Phishing clon

La organización promedio es objetivo de más de 700 ataques de ingeniería social cada año. Eso es casi tres ataques cada día. Y con el 98% de todos los ciberataques exitosos que involucran alguna forma de ingeniería social, es esencial que las organizaciones comprendan los métodos de ataque más predominantes.

¿Qué es exactamente la ingeniería social y por qué representa una amenaza tan significativa para las organizaciones hoy en día? En este artículo, discutiremos 13 tipos comunes de ataques de ingeniería social, explicaremos cómo funcionan, proporcionaremos ejemplos de la vida real y compartiremos las mejores prácticas para prevenirlos.

1. Phishing

El phishing es una de las técnicas de ingeniería social más comunes. Con las estafas de phishing, los atacantes envían correos electrónicos que parecen ser de fuentes reputables para engañar a las personas y que revelen información sensible como contraseñas y números de tarjetas de crédito.

Estos correos electrónicos a menudo inspiran un sentido de urgencia, incitando a la víctima a hacer clic en un enlace malicioso. Este enlace los lleva a un sitio web falso donde se les pide ingresar datos personales como credenciales de acceso, información de cuenta, números de seguridad social u otra información confidencial.

En 2013, Target Corporation fue víctima de un ataque de phishing donde los atacantes inicialmente obtuvieron acceso a su red a través de un correo electrónico de phishing enviado a una empresa de HVAC que tenía conexiones con Target. Esto llevó a una violación de datos que comprometió la información de las tarjetas de crédito de más de 40 millones de clientes.

Target no es la única organización que ha sufrido un ciberataque de esta manera: un estudio de 2022 realizado por el Instituto Ponemon reveló que el 54% de las organizaciones experimentaron una violación de datos causada por uno de sus proveedores externos en los 12 meses anteriores.

2. Phishing clon

El phishing clon es un tipo especial de ataque de phishing donde se utiliza un correo electrónico legítimo para crear uno casi idéntico o "clonado" pero con algunos cambios críticos.

Así es como suelen funcionar las campañas de phishing clon:

1. Selección de correo electrónico: El atacante selecciona un correo electrónico legítimo que fue enviado a la víctima prevista. Este correo electrónico podría ser cualquier cosa, desde un anuncio rutinario de la empresa hasta una factura o una notificación de cuenta.
2. Creación del clon: El atacante hace una copia o "clon" del correo electrónico, reproduciéndolo lo más fielmente posible al original.
3. Alterar el contenido: El atacante altera algunos elementos del correo electrónico clonado. Esto usualmente implica cambiar los enlaces o archivos adjuntos dentro del correo por otros maliciosos. Por ejemplo, donde el correo original podría haber contenido un enlace a una factura en línea, el clon podría contener un enlace a un sitio web malicioso diseñado para recolectar credenciales de inicio de sesión.
4. Reenviar el correo: El atacante envía el correo clonado a los destinatarios originales pero hace que parezca que viene del mismo remitente que el correo original. Esto puede estar acompañado de un pretexto como un enlace actualizado, una versión corregida del archivo adjunto, o cualquier excusa que parezca plausible.
5. Respuesta de la víctima: Si los destinatarios del correo clonado creen que es un seguimiento legítimo del correo anterior, podrían hacer clic en el enlace o descargar el archivo adjunto sin sospechar. Esto puede llevar a la compromisión de datos sensibles o a una infección de malware.

La suplantación de correos es particularmente efectiva porque utiliza la confianza establecida por el correo original y legítimo para evadir las defensas de la víctima. Siempre es importante verificar la autenticidad de las comunicaciones por correo electrónico, especialmente aquellas que contienen enlaces o archivos adjuntos, incluso si parecen provenir de una fuente conocida. Es recomendable contactar directamente a la persona o empresa para confirmar la legitimidad del correo, especialmente si el correo parece inesperado o ligeramente diferente del estilo de comunicación habitual.

Si logras identificar un correo electrónico de phishing, puede ser tentador responder al intento de estafa y reprenderlos, pero esto no es una buena idea. En primer lugar, responder a un correo de phishing verifica que tu dirección de correo electrónico está activa, lo cual puede hacerte un objetivo prioritario para ataques de seguimiento, o para que tu dirección de correo sea vendida a otros atacantes. Tu respuesta también puede dar a los ciberdelincuentes acceso a información adicional como datos de ubicación o la firma de correo electrónico de tu empresa, que puede incluir números de teléfono, direcciones y otra información que puedan usar para crear campañas de phishing más convincentes, o potencialmente atrapar a tus compañeros de trabajo o contactos de LinkedIn.

3. Pretexto

El pretexto implica que un atacante crea un escenario fabricado para obtener información de un objetivo. A menudo se hacen pasar por alguien en una posición de autoridad o alguien con una razón legítima para necesitar la información.

El atacante construye una historia que convence a la víctima de divulgar información sensible o realizar una acción que comprometa la seguridad.

El pretexto como táctica se usa en una variedad de ataques de ingeniería social, particularmente el phishing, whaling y la compromisión de correos electrónicos empresariales. Pero los ciberdelincuentes también pueden usar el pretexto por sí solo para robar información valiosa de sus víctimas.

En 2016, un hacker obtuvo acceso a datos de miles de empleados en el Departamento de Justicia y el Departamento de Seguridad Nacional, incluyendo direcciones de correo electrónico y números de teléfono, al hacerse pasar por un empleado del gobierno. Luego publicaron la información en línea.

En 2017, la Universidad de MacEwan envió casi 9 millones de dólares a alguien que se hacía pasar por un contratista de una empresa de construcción que trabajaba en un nuevo proyecto de edificio. Una carta de respaldo adjunta al correo parecía haber sido firmada por el director financiero de la empresa constructora real, y la universidad transfirió el dinero a la cuenta bancaria especificada en el correo. La estafa no fue descubierta hasta que la empresa constructora real se puso en contacto para preguntar sobre el saldo pendiente.

La escuela eventualmente recuperó más del 90% de los fondos perdidos, pero solo después de largos procedimientos legales y mucha atención mediática. Desde entonces, han instituido nuevos procesos y capacitación en seguridad para todos los empleados.

El año pasado, el FBI advirtió a organizaciones de salud sobre planes para extorsionar dinero o robar información de identificación personal (PII) utilizando pretextos. Los estafadores falsifican números de teléfono auténticos o utilizan credenciales falsas para hacerse pasar por funcionarios de la agencia. Luego notifican a los objetivos que fueron citados a declarar como testigos expertos en un caso penal o civil, no se presentaron y han sido acusados de desacato al tribunal y multados. El no pagar la multa resultaría en una orden de arresto, y los estafadores usan tácticas agresivas para presionar a los objetivos a pagar de inmediato mediante transferencia bancaria, dinero en efectivo por correo o criptomonedas.

4. Carnada

La carnada es similar al phishing, pero implica la promesa de un artículo específico que el atacante usa como anzuelo. Esto podría ser software gratuito, tarjetas de regalo, descargas de películas o música, o cualquier otra cosa que parezca atractiva para el objetivo. El atacante usa este cebo para atraer a la víctima a descargar software malicioso o revelar credenciales de acceso.

Los USB abandonados son un ejemplo clásico de carnada. El Departamento de Seguridad Nacional de EE.UU. una vez realizó una prueba con empleados gubernamentales para ver qué tan fácil sería para los hackers instalar malware o acceder a sistemas informáticos. Se dejaron unidades USB en estacionamientos de agencias gubernamentales y contratistas privados, y el 60% de las personas que las recogieron las conectaron a sus dispositivos. Si la unidad tenía un logotipo oficial, el 90% fueron conectadas.

5. Quid pro quo

Con los ataques de quid pro quo, los actores de amenazas se aprovechan de la ley de reciprocidad psicológica: cuando alguien nos ayuda, queremos devolverle el favor.

A menudo, los ataques de quid pro quo ocurren cuando los ciberdelincuentes se hacen pasar por personal de TI o soporte técnico. Pueden ofrecer instalar software antivirus o resolver un problema con un sistema informático a cambio de información sensible como credenciales de acceso. Una vez que obtienen acceso, instalan malware o roban otros datos sensibles.

En un caso, un actor de amenazas suplantó el soporte técnico de Apple para engañar a celebridades, músicos y atletas profesionales y hacer que revelaran información sensible. Haciéndose pasar por soporte técnico de Apple, el ciberdelincuente pedía a las víctimas nombres de usuario y contraseñas o las respuestas a preguntas de seguridad. Con esta información, podían acceder al perfil completo de Apple de la víctima, incluidos los detalles de la tarjeta de pago y de facturación. Luego podían cambiar contraseñas, correos electrónicos de contacto y preguntas de seguridad. El estafador gastó miles de dólares en gastos personales cargados a las cuentas de sus víctimas.

6. Compromiso de correo electrónico empresarial y fraude del CEO

El compromiso de correo electrónico empresarial (BEC) ocurre cuando un atacante obtiene acceso a una cuenta de correo electrónico corporativa y se hace pasar por el propietario para defraudar a la empresa o sus empleados, clientes o socios. Generalmente, se enfocan en empleados que tienen acceso a las finanzas de la empresa y los engañan para que realicen transferencias de dinero a cuentas bancarias que se creen de confianza.

El fraude del CEO es un tipo específico de estafa BEC donde los atacantes se hacen pasar por un CEO u otro alto ejecutivo. El atacante aprovecha la autoridad del CEO para presionar a un empleado a realizar transacciones no autorizadas o enviar datos sensibles.

Snapchat fue víctima de un esquema BEC en 2016 cuando los estafadores se hicieron pasar por el CEO Evan Spiegel. El departamento de nómina de la empresa respondió a un correo electrónico que parecía provenir de Spiegel con datos sensibles de nómina: mientras la compañía no reveló públicamente qué información se compartió, podría haber incluido detalles salariales, números de seguro social, cuentas bancarias, direcciones, correos electrónicos y otra información de identificación personal sobre sus empleados actuales y anteriores.

7. Deepfaking

La creación de deepfakes implica el uso de tecnologías de IA para crear imágenes, videos o audios realistas con el fin de manipular o engañar. Los atacantes pueden crear audio y video que parecen auténticos, mostrando a individuos diciendo o haciendo cosas que en realidad no dijeron o hicieron.

A principios de 2020, la voz creada por IA de un director de banco fue utilizada para engañar a un gerente de banco y hacerle transferir millones de dólares a actores de amenazas. El gerente recibió una llamada telefónica de alguien que sonaba exactamente como el director de su empresa matriz, informándole que la compañía estaba a punto de hacer una adquisición. Se le instruyó al gerente que autorizara una transferencia de $35 millones, e incluso había correos electrónicos en la bandeja de entrada del gerente del director y de un abogado confirmando a dónde debía transferirse el dinero. Creyendo que las instrucciones eran legítimas, el gerente inició la transferencia.

Los investigadores en los Emiratos Árabes Unidos creen que el elaborado esquema involucraba al menos a 17 personas, con el dinero robado enviado a múltiples cuentas bancarias en todo el mundo.

A medida que el costo de producir deepfakes convincentes disminuye, el FBI y el Departamento de Seguridad Nacional predicen que las amenazas de deepfakes serán cada vez más difíciles de identificar y protegerse contra ellas. A medida que la legislación comienza a abordar las amenazas de los videos deepfake, se están creando medidas de ciberseguridad, como algoritmos de detección, para combatir la amenaza.

8. Colado

El colado, también conocido como piggybacking, implica a una persona no autorizada siguiendo físicamente a una persona autorizada a una zona restringida.

El atacante puede entablar una conversación o llevar algo para manipular a la persona autorizada a que le mantenga la puerta abierta.

Aunque los ataques de colado y piggybacking típicamente se refieren al acceso físico no autorizado, en un caso interesante un trabajador tecnológico admitió aprovecharse del intento de extorsión de un hacker.

Una empresa del Reino Unido fue víctima de un ataque de ransomware en febrero de 2018, durante el cual el atacante exigía un pago de $370,000 en bitcoin. Un miembro del equipo de respuesta a incidentes de la empresa vio una oportunidad para lanzar un ataque secundario, al alterar el email original de ransomware para cambiar la dirección de la billetera de criptomonedas proporcionada por el atacante original con la suya propia. El empleado también suplantó la dirección de correo electrónico del atacante y comenzó a enviar correos electrónicos a la organización para presionarlos a pagar el rescate. Más tarde fue atrapado cuando las autoridades rastrearon con éxito su dirección IP.

9. Spear phishing y whaling

El Spear Phishing es una forma más dirigida de phishing. El atacante personaliza sus mensajes engañosos a un individuo u organización específicos.

Los correos electrónicos parecen más legítimos y a menudo están meticulosamente elaborados para atraer a la víctima.

En 2014, programadores respaldados por Corea del Norte lanzaron un ataque de spear phishing contra Sony Pictures para detener el lanzamiento de la película The Interview. El ataque resultó en la filtración de datos sensibles, incluyendo películas no estrenadas.

En 2016, el Partido Demócrata de los EE.UU. fue víctima de un ataque de spear phishing que expuso información sensible sobre la campaña presidencial de Clinton. Los hackers crearon un correo electrónico falso que pedía a los destinatarios cambiar sus contraseñas debido a una actividad inusual, luego usaron las nuevas credenciales para acceder a información sensible.

El whaling apunta a individuos de alto perfil, como ejecutivos, celebridades o políticos. Las tácticas son similares al spear-phishing pero en una escala mayor.

En 2008, un plan generalizado de caza furtiva atrapó a unos 2,000 ejecutivos corporativos con una serie de correos electrónicos que se hacían pasar por citaciones oficiales. El correo electrónico se dirigía correctamente a los CEOs y a otros altos ejecutivos por sus nombres completos e incluía detalles como números de teléfono, nombres de empresas y títulos. Se instruía a los destinatarios a hacer clic en un enlace para obtener una copia detallada de la citación y luego se les dirigía a instalar un complemento del navegador para leer el documento. Aceptar el complemento realmente instalaba una puerta trasera y software de registro de teclas, lo que permitía a los estafadores robar credenciales y otra información sensible. 

10. Smishing y vishing

El Smishing (phishing por SMS) utiliza mensajes de texto, mientras que el Vishing (phishing por voz) utiliza llamadas telefónicas para estafar a la víctima. Estos ataques están diseñados para robar datos sensibles o dinero haciéndose pasar por una entidad legítima.

En julio de 2020, Twitter sufrió famosamente un hackeo de 130 cuentas verificadas con el cheque azul de algunas de las personas más famosas del mundo: desde políticos como Barack Obama y Joe Biden, celebridades y emprendedores como Bill Gates y Elon Musk, y marcas globales como Apple. 

Los hackers descargaron datos de los usuarios de Twitter, accedieron a los mensajes directos y publicaron tweets prometiendo duplicar las donaciones a una billetera de bitcoin. En cuestión de minutos, los estafadores habían recibido más de $100,000 en bitcoins de cientos de transacciones. 

Twitter explicó que el incidente fue el resultado de un ataque de vishing en el que los empleados de Twitter fueron engañados para compartir credenciales de cuenta que permitieron a los estafadores acceder a las cuentas verificadas. El precio de las acciones de Twitter cayó un 7% en el comercio antes de la apertura del mercado al día siguiente. 

11. Ataques Watering Hole

En un ataque Watering Hole, el atacante identifica un sitio web o recurso que su grupo objetivo usa con frecuencia y lo infecta con malware para comprometer a los miembros del grupo. Por ejemplo, si el grupo objetivo pertenece al sector financiero, el atacante podría infectar un popular sitio web de noticias financieras.

En febrero de 2021, los hackers utilizaron un ataque Watering Hole para acceder a una planta de tratamiento de agua en Florida. Cambiaron de forma remota una configuración que aumentó drásticamente la cantidad de hidróxido de sodio (lejía) en el agua a niveles tóxicos. Afortunadamente, un operador astuto pudo detectar la manipulación mientras ocurría y restauró los niveles a su rango normal sin que se produjera ningún daño. 

Una investigación sobre el ataque reveló que los hackers habían colocado código malicioso en el sitio web de un contratista de infraestructura. Ese código funcionaba como un script de toma de huellas dactilares, recopilando detalles sobre los visitantes del sitio web, incluidos el sistema operativo, la CPU, los complementos del navegador, los métodos de entrada, la presencia de la cámara, el acelerómetro, el micrófono, la zona horaria, la ubicación y más. Cuando una computadora en la red de la planta de tratamiento de agua visitó el sitio web del contratista, el código malicioso permitió a los hackers instalar software de Escritorio Remoto en una de las computadoras de la planta que estaba conectada al sistema de control.

12. Scareware

El scareware engaña a las personas haciéndoles creer que su computadora está infectada con malware, instándolas a instalar software que en realidad es malware. Esto a menudo se encuentra en forma de anuncios emergentes o advertencias mientras se navega por la web.

En un ejemplo famoso, el scareware "Antivirus XP" engañó a los usuarios para que pagaran por un software antivirus falso mediante la publicidad agresiva de alertas de seguridad en las computadoras de los usuarios.

En 2019, Office Depot y Support.com acordaron pagar un acuerdo de $35 millones después de ser acusados de usar tácticas de scareware para engañar a los clientes a comprar servicios de soporte y reparación innecesarios. De 2008 a 2016, Office Depot y OfficeMax ofrecieron a los clientes un “Chequeo de Salud de la PC” gratuito para escanear dispositivos en busca de malware y problemas de rendimiento. Según la FTC, el verdadero propósito del chequeo de salud era vender servicios de diagnóstico y reparación que los clientes realmente no necesitaban.

El programa de revisión de PC estaba programado para informar que se requerían reparaciones si el cliente respondía “sí” a cualquiera de las cuatro preguntas formuladas, incluida si los clientes veían anuncios emergentes frecuentes en su dispositivo. Los servicios de reparación sugeridos podrían costar más de $300. Aunque Office Depot nunca admitió haber cometido ningún delito, acordaron el acuerdo, que según la FTC se utilizó para reembolsar a los clientes.

13. Ransomware

El ransomware es un tipo de software malicioso, o malware, que encripta los archivos de una víctima. El atacante luego exige un rescate a la víctima para restaurar el acceso a los datos tras el pago. A los usuarios generalmente se les muestran instrucciones sobre cómo pagar una tarifa para obtener la clave de descifrado. Los costos pueden variar desde unos pocos cientos de dólares hasta miles, pagaderos a los ciberdelincuentes generalmente en bitcoin.

En abril de 2021, empleados de Merseyrail, un operador ferroviario del Reino Unido, recibieron un correo electrónico de la cuenta de correo electrónico de su jefe con el asunto “Ataque de Ransomware Lockbit y Robo de Datos”. Periodistas de periódicos nacionales y medios de noticias tecnológicas también fueron copiados en los correos electrónicos.

El correo electrónico explicaba que la empresa había sido hackeada y ofrecía una imagen de los datos personales de un empleado como prueba. Los estafadores de Lockbit exigieron un rescate para liberar los datos comprometidos. No solo robaron datos sensibles, sino que también ejercieron presión pública sobre la empresa para que pagara el rescate rápidamente. Esta táctica a menudo se utiliza para obligar a las organizaciones a apresurarse a realizar un pago, pasando por alto protocolos de seguridad como informar a las autoridades relevantes y seguir procedimientos establecidos.

15 mejores prácticas para proteger a su organización contra ataques de ingeniería social

Para protegerse contra los ataques de ingeniería social, las organizaciones y los equipos de TI deben adoptar un enfoque de múltiples capas que combine tecnología, procesos e iniciativas centradas en las personas. Estas son algunas de las mejores prácticas a seguir:

1. Educar y capacitar a los empleados: Las salvaguardas técnicas como los cortafuegos y los filtros de spam tienen un alcance limitado. El error humano es una de las vulnerabilidades más frecuentes que enfrentan las organizaciones modernas y una de las más difíciles de remediar. Realice regularmente formación en conciencia de seguridad para educar a los empleados sobre las diferentes formas de ataques de ingeniería social, al menos anualmente, si no trimestralmente. Utilice ejemplos y simulaciones de la vida real para que conozcan las tácticas utilizadas por los atacantes.
2. Crear políticas de seguridad claras: Desarrollar y hacer cumplir políticas de seguridad claras en cuanto al manejo de información sensible. Asegúrese de que los empleados sepan a quién contactar si reciben comunicaciones sospechosas.
3. Utilizar autenticación multifactor (MFA): Implementar MFA para acceder a sistemas sensibles. Esto asegura que, incluso si las credenciales de inicio de sesión son comprometidas, haya una capa adicional de seguridad.
4. Actualizar y parchear regularmente los sistemas: Mantenga todos los sistemas, software y programas antivirus actualizados para reducir las vulnerabilidades que pueden ser explotadas.
5. Implementar soluciones de filtrado de correos electrónicos: Utilice soluciones de filtrado de correos electrónicos para detectar y prevenir que los correos electrónicos de phishing lleguen a las bandejas de entrada de los usuarios.
6. Utilizar un modelo de mínimo privilegio: Otorgue a los empleados los niveles mínimos de acceso necesarios para sus funciones laborales. Esto limita el daño potencial en caso de compromiso.
7. Mantener registros de actividad y acceso: Monitorear y registrar regularmente el acceso a datos sensibles. Esto puede ayudar a identificar rápidamente comportamientos anómalos y responder ante una posible brecha de seguridad.
8. Fomentar que los empleados reporten actividades sospechosas: Crear una cultura en la que los empleados se sientan cómodos reportando cualquier actividad o comunicación sospechosa sin temor a represalias.
9. Seguridad en el acceso físico: Implemente medidas de seguridad como tarjetas de acceso, biometría y registros de visitantes para prevenir el acceso físico no autorizado a las instalaciones (tailgating).
10. Realizar auditorías internas de seguridad regularmente: Realizar evaluaciones de seguridad regularmente, incluyendo pruebas de penetración y simulacros de ingeniería social, para evaluar la efectividad de sus controles de seguridad.
11. Implementar cifrado de datos: Cifre datos sensibles tanto en tránsito como en reposo. Esto asegura que, incluso si los datos son interceptados, permanezcan seguros.
12. Crear un plan de respuesta ante incidentes: Tener un plan de respuesta ante incidentes bien documentado. Esto asegura que, en caso de un ataque, su organización pueda responder efectivamente para mitigar el daño.
13. Utilizar verificación de contacto: Para cualquier solicitud inusual que implique la transferencia de fondos o datos sensibles, establezca una política para verificar la solicitud a través de un canal de comunicación alternativo.
14. Adherirse a los requisitos legales y de cumplimiento: Asegúrese de que sus prácticas de seguridad estén alineadas con los requisitos legales y de cumplimiento. Esto puede incluir la adhesión a estándares como GDPR, HIPAA o PCI DSS.
15. Esforzarse por una mejora continua: El panorama de amenazas está en constante evolución, por lo que es crucial reevaluar y actualizar regularmente las políticas, controles y programas de formación.

Recuerde que los humanos a menudo son el eslabón más débil en la seguridad. Un enfoque integral que eduque a los empleados, implemente controles técnicos sólidos y establezca políticas claras es clave para defenderse de las tácticas de ingeniería social.

Prepare a su equipo contra ataques de ingeniería social con la capacitación de Secureframe

La ciberseguridad no es simplemente un problema técnico; en primer lugar, es un problema humano. Incluso el sistema de seguridad más avanzado puede ser comprometido por un simple error humano.

Es crucial que los empleados se mantengan actualizados sobre las últimas estafas, amenazas y técnicas de ataque. La capacitación regular equipa a los equipos con el conocimiento necesario para reconocer y responder adecuadamente a una variedad de amenazas cibernéticas. Los empleados que entienden las posibles consecuencias de una mala higiene cibernética son mucho menos propensos a ser víctimas de ataques y son más propensos a tomar en serio las medidas preventivas.

Además, las regulaciones y estándares de seguridad como SOC 2, ISO 27001, HIPAA, GDPR y PCI DSS requieren capacitación regular en concienciación sobre seguridad. Estos estándares reconocen que proteger datos sensibles requiere una fuerza laboral informada y vigilante. Cuando los empleados están equipados con el conocimiento adecuado y una mentalidad consciente de la seguridad, no solo pueden prevenir incidentes, sino también responder eficazmente en caso de una violación de seguridad.

La plataforma Secureframe incluye capacitación en concienciación sobre seguridad propia, lo que facilita asignar, rastrear y reportar sobre la capacitación requerida para los empleados. Nuestros programas de capacitación atractivos se mantienen actualizados, por lo que las mejores prácticas más recientes se aprenden y se aplican en toda su organización. También puede segmentar su fuerza laboral y asignar solo la capacitación requerida para cada grupo o rol.

Conozca más sobre la Capacitación de Secureframe o programe una demostración con un experto en productos.