Ingeniería social, la modalidad favorita de los ciberdelincuentes

Ingeniería social, la modalidad favorita de los ciberdelincuentes

David López, vicepresidente de ventas para Latinoamérica en Appgate.

El objetivo principal de los atacantes es obtener credenciales para para acceder a sistemas empresariales o venderlas en la Deep Web.

La ingeniería social o phishing es una modalidad de ataque utilizada por los ciberdelincuentes para engañar a los usuarios por medio de mensajes con enlaces maliciosos y así robar sus datos.

El objetivo principal es obtener credenciales para después utilizarlas para acceder a sistemas empresariales y gubernamentales, o también para venderlas en la Dark y Deep Web a otros hackers.

De acuerdo con el análisis de datos del primer semestre de 2022 del Centro de Operaciones de Seguridad de Appgate, el 44% del fraude se realizó a través del uso no autorizado de marca, mientras que el phishing, con un 40%, es el segundo tipo de ataque más empleado por los cibercriminales.

David López, vicepresidente de ventas para Latinoamérica en Appgate, dijo que esas modalidades usan recursos falsos y engañosos de ingeniería social para manipular a los usuarios.

Dijo que los ataques con ingeniería social son cada vez más sofisticados y masivos, y no solo hacen uso de redes sociales, apps móviles y canales de telecomunicación, sino que también adoptan logotipos de empresas, marcas y más para que parezcan realistas.

En ingeniería social, así actúan los cibercriminales

Algunas de las estrategias de ingeniería social identificadas por Appgate como las más utilizadas son:

Estados bancarios. Los cibercriminales aprovechan esta amplia superficie de ataque convirtiéndola en la segunda industria con más incidentes de phishing con un 17.3% de los casos.

Los atacantes envían SMS o e-mails con mensajes faltos relacionados con fallos en las cuentas, reportes o movimientos sospechosos, o hasta cobros que no se han realizado, esto con el fin de que las personas se preocupen por su dinero y accedan a links falsos en los que supuestamente pueden arreglar el inconveniente.

Con esta información suministrada por los mismos usuarios, los delincuentes son capaces de acceder fácilmente a las cuentas y robar el dinero de ellas.

Asuntos gubernamentales. Muchos gobiernos han optado por migrar al mundo digital, llevando actividades burocráticas, trámites o procesos jurídicos de forma virtual.

Con este tipo de procesos, los ciberdelincuentes engañan a los usuarios para compartir información personal o corporativa, que posteriormente es usada en otros ciberataques mucho más sofisticados.

Situaciones personales. Apelar a la vida de las personas, sus sentimientos y relaciones con seres queridos ha sido una estrategia empleada por delincuentes para engañar en momentos de angustia.

Haciéndose pasar por familiares, suplantando sus identidades e inventando situaciones falsas, los ciberdelincuentes buscan confundir a la víctima por medio de SMS o llamadas para lograr sus objetivos.

Redes sociales. Esta es una masiva fuente de información que contiene datos de usuarios, relaciones personales y laborales, y hasta información sobre gustos o intereses particulares.

Esto atrae la atención de ciberdelincuentes que pueden acceder fácilmente a información usada para crear estrategias de ingeniería social o phishing más creíbles.

López explicó que este tipo de incidentes han prendido las alarmas en las empresas, pues por medio de sus empleados, colaboradores o clientes, los ciberdelincuentes pueden llegar a acceder a sus sistemas con las credenciales robadas y realizar ataques mucho más profundos.

“Los mecanismos anticuados de autenticación y protección como las VPN pueden ser fácilmente vulnerados, por lo que las soluciones con perímetros definidos por software, como Appgate SDP han resultado más efectivas ya que limitan el acceso y movimientos de cada una de las conexiones, dispositivos y usuarios dentro de la red”, añadió.

¿Cómo fue el resultado de tus ventas en el Buen Fin?