Trace Id is missing

Aprovechar la economía de confianza: el fraude de la ingeniería social

Compartir
La silueta de una persona hecha de código que sostiene una máscara y sale de un teléfono. Les siguen burbujas rojas que representan a los actores de amenazas.

En un mundo cada vez más en línea, donde la confianza es a la vez una moneda y una vulnerabilidad, los actores de las amenazas tratan de manipular el comportamiento humano y aprovecharse de la tendencia de la gente a querer ayudar. En esta infografía, exploraremos la ingeniería social, incluyendo por qué los actores de amenazas valoran las identidades profesionales por encima de todas las demás, a la vez que le mostramos algunas de las formas en que manipulan la naturaleza humana para lograr sus objetivos.

Ingeniería social y el atractivo delictivo del phishing

Aproximadamente el 901 ataques de phishing implican tácticas de ingeniería social diseñadas para manipular a las víctimas -normalmente a través del correo electrónico- para que revelen información confidencial, hagan clic en vínculos maliciosos o abran archivos maliciosos. Los ataques de suplantación de identidad son rentables para los atacantes, se pueden adaptar para ayudar a eludir las medidas de prevención y cuentan con altas tasas de éxito.

Los mecanismos del comportamiento humano

Las técnicas de ingeniería social tienden a basarse en el uso de la confianza y la persuasión por parte del atacante para convencer a sus objetivos de que realicen acciones que, de otro modo, no serían comunes. Tres mecanismos eficaces son la urgencia, la emoción y el hábito.2 Urgencia  A nadie le gusta perder una oportunidad o incumplir una fecha límite importante. La sensación de urgencia puede llevar a que los objetivos, que de otro modo se comportarían de forma racional, entreguen información personal.
Ejemplo: Falsa urgencia
Notificación de firma electrónica: Documento para revisión y firma de DocuSign. Mensaje importante.
"La característica principal de un correo electrónico de phishing es adjuntar algún tipo de marco temporal. Quieren presionarte para que tomes una decisión en poco tiempo".
Jack Mott: Inteligencia contra amenazas Microsoft

Emoción

La manipulación emocional puede dar ventaja a los ciberatacantes, ya que los seres humanos son más propensos a realizar acciones arriesgadas en un estado emocional exacerbado, especialmente si hay miedo, culpa o ira de por medio.

 

Ejemplo: Manipulación emocional

"El señuelo más eficaz que he visto hasta ahora era un correo electrónico muy breve que decía que tu cónyuge nos había contratado para preparar tus papeles de divorcio. Haz clic en el vínculo para descargar tu ejemplar".
Sherrod DeGrippo: Inteligencia contra amenazas Microsoft

Hábito

Los delincuentes son buenos observadores del comportamiento y prestan especial atención a los hábitos y rutinas que la gente realiza "con el piloto automático", sin pensar demasiado.

 

Ejemplo: Hábito común

En una técnica conocida como "quishing3", los estafadores se harán pasar por una empresa creíble y te pedirán que escanees un código QR en su correo electrónico. Por ejemplo, pueden decirte que necesitas escanear el código porque el pago de una factura no se ha realizado o que necesitas restablecer tu contraseña.

"Los actores de la amenaza se adaptan a los ritmos del negocio. Son geniales a la hora de implementar señuelos que tienen sentido en el contexto en el que normalmente los recibimos".
Jack Mott: Inteligencia contra amenazas Microsoft

El límite entre la vida personal y profesional de un empleado puede, a veces, converger. Un empleado puede utilizar su correo electrónico de trabajo para cuentas personales que utilice para el trabajo. A veces, los actores de amenazas intentan aprovecharse de ello haciéndose pasar por uno de estos programas para acceder a la información corporativa de un empleado.

Diagrama que muestra: programas de fidelización, redes sociales, entrega, transporte compartido, banca/inversión, streaming. Este diagrama muestra ejemplos de cómo los actores de amenazas intentan acceder a la información corporativa de un empleado
"En las estafas de phishing por correo electrónico, los ciberdelincuentes buscan en sus "señuelos" direcciones de correo electrónico corporativas. No merecen la pena las direcciones personales de correo web. Las direcciones de trabajo son más valiosas, por lo que dedicarán más recursos y se centrarán más en personalizar los ataques para esas cuentas".
Jack Mott: Inteligencia contra amenazas Microsoft

La "estafa larga"

Los ataques de ingeniería social no suelen ser rápidos. Los ingenieros sociales tienden a ganarse la confianza de sus víctimas a lo largo del tiempo mediante técnicas laboriosas que comienzan con una investigación. El ciclo de este tipo de manipulación podría ser el siguiente:
  • Investigación: Los ingenieros identifican un objetivo y recopilan información de fondo, como posibles puntos de entrada o protocolos de seguridad.
  • Infiltrarse: Los ingenieros se centran en establecer la confianza con el objetivo. Crean una historia, captan al objetivo y toman el control de la interacción para dirigirla de forma que beneficie al ingeniero.
  • Aprovecharse: Los ingenieros sociales obtienen la información del objetivo a lo largo del tiempo. Normalmente, el objetivo entrega esta información voluntariamente, y los ingenieros pueden utilizarla en su beneficio para acceder a más información confidencial.
  • Retirarse: Un ingeniero social llevará la interacción a un final natural. Un ingeniero experto lo hará sin que el objetivo sienta desconfianza

Los ataques de BEC destacan en el sector del ciberdelito debido a su énfasis en la ingeniería social y el arte del engaño. Los ataques de BEC de éxito cuestan a las organizaciones cientos de millones de dólares al año. En 2022, el Internet Crime Complaint Center de la Oficina Federal de Investigaciones (FBI) registró pérdidas ajustadas de más de 2700 millones de USD por 21 832 denuncias de BEC presentadas.4

Los principales objetivos de BEC son los ejecutivos y otros líderes de alto nivel, directores financieros y el personal de recursos humanos con acceso a registros de empleados como números del seguro social, declaraciones de impuestos u otra información personal identificable. También son un objetivo los nuevos empleados, que es menos probable que verifiquen las solicitudes de correo extrañas.

Prácticamente todas las formas de ataques de BEC están en alza. Entre los tipos de ataques BEC más comunes se incluyen:5

  • Compromiso directo de correo electrónico (DEC): Las cuentas de correo electrónico comprometidas se utilizan para ejecutar ingeniería social en roles de contabilidad internos o de terceros para transferir fondos a la cuenta bancaria del atacante o cambiar la información de pago de una cuenta existente.
  • Compromiso del correo electrónico del proveedor (VEC): Ingeniería social de una relación existente con un proveedor mediante el secuestro de un correo electrónico relacionado con el pago y la suplantación de empleados de la empresa para convencer a un proveedor de que redirija el pago pendiente a una cuenta bancaria ilícita.
  • Estafa de facturas falsas: Una estafa masiva de ingeniería social que se aprovecha de marcas comerciales conocidas para convencer a las empresas de que paguen facturas falsas.
  • Suplantación de abogado: El aprovechamiento de las relaciones de confianza con grandes bufetes de abogados de renombre para aumentar la credibilidad ante los ejecutivos de pequeñas empresas y start-ups con el fin de completar el pago de facturas pendientes, especialmente antes de acontecimientos significativos como las ofertas públicas iniciales. La redirección de los pagos a una cuenta bancaria ilícita se produce una vez alcanzado un acuerdo sobre las condiciones de pago.

Octo Tempest

Octo Tempest es un colectivo de actores de amenazas nativos de habla inglesa con motivaciones económicas, conocidos por lanzar campañas de gran alcance que destacan por sus técnicas de ataque tipo man-in-the-middle (AiTM), ingeniería social y capacidades de intercambio de SIM.

Escenario de phishing: Usuario introduce contraseña, MFA, redirigido; proxy malicioso implicado

Diamond Sleet

En agosto de 2023, Diamond Sleet llevó a cabo un ataque a la cadena de suministro de software del proveedor de software alemán JetBrains que comprometió servidores para procesos de creación, prueba e implementación de software. Dado que Diamond Sleet se ha infiltrado con éxito en entornos de compilación en el pasado, Microsoft considera que esta actividad supone un riesgo especialmente alto para las organizaciones afectadas.

Sangria Tempest6

Sangria Tempest, también conocido como FIN, destaca por tener como objetivo el sector de la restauración y robar datos de tarjetas de pago. Uno de sus señuelos más eficaces consiste en una acusación de intoxicación alimentaria, cuyos detalles pueden consultarse al abrir un archivo adjunto malicioso.

Sangria Tempest, que es principalmente de Europa del Este, ha utilizado foros clandestinos para reclutar a hablantes nativos de inglés, que reciben formación sobre cómo hacer que las tiendas envíen un señuelo por correo electrónico. El grupo ha robado decenas de millones de datos de tarjetas de pago a través de ese proceso.

Midnight Blizzard

Midnight Blizzard es un actor de amenazas con base en Rusia conocido por atacar principalmente a gobiernos, entidades diplomáticas, organizaciones no gubernamentales (ONG) y proveedores de servicios de TI, sobre todo en Estados Unidos y Europa.

Midnight Blizzard aprovecha los mensajes de Teams para enviar señuelos que intentan robar credenciales de una organización objetivo atrayendo a un usuario y obteniendo la aprobación de las solicitudes de autenticación multifactor (MFA).

¿Lo sabías?

La estrategia de nomenclatura de los actores de amenazas de Microsoft ha cambiado a una nueva taxonomía de nomenclatura para los actores de amenazas inspirada en temas relacionados con el clima.

Lista de amenazas naturales y cibernéticas

Aunque los ataques de ingeniería social pueden ser sofisticados, hay cosas que puedes hacer para evitarlos.7 Si eres inteligente con tu privacidad y seguridad, puedes vencer a los atacantes en su propio juego.

En primer lugar, instruye a los usuarios para que mantengan sus cuentas personales y no las mezclen con el correo electrónico del trabajo o con tareas relacionadas con el trabajo.

Además, asegúrate de imponer el uso de la MFA. Los ingenieros sociales suelen buscar información como las credenciales de inicio de sesión. Al habilitar la MFA, aunque un atacante consiga tu nombre de usuario y contraseña, no podrá acceder a tus cuentas ni a tu información personal.8

No abras correos electrónicos ni archivos adjuntos de fuentes sospechosas. Si un amigo te envía un vínculo en el que necesitas hacer clic urgentemente, confirma con él si el mensaje procede realmente de él. Haz una pausa y pregúntate si el remitente es quien dice ser antes de hacer clic en algo.

Pausa y verificación

Desconfía de las ofertas demasiado buenas para ser ciertas. No puedes ganar un sorteo en el que no has participado y ningún miembro de la realeza extranjera te va a dejar una gran cantidad de dinero. Si te parece demasiado tentadora, haz una búsqueda rápida para determinar si la oferta es legítima o una trampa.

No compartas demasiado en Internet. Los ingenieros sociales necesitan que sus objetivos confíen en ellos para que sus estafas funcionen. Si pueden encontrar tus datos personales en tus perfiles de redes sociales, pueden utilizarlos para que sus estafas parezcan más legítimas.

Protege tus ordenadores y dispositivos. Utiliza programas antivirus, firewalls y filtros de correo electrónico. En caso de que una amenaza llegue a tu dispositivo, dispondrás de protección para mantener a salvo tu información.

"Cuando recibes una llamada telefónica o un correo electrónico dudoso, la clave está en parar y verificar. La gente comete errores cuando actúa demasiado deprisa, así que es importante recordar a los empleados que no tienen por qué reaccionar de inmediato ante este tipo de situaciones".
Jack Mott: Inteligencia contra amenazas Microsoft

Obtén más información sobre cómo ayudar a proteger tu organización viendo El riesgo de la confianza: Amenazas de ingeniería social y ciberdefensa.

Artículos relacionados

Consejo experto sobre los tres retos más persistentes en ciberseguridad

Justin Turner, director principal del grupo de Investigación de Seguridad de Microsoft, describe los tres retos constantes a los que se ha enfrentado en su carrera en ciberseguridad: administración de la configuración, revisión y visibilidad de los dispositivos
Más información

El ciberdelito como servicio (CaaS) provoca un aumento del 38 % del fraude en el correo electrónico empresarial

El compromiso de correo empresarial (BEC) está en alza, ya que los cibercriminales pueden ocultar el origen de los ataques para que sean aún más nefastos. Obtén información sobre CaaS y cómo ayudar a proteger tu organización.
Más información

Microsoft, Amazon y las fuerzas de seguridad internacionales se unen para luchar contra el fraude en el soporte técnico

Descubre cómo Microsoft y Amazon han unido sus fuerzas por primera vez en la historia para acabar con los centros ilegales de soporte técnico en toda la India.
Más información

Seguir a Seguridad de Microsoft