¿Acercarte tú mismo al ciberdelincuente? Esto es la ingeniería social inversa

Los ataques mediante ingeniería social se han convertido en algunos de los más usados por los ciberdelincuentes. Ya sea mediante un correo electrónico fraudulento (phishing), una llamada telefónica (vishing) o un SMS (smishing), los ciberdelincuentes son capaces de obtener la información de la víctima fácilmente y realizar el ataque.

En este blog hemos hablado muchas veces de ellos y explicado las diferentes técnicas que van creando para alcanzar sus objetivos. Una de ellas es la que contaremos a continuación: la ingeniería social inversa.

Para entender este concepto, primero tenemos que recordar qué es la ingeniería social ‘’normal’’. Es una técnica, mediante la cual, a través del engaño, los ciberdelincuentes consiguen robar datos personales e información sensible con fines ilegítimos. Para ello, el atacante tiene que acercarse a la víctima y hacerle creer que tiene que proporcionarle esa información, la mayoría de las veces, mediante una suplantación de identidad, ya sea de un banco, una red social, o cualquier servicio que la víctima use y crea confiable.

En el caso de la ingeniería social inversa, es la propia víctima la que se acerca al ciberdelincuente y acaba proporcionándole la información de forma casi voluntaria. De esta forma, los ciberdelincuentes se ahorran la parte del engaño que quizás sea la más complicada y la que más habilidades sociales requiere, pero ¿cómo lo consiguen?

Para ello, el ciberdelincuente tiene que convertirse en una figura confiable para la víctima, por ejemplo, un técnico que puede ayudarle a resolver un problema de seguridad. Lo único con lo que la víctima no cuenta, es que ese técnico no ha aparecido por casualidad, y el problema que tiene en su dispositivo tampoco, es decir, un atacante podría infectar un dispositivo y, aprovechando la situación y la urgencia de este tipo de casos, hacerse pasar por la persona que tiene la solución. La víctima entonces pondrá a su disposición toda la información que solicite, esperando que pueda ayudarle a resolver el problema.

Podemos decir entonces que un ataque de ingeniería social inversa consta de tres fases:

• En la primera, el ciberdelincuente realiza un ataque al equipo de la víctima. Este ataque  puede ser mínimo, pero alertará a la víctima y le hará buscar una solución, por ejemplo, la ayuda de un técnico.
• La segunda fase es la del engaño, a través del cual, consigue ganarse la confianza de la víctima hasta que es ésta la que reclama su ayuda. Puede presentarse como un técnico de confianza al que la víctima contratará para que le solucione el problema, sin saber que ha sido él quién lo ha creado.

Finalmente, en la fase de asistencia, el atacante obtiene la información que buscaba directamente de la víctima. De esta forma, el ciberdelincuente consigue acceso al dispositivo de la víctima y puede tomar el control para realizar el verdadero ataque sin levantar sospechas.

A grandes rasgos, podemos decir que la forma más fácil de protegerse de este tipo de ataques es contratando solo a proveedores de confianza y hacer una comprobación del historial siempre que se vaya a subcontratar y vaya a tener acceso a datos importantes de nuestra empresa. Pero, aun así, siempre podemos ser víctimas de un ataque, por lo que vamos a conocer las principales formas que los ciberatacantes usan para atacar mediante ingeniería social inversa:

• Ataque interno. Si el ciberdelincuente no puede atacar desde fuera, lo hará desde dentro de la organización. Por ejemplo, a través de un empleado descontento y con acceso, tanto físico como a la red de nuestra empresa.
• Phishing. Un tipo de ataque que ya conocemos, mediante el cual, a través de un correo electrónico, el ciberdelincuente suplanta la identidad, por ejemplo, de un banco, haciéndole creer a la víctima que tiene que acceder a un enlace e introducir sus datos, siendo este enlace fraudulento y haciendo caer la información en manos de los ciberdelincuentes.
• Robo de identidad. El ciberdelincuente se hace pasar por un empleado de la empresa, teniendo acceso a toda la información desde dentro.

Una vez que el atacante está dentro de la organización, podría modificar la información de esta a su antojo. Por ejemplo, cambiando el número de teléfono del soporte informático por el suyo propio, o colocando carteles con un número al que contactar en caso de necesitar ayuda (el suyo).

Cuando algún empleado lo necesita, acudirá a ese número que considerará fiable y, sintiendo esa confianza y la urgencia de reparar su equipo, el usuario le proporcionará toda la información que el falso técnico le solicite. Para llegar a esta situación, es el propio ciberdelincuente el que, a través de diferentes métodos (por ejemplo, eliminando un archivo importante), crea la necesidad de que el empleado acuda al servicio técnico.

Si no consiguen el acceso físico a la organización, los ciberdelincuentes harán lo posible a través de medios electrónicos para llegar a sus víctimas, enviando ofertas de soporte técnico, posicionándose en Internet para parecer más fiables o recogiendo información de los empleados para averiguar sus intereses y engañarlos mediante correo electrónico.

En definitiva, mediante la ingeniería social inversa, los ciberdelincuentes harán todo lo posible para que te acerques a ellos y tener en su poder los datos de tu empresa.