Saltar al contenido

Impacto del COVID-19 en la Ingeniería Social

image_print

Autora: Karen Pichardo Almarza. Centro de Seguridad Informática y Certificación Electrónica (CSICE).FIIIDT. 

 

El  COVID-19 ha impulsado el uso masivo de la informática en el mundo global, creando a su vez mayores espacios para que los piratas de las redes (hakers o ciberdelincuentes) estén más activos para engañar a más personas y usuarios con el fin de obtener información sensible de forma fraudulenta y luego extorsionar con fines maliciosos.

Habitualmente, los piratas de la red suelen vigilar a sus víctimas durante por lo menos 100 días, sin que éstas se den cuenta, pero en estos momentos la vigilancia se ha reducido al mínimo ya que la mayoría de los usuarios que se conectan desde sus hogares carecen de una educación adecuada en materia de seguridad de la información y la mayoría de las empresas no estaban preparadas para proveer plataformas de trabajo remotas seguras a sus empleados, lo que deja muchas ventanas abiertas para los ingenieros sociales.

Los ciberataques se encuentran entre los primeros 10 riesgos globales (evento o condición incierta que, en caso de ocurrir, puede causar un impacto negativo significativo en varias industrias (y países), en un lapso de diez años), así lo determina el informe publicado anualmente por el Foro Económico Mundial (2020), donde más de 750 expertos y responsables de la toma de decisiones a nivel mundial fueron consultados en términos de probabilidad e impacto. Los resultados obtenidos fueron que el 76.1% espera que en 2020 aumenten los ciberataques a infraestructuras y el 75% espera un aumento de los ataques en busca de dinero o datos.

En este contexto, desde la Fundación Instituto de Ingeniería (FIIIDT), órgano adscrito al Ministerio del Poder Popular para la Ciencia y Tecnología de la República Bolivariana de Venezuela, le presentamos a continuación los aspectos importantes, que en materia de seguridad de la información, deben tomarse en cuenta para evitar efectivamente los ciberataques producidos debido a la práctica de la ingeniería social.

La Ingeniería social consiste en engañar a las personas para que cedan voluntariamente su información personal (contraseñas, datos bancarios, archivos, entre otros) o permitan el acceso a un equipo para obtener información sensible que será utilizada con fines maliciosos. El robo de datos no solo sucede en las plataformas tecnológicas sino también mientras se está en la fila del banco o el supermercado. Lo fundamental aquí es comprender que esto se trata de persuasión, manipulación psicológica y falta de precaución de la víctima. Incluso, muchos países utilizan la Ingeniería Social para realizar ataques sofisticados, conocidos como amenazas persistentes avanzadas (APT, uso de tecnología maliciosa sofisticada) en un contexto de desinformación institucional o Guerra Híbrida.

Las principales técnicas o formas de ataque utilizados para hacer ingeniería social son:

  • Phishing o suplantación de identidad, el spear phishing (pishing a través del envío de un correo electrónico que contiene enlaces a supuestas organizaciones de salud que piden donaciones para combatir el COVID-19), el smishing (pishing por mensaje de texto donde ofrecen máscaras gratuitas y dinero). El Pharming que consiste en redirigir el dominio de una página web a otra idéntica creada por el atacante donde el usuario ingresa sus datos privados, generalmente datos bancarios.
  •  Vishing, Visual Hackins o Shoulder Surfing, que es robar información confidencial espiando por encima del hombro de las personas, lo que escriben en sus pantallas de los dispositivos, o escuchar las conversaciones telefónicas y anotar todo lo que observan.
  • Malware, que son aplicaciones dañinas que se instalan sin que el usuario lo note y toman el control del computador. El ransomware, o «secuestro de datos», que restringe el acceso a determinadas partes o archivos del sistema operativo y pide un rescate a cambio de quitar esta restricción. Baiting, O carnada, que consiste en dejar intencionalmente un dispositivo de almacenamiento externo infectado con un malware para que alguien lo conecte en su equipo y así acceden a los datos de la víctima. El Scareware, que “supuestamente” alerta sobre una infección existente en el equipo y ofrecen una “solución” que termina por afectar verdaderamente el dispositivo.

Por otro lado, está la deep web (la Internet profunda, que son todas las páginas web que no están indexadas por los motores de búsqueda convencionales).  El término se atribuye al informático Mike Bergman quien afirma que ésta es el opuesto al Internet superficial, está llena de ofertas de servicios de Ciberataque muy avanzadas y no requieren una gran cantidad de conocimientos técnicos para ponerlas en acción.

Como se puede observar existen múltiples formas de robar información sin autorización que junto al crecimiento de usuarios inexpertos en la red conforman la plataforma idónea para los ciberataques.

Las estadísticas demuestran que las organizaciones que han sido atacadas por ingenieros sociales tienden a ser atacadas nuevamente el mismo año con pérdidas de información y dinero millonarias. Los ingenieros sociales replican sus ataques en la ciudad que deseen, utilizando el mismo mecanismo incluso. Un ejemplo claro fue 2017 y 2018, se registraron un total de 64.664 ciberataques a ordenadores de la Administración Pública  en España en empresas de sectores estratégicos (JOSÉ A. GONZÁLEZ, Julio 2020), o el ataque que recibieron los sistemas informáticos en Vernon-Luisana en el 2019, seguido de 6 lugares adyacentes y en el resto del estado hasta Febrero 2020.

En el informe “Inform Threat Landscape Report de S21S”, se observa que a lo largo del semestre 2020 se incrementaron las campañas de malware con motivo del Covid-19, específicamente aquellas dirigidas al secuestro de datos con extorsión (randomware), esta compañía registró casi 400.000 más con respecto al mismo periodo del año 2019.

Ha habido un aumento del 67% en las violaciones de seguridad en los últimos cinco años, esto hace que la ingeniería social sea una de las mayores amenazas para la economía mundial, aparte de los desastres naturales y las pandemias. La empresa Zello sufrió un incidente de seguridad (Julio 2020), Twitter sufre otro incidente donde los empleados fueron engañados mediante phishing telefónico(2020), secuestran cuentas verificadas de Twitter en apenas 5 horas, mediante el secuestro de perfiles verificados pertenecientes a figuras reconocidas en el mundo por más de 118.000 dólares en bitcoins.

Protéjase de la Ingeniería Social, implemente buenas prácticas y normas técnicas que en seguridad de la información, gestión de riesgos y teletrabajo existen, tales como: serie ISO-27000, COBIT-20192, NIST 800-46 Rev 2, BSI IT- Grundschutz Compendium, entre otros.

Utilice VPN (Virtual Private Network), implemente el uso de aplicaciones SMS/WhatsApp/WeChat u otra herramienta local basada en teléfono seguro. Para los servicios de colaboración virtual/reuniones use Skype, Skype Empresarial, Hangouts, Slack, Zoom, Google Classroom, Microsoft Teams, Webex, GoToMeeting, Microsoft Stream, etc; verificando que quienes participan efectivamente hayan sido invitados. Establezca horarios de cierre de sesión de conexiones todos los sistemas de la organización.

Inicie campañas de difusión y sensibilización sobre ciberseguridad a todos los empleados, para que comprendan que son el mayor nivel de amenaza derivada del phishing y de las campañas en redes sociales durante la pandemia. Los supervisores deben reforzar el mensaje de que el teletrabajo aumenta el riesgo de ciberseguridad, ylas autoridades deben emitir directrices que describan el riesgo. Deben implementarse fuertes controles en las configuraciones de la plataforma tecnológica de la organización, en ambos extremos de la conexión remota, y los empleados no deben tener derechos de administración sobre los dispositivos propiedad de la organización.

Evite ser víctima de la Ingeniería Social

  • No abra correos electrónicos de origen desconocido o que no haya solicitado. Simplemente elimínelos.
  • No conteste a los mensajes sospechosos ya sea por móvil o email.
  • Sea precavido ante enlaces y archivos que le envían a través del correo electrónico, SMS, WhatsApp o redes sociales, aunque los reciba de contactos conocidos.
  • Mantenga actualizado y activo el antivirus de los equipos que utiliza.
  • Verifique la seguridad de los sitios web a los que accede e introduce datos personales y/o bancarios. Los enlaces siempre deben utilizar un certificado de seguridad y el protocolo HTTPS.
  • No se conecte a redes wifi-públicas.
  • No transmita información de la cual no conozca su fuente.

En términos finales, la seguridad de la información debe entenderse como un conjunto de elementos técnicos, físicos y de un proceso cultural de las personas y organizaciones. No importa cuánto dinero pueden gastar las organizaciones en tecnología y servicios si no implementan un robusto Sistema de Gestión de Seguridad de la Información y una buena cultura en la aplicación de las mejores prácticas al personal de la empresa.

«La ingeniería social seguirá siendo un pilar de los ataques cibernéticos y la introducción del aprendizaje automático, Big Data y la inteligencia artificial podría generar desafíos de seguridad para los que no estaremos preparados sin una seria consideración de los elementos sociales y técnicos de la técnica de defensa cibernética», explica Darren Thompson (Director de Tecnología de Symantec en Europa, Oriente, 2020).

Agustín Muñoz-Grandes, CEO de S21Sec, afirma que “es primordial, ahora más que nunca, que comencemos a formar a las personas en las buenas prácticas de ciberseguridad, redirigiendo la cultura y la concienciación hacia el uso correcto de los sistemas y de la tecnología de las organizaciones”. “En estos meses, en el que la mayor parte de las empresas han optado por el teletrabajo, servicios como los accesos remotos y VPN han sido necesarios para el desempeño de las tareas de los trabajadores. Aun así, la rapidez o la falta de conocimientos a la hora de utilizar estos servicios, ha servido a los ciberdelincuentes para una mayor eficacia de sus ataques”.

Referencias Bibliográficas

  1. ChauhanCheck, A., & Chauhan, A. (2019, August 12). The CIA triad in Cryptography. Available at: https://www.geeksforgeeks.org/the-cia-triad-in-cryptography/.
    1. Fruhlinger, J. (2019, September 5). What is phishing? How this cyber attack works and how to prevent it. Available at:  https://www.csoonline.com/article/2117843/what-isphishing-how-this-cyber-attack-works-and-how-to-prevent-it.html.
    1. Mendoza, M., 2020. Ciberataques: Una De Las Principales Amenazas Para El 2020 | Welivesecurity. [online] .WeLiveSecurity. Available at: https://www.welivesecurity.com/la-es/2020/02/13/ciberataques-principales-amenazas-2020/
    1. Ojeda, P., (2020). «El Covid-19 Revela La Necesidad De Hacer Frente A La Ingeniería Social En Los Ataques Cibernéticos». [online] future Latam. Available at: https://futurelatam.inese.es/el-coronavirus-revela-la-necesidad-de-hacer-frente-a-la-ingenieria-social-en-los-ataques-ciberneticos/#:~:text=%C2%ABLa%20ingenier%C3%ADa%20social%20seguir%C3%A1%20siendo,t%C3%A9cnicos%20de%20la%20t%C3%A9cnica%20de
    1. Rouse, M., Haughn, M., Rouse, M., & Rouse, M. (n.d.). What is confidentiality, integrity, and availability (CIA triad)? – Definition from WhatIs.com. Available at: https://whatis.techtarget.com/definition/Confidentiality-integrity-and-availability-CIA.
    1. Digitalguardian, (2018, September 11). What is Social Engineering? Defining and Avoiding Common Social Engineering Threats. Available at:  https://digitalguardian.com/blog/whatsocial-engineering-defining-and-avoiding-common-social-engineering-threats.
    1. WeliveSecurity, 2020. [online] Welivesecurity.com. Available at: https://www.welivesecurity.com/wp- content/uploads/2019/12/Tendencias-Ciberseguridad-2020-ES.pdf
    1. World Economic Forum, 2020. The Global Risks Report 2020. [online] World Economic Forum. Available at: https://www.weforum.org/reports/the-global-risks-report-2020
    1. Zello Security Notice, 2020. Zello Security Notice – July 31, 2020. [online] Zello Support. Available at: https://support.zello.com/hc/en-us/articles/360046709192-Zello-Security-Notice-July-31-202

 

Contacto: karenpichardoa@gmail.com

Compartir en Redes Sociales
       
Tweet
Share
0 Shares