Los ataques de ingeniería social, a lo largo del tiempo, han evolucionado su método, forma, y plataforma, pero siempre con el mismo objetivo de explotar rasgos humanos, como la curiosidad o la confianza. Manipulan eficazmente a las personas para que sean víctimas de estafas o ataques sofisticados, a menudo sin que se den cuenta de que han sido el objetivo.
Dentro de este tipo de ataques, se destaca con gran preponderancia, el cebo (o “Baiting”), que fue identificado por primera vez en la década del ’90 a través de la utilización de CD. Básicamente consistía en dejar al alcance de la víctima (aleatoria o no) un “inofensivo” que contenía un virus informático. Cuando la víctima lo insertaba en su PC, esta se infectaba.
A finales de los ’90, 1998, se hizo popular el virus “Melissa” el cual era propagado por medio del correo electrónico: uno de los primeros “Phishing” vía mail que alcanzó aproximadamente a 25 mil equipos en todo el mundo. Años más tarde, bajo la misma técnica, aparecería el gusano más famoso de la historia: “I love you” con una afectación aproximada de 50 millones de equipos y pérdidas económicas superiores a 10 millones de dólares.
Con el cambio de década y de milenio, los CD’s fueron “corridos a un costado” para dar paso a las unidades extraíbles “USB” o “pendrives”. En este caso, los atacantes también se adaptaron al avance tecnológico, dando lugar a “USB Baiting”. Exactamente el mismo método de ataque e infección que como pasaba con los CD’s.
Con los años, las técnicas de “phishing” evolucionan y adoptan nuevas formas, como la incorporación de enlaces de redirección, archivos ofuscados, entre otras.
Los “Baitings” también tuvieron modificaciones, particularmente sobre la plataforma utilizada para atraer la atención de la víctima: CD; DVD; Pendrive; QR; Wifi; entre otras.
Si bien el correo electrónico es el medio más utilizado por aquellos que intentan explotar el engaño, en la actualidad las redes sociales se han convertido en otro “nicho” de gran interés para los atacantes del “menudeo”. No apuntan a empresas, sino a usuarios comunes, robándoles la identidad en Instagram, Facebook, WhatsApp, para hacerse pasar por el dueño de la cuenta y pedir dinero a su a familiares y amigos a su nombre, e incluso en billeteras virtuales como MercadoPago, vaciando las cuentas y solicitando préstamos.
En esta línea, hoy se está usando una táctica tan “parabólica” como efectiva. Y no es más que un “Baiting del 2024”. Consiste en dejar en la calle llaves con un llavero que contiene un número telefónico en “caso de extravío”.
La persona que encuentra esta llave, en su buena intención de devolverla a su dueño, se contacta a ese número que figura en el llavero. Del otro lado, mediante artilugios de ingeniería social, logran que la llamada se canalice por video mediante Whatsapp. Una vez allí, guían a la persona para que seleccione un botón que comparte la pantalla de su celular con el atacante.
Ese es el momento de la fase 2 del ataque: sabiendo los atacantes la línea de la víctima dada la llamada, inician en otro dispositivo móvil la configuración de Whatsapp con ese número. Esta plataforma, por seguridad, enviará un mensaje con un código PIN que únicamente llega al dueño de la línea, pero como los atacantes ven todos los mensajes que aparecen en la pantalla del dispositivo de la víctima, obtienen ese PIN, incluso el código del multi factor si está asociado al mismo equipo (sea SMS, token, o mail) lo que hace que logren el robo de identidad de esa persona.
Si bien hay múltiples soluciones corporativas para mitigar estos riesgos, como herramientas antimalware; antiphishing; configuraciones en puertos USB o lectoras (ya casi en desuso); actualizaciones de sistemas vulnerables; implementación de multi factores de autenticación; políticas de contraseñas robustas y rotativas periódicamente; firewalls; entre otras cuantas, siempre el factor humano fue, es y será el objetivo principal para los atacantes.
Es fundamental que las personas tengan conocimiento de estas situaciones, entiendan que ocurre en lo cotidiano y que cualquiera puede ser víctima de una estafa por múltiples medios:
- correo electrónico que solicite datos personales, o contraseñas, o inciten a descargar archivos desconocidos, o enlaces a sitios no oficiales
- dispositivos extraíbles de orígenes desconocidos
- aplicaciones de plataformas no oficiales
- llamadas o mensajes sospechosos o fuera de lo normal
- personas desconocidas que le solicitan tomar acciones en sus dispositivos o requieran contraseñas o datos privados
No olvidar que un atacante que usa ingeniería social tiene como única limitación su propia creatividad.
Ante una situación sospechosa, es importante detenerse un momento para analizarla, consultar con alguien que conozca del tema, y pueda prevenirse de un ciberataque.
Por BTR Consulting