Un nuevo informe de Intel Security y respaldado por el Centro Europeo del Cibercrimen de la Europol revela que las últimas técnicas de ingeniería social puestas en marcha por los cibercriminales son cada vez más sofisticadas y más difíciles de detectar. A través de estas técnicas, los cibercriminales consiguen que sus víctimas realicen acciones que normalmente no harían, y se suelen traducir en la pérdida de datos e información valiosa. Y también en cuantiosas pérdidas económicas y de reputación.

Intel-hacking-the-human-OS

Este informe, denominado “Hacking the Human OS”, llega días después de que 100 bancos de todo el mundo hayan confirmado que han sufrido ataques de malware que les causó daños estimados en 1.000 millones de dólares. Las redes y ordenadores de los bancos sufrieron ataques de phishing demostrando la debilidad inherente en el “firewall humano” y la necesidad de educar a los empleados sobre las principales técnicas de persuasión en el mundo digital.

Qué es la ingeniería social y categorías

Se trata de un conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y premeditada por los cibercriminales para la obtención de información de terceros. Podría denominarse también como el sutil arte del engaño llevado a cabo a través de los usuarios, que en definitiva son el eslabón débil y que no son conscientes del daño que pueden provocar. Un ataque que utilice ingeniería social puede dividirse en dos categorías:

◦Hunting: el objetivo es extraer información a través de una interacción mínima con el objetivo. Este enfoque generalmente implica un solo contacto entre el atacante y la víctima, y termina una vez que se ha conseguido la información.
◦Farming: en este caso el objetivo es establecer una relación continuada en el tiempo para “exprimir” al máximo a la víctima y extraer gran cantidad de información.

El informe también destaca un notable aumento en la sofisticación de las técnicas de ingeniería social. De hecho, los Laboratorios McAfee Labs han identificado un aumento en el uso de URLs sospechosas, con más de 30 millones identificadas a finales de 2014. Este aumento es atribuido al uso de nuevas URLs cortas, que con frecuencia esconden sitios web maliciosos y un aumento de las URLs de phishing. Estas URLs esconden en realidad el verdadero destino del enlace y suelen ser utilizadas por los cibercriminales para engañar a los empleados de las empresas. Es razonable preocuparse, teniendo en cuenta que un 18% de los usuarios está siendo víctimas de dichos emails de phishing.

El equipo de 500 investigadores de los laboratorios de McAfee Labs de Intel Security destaca el hecho de que dos tercios de los emails de todo el mundo son ahora spam destinado a la extorsión para obtener dinero e información confidencial del receptor. Esto supone que los consumidores y empleados deben estar alerta contra el phishing.

La importancia de la seguridad y la gestión de políticas nunca han sido más evidentes. Sin embargo, un reciente estudio de Enterprise Management Associates, destaca que sólo el 56% de los empleados ha recibido algún tipo de formación en seguridad, protocolos o políticas. El informe Hacking The Human OS de Intel Security revela algunas de las técnicas de persuasión básicas utilizadas actualmente por los cibercriminales, de las que todas las empresas y usuarios deben ser conscientes:

Seis puntos a tener en cuenta para enfrentarse al mundo digital

1. Reciprocidad: Cuando a alguien se le proporciona algo, tiende a sentirse obligado a devolver el favor

2. Urgencia: La gente tiende a obedecer cuando se les solicita información de una fuente de aparente confianza, como por ejemplo, cuando recibe un email que parece proceder de su banco pidiéndole que responda rápidamente o su cuenta será deshabilitada en 24 horas.

3. Consistencia: Una vez que los usuarios se comprometen a hacer algo, suelen cumplir sus promesas. Por ejemplo, un hacker se hace pasar como parte de un equipo de TI de una empresa y podría instar a que un empleado cumpla todos los procesos de seguridad que determine, y pedirle entonces que lleve a cabo una tarea sospechosa, pero que está en línea con los requisitos de seguridad.

4. Me gusta: Las víctimas suelen obedecer cuando les agrada la persona que con la que están interactuando. Un hacker podría utilizar sus encantos por teléfono o a través de la red para convencer a su víctima.

5. Autoridad: Se tiende a obedecer cuando la solicitud procede de una figura con autoridad. Un ejemplo podría ser un email para el departamento financiero que podría proceder, aparentemente, del CEO o Presidente.

6. Validación social: Solemos obedecer cuando vemos que los otros también lo hacen. Por ejemplo, un correo electrónico puede tener aspecto como si hubiera sido enviado por un grupo de empleados, que hace creer a otro empleado que es adecuado si ve que otros también lo han recibido.

Contenido completo en fuente original: Diario TI