar o compañero que supuestamente se está comunicando. Asimismo desconfía de ofertas y ventajas demasiado buenas a coste cero, ya que suelen ser un gancho de las estafas que utilizan ingeniería social.