Taxonomía de la Ingeniera Social: Una Introducción

Entrando en materia, la Ingeniería social es el arte de inducir el actuar y/u obtener información desde terceros empleando técnicas de manipulación psicológica explotando, de esta forma, nuestras vulnerabilidades que por diseño todos los seres humanos poseemos. Es la ingeniería social el vector que, llegando al usuario indicado, puede poner en jaque todos los controles implantados botando a la basura los esfuerzos e inversiones realizadas en materia de seguridad de la información y ciberseguridad. 

Algo más formal, la ingeniería social es el conjunto de técnicas psicológicas y habilidades sociales empleadas de manera premeditada y consiente para obtener información confidencial y/o inducir el actuar de terceros.

Los ataques de ingeniería social más comunes a los que nos vemos expuestos son el Phishing, el Spear Phishing, CEO Fraud y el Whaling. ¿Sabes cómo opera el Spear Phishing? Revisa aquí 

Permíteme, de manera breve, abordar la taxonomía de un ataque de ingeniera social mediante 5 pasos claves. Estoy seguro de que te resultará de utilidad conocer como se despliega un ataque de este tipo.

1.- Identificar el/los objetivos.

Primeramente, un ciberdelincuente realizará una investigación de sus objetivos para determinar datos como dominios, correos electrónicos, relación y/o posición en la organización, infraestructura de la organización, contactos, círculo cercano, etc. Todo lo anterior, empleando técnicas de inteligencia de fuentes abiertas como Google Dorks. Como resultado, obtenemos un perfil del o los objetivos con el cual determinar la estrategia adecuada para construir el Phishing/Spear Phishing/Whaling; Si el objetivo es una organización, entonces perfilamos elementos comunes, como personas, correos, aplicaciones, proveedores, servicios o infraestructura, y luego relacionamos a las personas de forma tal de construir una propuesta convincente. Si el objetivo es una persona, hacemos énfasis en las relaciones, redes sociales, amistades, pasatiempos y trabajos.

2.- Técnicas de Evasión

El objetivo de un Spear Phishing, al igual que el del Whaling, es llegar al Inbox del usuario. A razón de lo anterior, el proceso de Identificar -anterior- normalmente provee bastante información incluyendo, en muchas ocasiones, las soluciones de seguridad empleadas por el o los objetivos lo cual es un dato relevante para incluir alguna técnica de evasión. Por otro lado, el Spear Phishing es un correo mucho más elaborado que un Phishing normal y, por tanto, hace uso de técnicas anti-Spam con el objetivo de garantizar, en el mayor de los escenarios, llegar directamente al Inbox de los usuarios objetivos. 

3.- Canales de Exfiltración

Dependiendo el propósito del Spear Phishing, definir los canales de exfiltración será más o menos complejo. En el escenario más simple, se implementa un landing page con el cual capturar información como, por ejemplo, contraseñas. En un escenario más complejo, nuestro Spear Phishing busca distribuir un payload que nos proveerá de un canal de comunicación mediante, por ejemplo, de un reverse_https con el cual tomar control del equipo afectado o exfiltraremos información empleando DNS como protocolo.

4.- Despliegue

¡Listo y enviar! Normalmente no es así. 

Un Spear Phishing tiene un proceso de investigación el cual busca maximizar la tasa de éxito. El momento del despliegue es también táctico y alineado a la estrategia definida para el o los objetivos. Es decir, si nuestro objetivo usa Sharepoint Online para compartir documentos corporativos, nuestro Spear Phishing es mucho más eficiente en horario laboral que un domingo por la madrugada.

5.- Cosecha

Entonces, ¿Qué hemos obtenido? Por supuesto que, en función del objetivo, tendremos uno u otro resultado. Siguiendo con los planteamientos anteriores, si nuestro propósito fue obtener credenciales, es momento entonces de verificarlas y disponerlas para las siguientes etapas: venta, usurpación de identidad o elaborar otros ataques (chain attacks). Por otro lado, si nuestro propósito fue obtener un reverse_https, nos toca entonces comenzar el proceso de movimientos laterales y horizontales junto con garantizar la persistencia.

Finalmente, cuando pensamos en un Spear Phishing o en un Whaling (tipo CEO FRAUD/BEC), se nos viene a la cabeza un correo altamente elaborado a nivel de diseño y recursos cuando lo cierto es que los Spear Phishing y Whaling más efectivos son los simples, directos y que hacen uso de algunos elementos importantes como la temporalidad, el conocimiento del objetivo, el sentido de la urgencia y, para el caso de un CEO FRAUD, el “peso” de la estructura jerárquica de una organización. Menos, es más; Y los ciberdelincuentes cada vez lo tienen más en cuenta.

Conocer cómo se elabora un ataque nos permite posicionarnos en el lado de un atacante para evaluar nuestras defensas y mejorarlas junto con evaluar nuestras brechas como posible objetivo determinando nuestra postura de ciberseguridad. 

Algunas sugerencias

• Implantar una postura de defensa en profundidad e incorporando zero trust como postura de ciberseguridad.
• Habilita, en lo posible, autenticación de doble factor para todos los servicios corporativos y personales.
• No. No es buena idea publicar los datos de contacto de todo tu equipo.
• Evalúa el grado de amenaza de tu organización mediante un servicio de evaluación de amenazas y exposición.
• Desconfía de todo correo que te pida dar o hacer algo.
• Monitoriza y analiza el uso y comportamiento de tus usuarios
• Mantén actualizadas tus soluciones de ciberseguridad para spam, phishing, malware y ataques avanzados.
• Concientiza y entrena a tus usuarios. Son tu primera y última barrera de defensa.

Esperamos haber aportado. Éxito y gracias por tu tiempo.

Escrito por: César Millavil Arenas

CompunetGroup CEO

C|EH - ISO27001LA – ISO27032LM