“La Ingeniería Social puede ser definida como cualquier acción que influencia una persona a actuar de una forma que puede o no ser de su interés”, define John Trinckes Jr. en el libro The Definitive Guide to Complying with the HIPAA/HITECH Privacy and Security Rules.
El objetivo de este post es entender algunas de las prácticas más comunes de ataques a través de Ingeniería Social. Las estadísticas presentadas provienen de la infografía “Social Engineering”.
Phishing
Es la práctica de enviar correos electrónicos que parecen proceder de fuentes confiables con el objetivo de influenciar o robar información personal. Esta modalidad de ataque es responsable por un 77% de todos los ataques “sociales” reportados: 37.3 millones de usuarios reportaron ataques de phishing el año pasado.
El 88% de estas campañas se llevan a cabo cuando la víctima hace clic en hipervínculos existentes en correos electrónicos, y la mayoría de estas campañas simulan ser entidades bancarias.
Durante las últimas semanas hemos reportado varios casos de phishing, entrelos que se destacan los fraudes que aprovechan el Mundial Brasil 2014 para afectar a los usuarios.
Algunos números importantes a ser considerados sobre phishing el año pasado:
- Correos electrónicos enviados: 107 billones
- Correos electrónicos enviados por día: 294 mil millones
- 90% se trataban de spam y/o malware
Vishing
Es la práctica de obtener información o generar una acción a través de un teléfono celular o VoIP, y puede realizarse a través de prácticas como “spoofing” (suplantación de identidad).
En el 2012, 2.4 millones de usuarios de telefonía móvil fueron víctimas de fraude telefónico. El mismo número fue alcanzado en la primera mitad del 2013. En promedio, la perdida en dólares estadounidenses para cada una de las empresas afectadas fue de US$ 42.546.
Smishing
Los smishers son los atacantes que realizan phishing a través de mensajes de texto. Buscan a través de Ingeniería Social que las víctimas hagan una de tres cosas:
- Hagan clic en un hipervínculo (60% de los ataques)
- Llamen a un número de teléfono (26% de los ataques)
- Respondan a un mensaje de texto (14%)
El 60% de los adultos en los Estados Unidos recibió spam en sus dispositivos móviles en el 2012.
Personificación
Es la práctica de asumir la identidad de otra persona con el objetivo de obtener información o acceso a una persona, empresa o sistema. El promedio de edad de las víctimas de personificación es 41 años, siendo el lugar de trabajo el ambiente más utilizado para esta práctica.
El daño financiero sufrido supera los 4 mil dólares estadounidenses por persona en 2013, año en el que hubo 1.8 millones de víctimas de personificación.
Además, el 80% de los robos de identidad se hicieron inhabilitando o eludiendo controles de accesos existentes; y el 88% de los activos robados se trataban de datos personales.
Hay quienes aún creen que por contar con un software de seguridad, no tienen que preocuparse por los temas presentados aquí. Pero la clave para entender esta equivocación puede ser mejor establecida con el siguiente escenario: “Me compré un auto nuevo, con el mejor sistema antirrobo del mercado, pero lo dejo con las puertas abiertas y la llave puesta”.
Las claves para evitar estos ataques son establecer una cultura enfocada en la seguridad, entender las debilidades en nuestro ambiente digital a través de penetration tests, y educar al personal en relación al rol de cada uno a la hora de mantener toda la información existente segura.
ESET cuenta con programas de educación y concientización para empresas, personas, colegios y capacitaciones para voceros. Dentro de la iniciativa ESET Security Services, ofrecemos análisis que tienen como fin lograr la evaluación objetiva del nivel de seguridad para llevarlo al estado deseable, previniendo o detectando potenciales problemas.