Noticias
Ingeniería social: detectada una campaña masiva con origen en Brasil
De las múltiples técnicas existentes en el ecosistema de la ciberseguridad, la ingeniería social siempre me ha parecido la más interesante, además de, muy probablemente, la más inteligente. ¿Por qué? Porque se basa en el paradigma de que, en muchas ocasiones, el eslabón más débil de la cadena es es el usuario. Igual que digo que me parece interesante también aclaro que me parece despreciable, claro, pero eso no le resta interés.
Y es que, en la mayoría de los casos, resulta bastante más sencillo engañar a un usuario que a un sistema. Al final, quienes abrieron las puertas de Troya fueron los oficiales de seguridad de la plaza. De haber permanecido éstas cerradas, la seguridad de la ciudad, que recordemos que estaba fortificada, se habría mantenido. ¿Fueron los aqueos los precursores de la ingeniería social? No lo sabemos, puesto que hay bastantes dudas sobre la veracidad de los relatos de Homero y Virgilio, pero sin duda, se trata de un ejemplo bastante inspirador, para bien y para mal.
Sea leyenda o realidad, la historia del ingenio mostrado por el ejército aqueo es fácilmente trasladable al contexto actual, en el que la puerta de entrada para gran cantidad de ataques es la ingeniería social con una de sus caras más reconocibles: el phishing. Ya sea con campañas masivas o con ataques mucho sofisticados que entran en la categoría de spearphishing, pasan los años y el engaño sigue siendo una de las principales puertas de entrada a las infraestructuras.
Securança Informática publicaba, hace unos días, un completo informe sobre una campaña masiva, que ha estado operativa durante los últimos dos años, en la que mediante la ingeniería social se ha estado suplantando la identidad de múltiples organizaciones bancarias de varios países, con el fin de hacerse con los datos de clientes particulares de las mismas. El origen del grupo responsable se ubica en Brasil, los países más afectados han sido Brasil, Chile, España, Francia, México, Portugal y Reino Unido, y sus responsables se ha apoyado en smishing, phishing y spearphishing.
En las campañas basadas en smishing, los ciberdelincuentes se han apoyado en listados de teléfonos adquiridos a otros grupos especializados en la comercialización (obviamente ilegal) de este tipo de datos. Es importante tener en cuenta que algunos de los listados de este tipo que se pueden obtener en la dark web son bastante detallados, lo que permite afinar en las comunicaciones enviadas a las potenciales víctimas, con el fin de incrementar las posibilidades de que el mensaje parezca legítimo.
Algo similar ocurre en las campañas basadas en spearphishing. La organización responsable de las mismas no ha realiza envíos indiscriminados, en su lugar, realiza un análisis y filtrado previos, a lo que debemos sumar que la confección de los mensajes de suplantación esta por encima de la media a la que estamos acostumbrados, lo que arroja como resultado que los emails de suplantación resultan bastante creíbles. Pura ingeniería social.
Una vez que la víctima hace click en el enlace malicioso, el usuario descarga sin saberlo el troyano que también es bastante sofisticado, especialmente en lo referido a sus capacidades de ocultación, pues su objetivo en primera instancia es pasar totalmente desapercibido. En estas campañas el malware se ha empleado, principalmente, para el robo de datos bancarios, si bien la conexión del malware con una estructura de servidores de comando y control, permite la descarga de nuevas cargas útiles con los que mejorar su técnica y/o realizar otras acciones maliciosas.
En MuySeguridad no nos cansaremos nunca de repetirlo: la mejor manera de prevenir los ataques basados en la ingeniería social es la formación. Desgraciadamente, la parte más expuesta de la infraestructura se suele ubicar en la capa 8 del modelo OSI y, aunque parezca mentira, los pretextos empleados durante años siguen mostrándose plenamente efectivos. Por su propia seguridad, los usuarios y las empresas deben involucrarse de manera activa en planes de alfabetización en ciberseguridad, y deben hacerlo de manera urgente. Y es que en caso contrario, la ingenería social seguirá siendo el talón de Aquiles tanto para usuarios particulares como para empresas.
Hoy se celebra el Día de la Internet Segura 2022, con múltiples iniciativas precisamente en este sentido. Desde eventos hasta publicaciones informativas, cada día se divulga más y mejor sobre estas amenazas, y aprender a identificarlas (o por lo menos a sospechar por defecto) es una necesidad cada vez más imperante en este tiempo en el que nos ha tocado vivir.