{"id":7927,"date":"2020-02-21T16:15:02","date_gmt":"2020-02-21T21:15:02","guid":{"rendered":"https:\/\/webarpynet.arpynet.com\/?p=7927"},"modified":"2020-02-21T16:15:03","modified_gmt":"2020-02-21T21:15:03","slug":"sabes-como-funciona-un-ciberataque-que-utiliza-ingenieria-social","status":"publish","type":"post","link":"https:\/\/webarpynet.arpynet.com\/?p=7927","title":{"rendered":"\u00bfSabes c\u00f3mo funciona un ciberataque que utiliza ingenier\u00eda social?"},"content":{"rendered":"\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/IMAGEN-1-4.png\" alt=\"\" class=\"wp-image-7928\" width=\"1243\" height=\"658\" srcset=\"https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/IMAGEN-1-4.png 850w, https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/IMAGEN-1-4-768x407.png 768w\" sizes=\"auto, (max-width: 1243px) 100vw, 1243px\" \/><\/figure>\n\n\n\n<p>Cuando hablamos de ingenier\u00eda social, nos referimos a los ciberataques en los que se abusa de la buena fe de las personas para que realicen acciones que puedan interesar al ciberdelincuente. Si lo situamos en el contexto de la ciberseguridad, nos referimos a la manipulaci\u00f3n psicol\u00f3gica que tiene como finalidad, por ejemplo, que un usuario haga clic en un enlace, descargue un archivo que infecte su equipo o revele informaci\u00f3n confidencial, ya sean datos personales, credenciales de acceso, informaci\u00f3n bancaria, etc.&nbsp;<\/p>\n\n\n\n<p>En este contexto, a un ciberdelincuente le resultar\u00e1 m\u00e1s sencillo y econ\u00f3mico lanzar ataques basados en el enga\u00f1o o la manipulaci\u00f3n que los que requieran de infraestructura o pericia tecnol\u00f3gica para explotar alguna vulnerabilidad inform\u00e1tica, aunque con frecuencia se combinan. As\u00ed, adem\u00e1s del concepto de VIP (<em>Very Important Person<\/em>), que todos relacionamos con personas famosas, de alto nivel, categor\u00eda o posici\u00f3n, hay que a\u00f1adir el concepto de VAP (<em>Very Attacked Person<\/em>), acu\u00f1ado por Proofpoint. Un ejemplo de ambos conceptos lo podr\u00edamos ver en el CEO de una empresa, considerado VIP, y que con el tiempo ha pasado a ser el objeto de los ciberdelincuentes, como ocurre en el\u00a0<em>whaling<\/em>, el\u00a0<em>phishing<\/em>\u00a0dirigido a \u00abpeces gordos\u00bb.<br>Es decir, los ciberdelincuentes han marcado como principal objetivo a las personas que forman parte de las organizaciones, sin importar el puesto que ocupen en la misma, pues se trata de presas f\u00e1ciles que les podr\u00edan permitir llegar a sus objetivos.\u00a0<\/p>\n\n\n\n<p>El principal m\u00e9todo utilizado para llevar a cabo los ataques basados en ingenier\u00eda social es el correo electr\u00f3nico, ya sea el corporativo o el personal. De esta forma, los ciberdelincuentes utilizan todo tipo de emails:\u00a0<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Los de\u00a0<em>phishing<\/em>, que intentan obtener (literalmente \u00abpescar\u00bb) credenciales,<\/li><li>correos (<em>spoofing<\/em>), que suplantan la identidad del remitente,\u00a0<\/li><li>los que\u00a0contienen enlaces a p\u00e1ginas falsas,<\/li><li>los que incitan a la descarga de alg\u00fan\u00a0archivo malicioso.\u00a0<\/li><\/ul>\n\n\n\n<p>Por ello, es importante\u00a0saber identificarlos\u00a0y aplicar\u00a0medidas\u00a0para no caer en estos enga\u00f1os y evitar as\u00ed que nuestra empresa se vea involucrada,\u00a0detectando el fraude.<\/p>\n\n\n\n<p>Cada ciberataque de ingenier\u00eda social es \u00fanico, y se identifica como tal. Sin embargo, comparten unas caracter\u00edsticas que hacen que el ciclo de vida sea igual para todos, distingui\u00e9ndose cuatro fases:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/IMAGEN-2-6.png\" alt=\"\" class=\"wp-image-7929\" width=\"1243\" height=\"658\" srcset=\"https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/IMAGEN-2-6.png 850w, https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/IMAGEN-2-6-768x407.png 768w\" sizes=\"auto, (max-width: 1243px) 100vw, 1243px\" \/><figcaption>fases<\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Manipulaci\u00f3n <\/h2>\n\n\n\n<p> En esta fase el ciberdelincuente ejerce la manipulaci\u00f3n psicol\u00f3gica aprovechando la confianza ganada en la etapa anterior. Para ello, utiliza todo tipo de t\u00e9cnicas, por ejemplo, apelando al respeto a la autoridad, a la voluntad de ser \u00fatil, al temor a perder algo, a la posici\u00f3n o influencia, a la urgencia, etc. El objetivo ser\u00e1 sonsacar todo tipo de informaci\u00f3n, especialmente la confidencial, que podr\u00e1 ser posteriormente utilizada para entrar en el sistema que se pretende explotar, sobre todo si son credenciales. Otras veces el objetivo es conseguir que realice alguna acci\u00f3n por \u00e9l: instalar un programa, enviar algunos correos, hacer alg\u00fan ingreso\u2026 <\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/imagen-4.png\" alt=\"\" class=\"wp-image-7932\" width=\"1260\" height=\"668\" srcset=\"https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/imagen-4.png 850w, https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/imagen-4-768x407.png 768w\" sizes=\"auto, (max-width: 1260px) 100vw, 1260px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"> Establecimiento de una relaci\u00f3n de confianza <\/h2>\n\n\n\n<p>Una vez que el ciberatacante ha recolectado informaci\u00f3n que podr\u00eda ser valiosa para realizar el enga\u00f1o, comenzar\u00e1 a entablar una relaci\u00f3n m\u00e1s cercana con la v\u00edctima, que suele ser un empleado de organizaci\u00f3n.&nbsp;<\/p>\n\n\n\n<p>En el siguiente ejemplo se puede comprobar c\u00f3mo en el primer minuto de la conversaci\u00f3n con un trabajador, una llamada de un supuesto servicio t\u00e9cnico inform\u00e1tico establece esta relaci\u00f3n de confianza. En el audio oiremos c\u00f3mo llam\u00e1ndole por su nombre y mencionando su puesto (datos que habr\u00e1 obtenido en la fase anterior), present\u00e1ndose como alguien que conoce (y a quien suplanta), y mencionando que cada a\u00f1o se hace una revisi\u00f3n anual (cosa que seguro que el interlocutor espera), consigue establecer la confianza.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"> Recolecci\u00f3n de informaci\u00f3n <\/h2>\n\n\n\n<p>A esta fase tambi\u00e9n se la conoce como&nbsp;<em>footprinting<\/em>. Esta fase para el ciberdelincuente consiste en acumular toda la informaci\u00f3n posible sobre la persona o personas que van a enga\u00f1ar: trabajo, entorno, ambiente, etc., para as\u00ed saber con qui\u00e9n interact\u00faa o con qui\u00e9n se relaciona. Si se trata de una empresa o sus empleados, la informaci\u00f3n a recopilar ser\u00e1:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Listas de empleados, n\u00fameros de tel\u00e9fono, direcciones de correo, etc.<\/li><li>Organigrama de la organizaci\u00f3n para idear, por ejemplo, la suplantaci\u00f3n de un directivo (lo que se conoce como fraude del CEO).<\/li><li>Nombres de departamentos, gabinetes, equipos de trabajo, etc.<\/li><li>Proveedores de servicios tecnol\u00f3gicos, suministradores de material u otro tipo de proveedores, bancos, etc.<\/li><li>Ubicaci\u00f3n f\u00edsica.&nbsp;<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-embed-youtube wp-block-embed is-type-video is-provider-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio\"><div class=\"wp-block-embed__wrapper\">\n<iframe loading=\"lazy\" title=\"Ejemplo de fraude telef\u00f3nico\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/dp6bF3DPvN4?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture\" allowfullscreen><\/iframe>\n<\/div><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Salida<\/h2>\n\n\n\n<p> Una vez se ha extra\u00eddo la informaci\u00f3n que se buscaba, el ciberdelincuente har\u00e1 todo lo que est\u00e9 en su mano para impedir que cualquier tipo de sospecha pudiera recaer sobre \u00e9l, asegur\u00e1ndose de no dejar pruebas que pudieran relacionarle con el ataque. De esta forma, podr\u00e1 seguir realizando entradas al sistema en un futuro para continuar explotando su fuente de informaci\u00f3n.\u00a0 <\/p>\n\n\n\n<h2 class=\"wp-block-heading\"> \u00bfC\u00f3mo luchar contra la ingenier\u00eda social? <\/h2>\n\n\n\n<p>En varias ocasiones, desde Protege tu Empresa, canal de INCIBE hemos puesto de manifiesto que la mejor forma de protegerse contra este tipo de enga\u00f1os gira en torno a la\u00a0<strong>formaci\u00f3n y concienciaci\u00f3n\u00a0de los empleados<\/strong>. Como hemos visto, la ingenier\u00eda social no basa su enga\u00f1o en aspectos tecnol\u00f3gicos sino en las personas, es decir, en los trabajadores de una organizaci\u00f3n.\u00a0<\/p>\n\n\n\n<p>Adem\u00e1s, estos pueden ser de muchos tipos y utilizar diferentes t\u00e9cnicas. Por lo tanto, la mejor medicina para combatir este tipo de amenazas ser\u00e1 la concienciaci\u00f3n de todos los empleados, con independencia de su responsabilidad o el cargo que ostenten dentro de la empresa. Si quieres fomentar sus habilidades, Protege tu Empresa pone a tu disposici\u00f3n diferentes iniciativas formativas gratuitas que podr\u00e1s usar para conseguir una empresa m\u00e1s segura:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Kit de concienciaci\u00f3n: herramienta para lanzar un plan de concienciaci\u00f3n inicial para empleados mediante recursos gr\u00e1ficos, elementos interactivos y ataques dirigidos para entrenarse contra este tipo de amenazas.<\/li><li>Hackend, se acab\u00f3 el juego:\u00a0<em>serious game<\/em>\u00a0para aprender jugando, poni\u00e9ndote en la piel de su protagonista, un empresario al que le suceden todo tipo de percances de ciberseguridad y al que ayudar\u00e1s a descubrir al ciberdelincuente.<\/li><li>Formaci\u00f3n sectorial: en forma de cortos v\u00eddeos interactivos para empresas de sectores de la industria, construcci\u00f3n, salud, ocio, educaci\u00f3n, comercio minorista y mayorista, log\u00edstica, asociaciones y servicios profesionales. En ellos descubrir\u00e1s todo tipo de amenazas y medidas preventivas para las situaciones de seguridad m\u00e1s comunes en las empresas de tu sector.\u00a0<\/li><\/ul>\n\n\n\n<p>La f\u00f3rmula para protegerse ante los ataques de ingenier\u00eda social es conocer c\u00f3mo funcionan. Por ello, tenemos que procurar que todos en la empresa reciban la formaci\u00f3n y concienciaci\u00f3n suficiente para evitar que los ciberdelincuentes consigan sus objetivos. No olvides que los empleados de una empresa son los elementos m\u00e1s importantes de la cadena de la ciberseguridad.\u00a0<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/imagen-3-2.png\" alt=\"\" class=\"wp-image-7931\" width=\"1250\" height=\"663\" srcset=\"https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/imagen-3-2.png 850w, https:\/\/webarpynet.arpynet.com\/wp-content\/uploads\/2020\/02\/imagen-3-2-768x407.png 768w\" sizes=\"auto, (max-width: 1250px) 100vw, 1250px\" \/><\/figure>\n\n\n\n<p>Fuente: Incibe <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cuando hablamos de ingenier\u00eda social, nos referimos a los ciberataques en los que se abusa de la buena fe de las personas para que realicen acciones que puedan interesar al ciberdelincuente. Si lo situamos en el contexto de la ciberseguridad, nos referimos a la manipulaci\u00f3n psicol\u00f3gica que tiene como finalidad, por ejemplo, que un usuario&#8230;<\/p>\n","protected":false},"author":19,"featured_media":7928,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"video","meta":{"footnotes":""},"categories":[5],"tags":[86,87,85],"class_list":["post-7927","post","type-post","status-publish","format-video","has-post-thumbnail","hentry","category-informatica","tag-ciberataque","tag-la-informatica-esta-en-peligro","tag-phishing","post_format-post-format-video"],"_links":{"self":[{"href":"https:\/\/webarpynet.arpynet.com\/index.php?rest_route=\/wp\/v2\/posts\/7927","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webarpynet.arpynet.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webarpynet.arpynet.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webarpynet.arpynet.com\/index.php?rest_route=\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/webarpynet.arpynet.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=7927"}],"version-history":[{"count":0,"href":"https:\/\/webarpynet.arpynet.com\/index.php?rest_route=\/wp\/v2\/posts\/7927\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webarpynet.arpynet.com\/index.php?rest_route=\/wp\/v2\/media\/7928"}],"wp:attachment":[{"href":"https:\/\/webarpynet.arpynet.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=7927"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webarpynet.arpynet.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=7927"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webarpynet.arpynet.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=7927"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}