Ya en otras publicaciones anteriores hemos comentado el problema tan grande que supone la ingeniería social hoy en día, tanto para las organizaciones como para los particulares. Se trata de uno de los principales métodos de ataque por parte de los ciberdelincuentes, y no parece detenerse.
Recordemos que los ingenieros sociales buscan explotar las vulnerabilidades de las personas para así manipularlas y conseguir que actúen según sus intereses. Para ello, contactan a la víctima a través de cualquier canal (correo electrónico, mensaje de texto, llamada telefónica e incluso cara a cara), en muchas ocasiones suplantando a una entidad conocida para generar una mayor credibilidad.
Gracias a un elevado estado de alerta fruto de una buena concienciación, es posible identificar este tipo de ataques, si bien algunos son más sofisticados que otros. Pero ¿qué pasaría si fuera la víctima quien necesita al atacante? Definitivamente sería mucho más complicado identificarlo.
Sí, puede sonar inverosímil que sea la víctima quien necesite al atacante. Y no, no hace falta ser una persona especialmente ingenua para caer en esta trampa. De hecho, se trata de una técnica con nombre propio: ingeniería social inversa.
Foto de Elisa Ventur en Unsplash
Ingeniería social inversa: ¿qué es?
Antes de nada cabe aclarar que, como su nombre indica, un ataque de ingeniería social inversa es, efectivamente, una variante de un ataque de ingeniería social. Por tanto, también va a buscar manipular a la persona objetivo para que actúe de una determinada forma. La razón por la que se denomina “inversa” es porque, tal y como se ha mencionado en el párrafo anterior, no es el atacante quien busca a la víctima, sino al revés. ¿Y cómo puede ser esto?
Al igual que los humanos tendemos a ayudar a otras personas cuando están en apuros, también hay ocasiones en las que somos nosotros los que necesitamos ayuda. Y de esto es de lo que se aprovecha este tipo de técnica.
Por esta razón, el primer paso de la ingeniería social inversa es generar una necesidad en la víctima. Por lo general, se realiza a través de una llamada telefónica en la que se expone el supuesto problema, aunque, en los casos más sofisticados, todo comienza con un primer correo de phishing que hace que el sistema deje de funcionar correctamente. De esta forma, el atacante se presenta como la solución a este problema.
Foto de Austin Distel en Unsplash
Puede que se haya manipulado algún dato previamente que haga pensar al objetivo que el teléfono con el que está contactando es del servicio técnico legítimo o, en otras ocasiones, es el propio atacante quien se identifica como un ayudante para solucionar el supuesto problema. En cualquier caso, es la víctima quien cree que está recibiendo ayuda cuando, en realidad, está proporcionando datos sensibles e incluso cediendo el control en remoto al ingeniero social.
En este vídeo del Instituto Nacional de Ciberseguridad (INCIBE) se muestra cómo la atacante genera una necesidad en el trabajador y, por su propia petición, acaba cediéndole el control de su ordenador.
Es precisamente por esta razón por lo que se trata de una técnica tan peligrosa: porque es la víctima quien cree necesitar la ayuda del atacante y, por tanto, las probabilidades de sospecha se reducen drásticamente.
¿Cómo proteger a los empleados de este tipo de ataque?
La respuesta es obvia: con concienciación. Es preciso que la plantilla conozca qué es la ingeniería social, cómo funciona y las distintas formas que puede tomar. Solo así es posible mantener un estado de alerta adecuado que permita identificar un ataque.
Kymatio® dispone de un módulo de concienciación personalizado para cada usuario en función de sus necesidades. Además, con Kymatio® Trickster se pueden llevar a cabo simulaciones de phishing y smishing (entre otras funcionalidades ) para corroborar la reacción de los empleados ante estas situaciones realistas.
