Ingeniería social, la modalidad favorita de los ciberdelincuentes

El objetivo principal de los atacantes es obtener credenciales para para acceder a sistemas empresariales o venderlas en la Deep Web.

La ingeniería social o phishing es una modalidad de ataque utilizada por los ciberdelincuentes para engañar a los usuarios por medio de mensajes con enlaces maliciosos y así robar sus datos.

El objetivo principal es obtener credenciales para después utilizarlas para acceder a sistemas empresariales y gubernamentales, o también para venderlas en la Dark y Deep Web a otros hackers.

De acuerdo con el análisis de datos del primer semestre de 2022 del Centro de Operaciones de Seguridad de Appgate, el 44% del fraude se realizó a través del uso no autorizado de marca, mientras que el phishing, con un 40%, es el segundo tipo de ataque más empleado por los cibercriminales.

David López, vicepresidente de ventas para Latinoamérica en Appgate, dijo que esas modalidades usan recursos falsos y engañosos de ingeniería social para manipular a los usuarios.

Dijo que los ataques con ingeniería social son cada vez más sofisticados y masivos, y no solo hacen uso de redes sociales, apps móviles y canales de telecomunicación, sino que también adoptan logotipos de empresas, marcas y más para que parezcan realistas.

En ingeniería social, así actúan los cibercriminales

Algunas de las estrategias de ingeniería social identificadas por Appgate como las más utilizadas son:

Estados bancarios. Los cibercriminales aprovechan esta amplia superficie de ataque convirtiéndola en la segunda industria con más incidentes de phishing con un 17.3% de los casos.

Los atacantes envían SMS o e-mails con mensajes faltos relacionados con fallos en las cuentas, reportes o movimientos sospechosos, o hasta cobros que no se han realizado, esto con el fin de que las personas se preocupen por su dinero y accedan a links falsos en los que supuestamente pueden arreglar el inconveniente.

Con esta información suministrada por los mismos usuarios, los delincuentes son capaces de acceder fácilmente a las cuentas y robar el dinero de ellas.

Asuntos gubernamentales. Muchos gobiernos han optado por migrar al mundo digital, llevando actividades burocráticas, trámites o procesos jurídicos de forma virtual.

Con este tipo de procesos, los ciberdelincuentes engañan a los usuarios para compartir información personal o corporativa, que posteriormente es usada en otros ciberataques mucho más sofisticados.

Situaciones personales. Apelar a la vida de las personas, sus sentimientos y relaciones con seres queridos ha sido una estrategia empleada por delincuentes para engañar en momentos de angustia.

Haciéndose pasar por familiares, suplantando sus identidades e inventando situaciones falsas, los ciberdelincuentes buscan confundir a la víctima por medio de SMS o llamadas para lograr sus objetivos.

Redes sociales. Esta es una masiva fuente de información que contiene datos de usuarios, relaciones personales y laborales, y hasta información sobre gustos o intereses particulares.

Esto atrae la atención de ciberdelincuentes que pueden acceder fácilmente a información usada para crear estrategias de ingeniería social o phishing más creíbles.

López explicó que este tipo de incidentes han prendido las alarmas en las empresas, pues por medio de sus empleados, colaboradores o clientes, los ciberdelincuentes pueden llegar a acceder a sus sistemas con las credenciales robadas y realizar ataques mucho más profundos.

“Los mecanismos anticuados de autenticación y protección como las VPN pueden ser fácilmente vulnerados, por lo que las soluciones con perímetros definidos por software, como Appgate SDP han resultado más efectivas ya que limitan el acceso y movimientos de cada una de las conexiones, dispositivos y usuarios dentro de la red”, añadió.