En los ataques de ingeniería social, se manipula a las víctimas para que den información confidencial que puede ser utilizada con fines maliciosos.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es una fuga de datos?
¿Seguridad de aplicaciones web?
Ataque por fuerza bruta
Ataques en ruta
Ataque de desbordamiento de búfer
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
A grandes rasgos, la ingeniería social es la práctica de manipular a las personas para que den información confidencial. Los ataques de ingeniería social pueden producirse en persona, como un ladrón que se disfraza de repartidor para entrar en un edificio. Este artículo se centra en los ciberataques de ingeniería social. En la mayoría de los casos, estos ataques tienen como objetivo hacer que la víctima divulgue sus credenciales de acceso o información financiera confidencial.
Además de este tipo de pequeñas estafas personales de ingeniería social, también hay ataques de ingeniería social más sofisticados dirigidos contra organizaciones enteras, como por ejemplo dejar tiradas memorias USB. Estos ataques pueden dirigirse a las redes de empresas bien protegidas, incluso a las que no están conectadas a Internet. Los atacantes dejan tiradas varias memorias USB por el aparcamiento de la empresa objetivo. Les ponen una etiqueta atractiva, como "confidencial", con la esperanza de que algún empleado curioso encuentre una y la meta en su ordenador. Estas unidades pueden contener virus o gusanos muy destructivos, que serán difíciles de detectar, ya que entran en la red desde un ordenador local.
La fuga de datos de 2011 de RSA creó un gran revuelo, principalmente porque RSA es una empresa de seguridad de confianza. Esta fuga alteró el popular servicio de autenticación en dos fases de RSA, SecurID. Aunque no se han hecho públicos todos los detalles del ataque, se sabe que empezó con un ataque de ingeniería social. El ataque se inició con un ataque básico de phishing, en el que los atacantes enviaron a empleados de bajo nivel de RSA correos electrónicos que parecían ser correos de la empresa relacionados con contrataciones. Uno de estos empleados abrió un archivo adjunto en este correo electrónico que desencadenó el ataque.
La agencia de noticias Associated Press fue víctima de un ataque de ingeniería social en 2013, que provocó un desplome bursátil de 136 000 millones de dólares. Una vez más, esto se produjo mediante un ataque de phishing enviado a los empleados. Bastó con que uno de los empleados abriera un enlace en un correo electrónico para que se desencadenara el ataque, que provocó que la cuenta de Twitter de AP se viera comprometida, y los atacantes tuitearan una noticia falsa sobre una explosión en la Casa Blanca. Esta noticia falsa se difundió muy rápido y provocó una caída en picado de 150 puntos del Dow Jones. Un grupo de hackers sirios conocido como el Ejército Electrónico Sirio se atribuyó la responsabilidad del ataque, pero nunca aportó ninguna prueba.
El ataque de fuga de datos llevado a cabo contra Target en 2013 se ha convertido en uno de los ciberataques más infames de la historia gracias a su nivel de sofisticación. Igual que pasó con los otros mencionados anteriormente, este ataque empezó con ingeniería social, pero los atacantes no fueron a por nadie que trabajara en Target. Esta vez enviaron correos electrónicos a los empleados de un proveedor de calefacción y aire acondicionado que había instalado aparatos de aire acondicionado de alta tecnología en las tiendas de Target. Estos aparatos de aire acondicionado estaban conectados a los sistemas informáticos de las tiendas de Target, y una vez que los atacantes fueron capaces de poner en riesgo al proveedor externo, pudieron hackear las redes de Target y recopilar datos de las tarjetas de crédito de los escáneres de tarjetas de miles de tiendas, sacando a la luz los datos financieros de alrededor de 40 millones de clientes de Target.
Aunque las funciones de seguridad automatizadas, como la detección del correo electrónico, pueden ayudar a evitar que los atacantes se pongan en contacto con las víctimas, la mejor defensa contra los ataques de ingeniería social es el sentido común, combinado con un conocimiento actualizado de los ataques de ingeniería social más populares. El United States Computer Emergency Readiness Team (US-CERT) aconseja a los ciudadanos que desconfíen de cualquier comunicación sospechosa, y que solo envíen información confidencial por la web en páginas web seguras (HTTPS y TLS son buenos indicadores de la seguridad de un sitio web). También recomiendan que no se haga clic en los enlaces enviados en los correos electrónicos y, en su lugar, escribir las urls de las empresas de confianza directamente en el navegador. Los propietarios de sitios web pueden poner de su parte utilizando un servicio como Cloudflare CDN, que les alertará cuando los atacantes estén utilizando su dominio en ataques de phishing.