Pretextos

Tipo de ataque de ingeniería social

El pretexto es un tipo de ataque de ingeniería social que implica una situación, o pretexto , creado por un atacante para atraer a una víctima a una situación vulnerable y engañarla para que brinde información privada, específicamente información que la víctima normalmente no daría fuera del contexto del pretexto. ^[1] En su historia, el pretexto se ha descrito como la primera etapa de la ingeniería social y ha sido utilizado por el FBI para ayudar en las investigaciones. ^[2] Un ejemplo específico de pretexto es la ingeniería social inversa, en la que el atacante engaña a la víctima para que se comunique con el atacante primero.

Una razón para la prevalencia del pretexting entre los ataques de ingeniería social es su dependencia de la manipulación de la mente humana para obtener acceso a la información que el atacante desea, en lugar de manipular un sistema tecnológico. Al buscar víctimas, los atacantes pueden estar atentos a una variedad de características, como la capacidad de confiar, la baja percepción de amenaza, la respuesta a la autoridad y la susceptibilidad a reaccionar con miedo o excitación en diferentes situaciones. ^{[3] [4]} A lo largo de la historia, los ataques de pretexting han aumentado en complejidad, habiendo evolucionado desde la manipulación de operadores por teléfono en la década de 1900 hasta el escándalo de Hewlett Packard en la década de 2000, que involucró el uso de números de seguridad social , teléfonos y bancos . ^[5] Los marcos educativos actuales sobre ingeniería social se utilizan en las organizaciones, aunque los investigadores en el ámbito académico han sugerido posibles mejoras a esos marcos. ^[6]

Fondo

Ingeniería social

La ingeniería social es una táctica de manipulación psicológica que provoca una respuesta involuntaria o inconsciente del objetivo/víctima. ^[7] Es una de las principales amenazas a la seguridad de la información en el mundo moderno, que afecta a las organizaciones, la gestión empresarial y las industrias. ^[7] Los ataques de ingeniería social se consideran difíciles de prevenir debido a su raíz en la manipulación psicológica. ^[8] Estos ataques también pueden alcanzar una escala más amplia. En otros ataques de seguridad, una empresa que posee datos de clientes puede ser vulnerada. Con los ataques de ingeniería social, tanto la empresa (específicamente los trabajadores dentro de la empresa) como el cliente directamente son susceptibles de ser atacados. ^[8]

Un ejemplo sería el sector bancario, donde no sólo los empleados del banco pueden ser atacados, sino también los clientes. Los delincuentes de ingeniería social atacan directamente a los clientes o empleados para eludir el intento de piratear un sistema puramente tecnológico y explotar las vulnerabilidades humanas. ^[8]

Aunque su definición en relación con la ciberseguridad ha sido distorsionada en diferentes publicaciones, un tema común es que la ingeniería social (en ciberseguridad) explota las vulnerabilidades humanas para violar entidades como computadoras y tecnología de la información. ^[2]

Actualmente, hay poca literatura e investigación sobre ingeniería social. Sin embargo, una parte principal de la metodología al investigar la ingeniería social es crear un pretexto inventado. Al evaluar qué ataques de ingeniería social son los más peligrosos o dañinos (por ejemplo, phishing , vishing , water-holing ), el tipo de pretexto es un factor en gran medida insignificante, ya que algunos ataques pueden tener múltiples pretextos. Por lo tanto, el pretexto en sí mismo se usa ampliamente, no solo como un ataque en sí mismo, sino como un componente de otros. ^[9]

El pretexto en la cronología de la ingeniería social

En materia de ciberseguridad, el uso de pretextos puede considerarse una de las primeras etapas de la evolución de la ingeniería social. Por ejemplo, mientras que el ataque de ingeniería social conocido como phishing se basa en elementos modernos como tarjetas de crédito y se produce principalmente en el espacio electrónico, el uso de pretextos se implementó y se puede implementar sin tecnología. ^[10]

El pretexto fue uno de los primeros ejemplos de ingeniería social. El concepto de pretexto, acuñado por el FBI en 1974, se utilizaba a menudo para ayudar en sus investigaciones. En esta fase, el pretexto consistía en que un atacante llamara a la víctima simplemente para pedirle información. ^[2] Los ataques de pretexto suelen consistir en tácticas de persuasión. Después de esta fase inicial de la evolución de la ingeniería social (1974-1983), el pretexto dejó de ser solo una táctica de persuasión para convertirse en una táctica de engaño. A medida que la tecnología se desarrollaba, los métodos de pretexto se desarrollaban junto con ella. Pronto, los piratas informáticos tuvieron acceso a una audiencia más amplia de víctimas gracias a la invención de las redes sociales. ^[2]

Ingeniería social inversa

La ingeniería social inversa es un ejemplo más específico de pretexto. ^[11] Es una forma no electrónica de ingeniería social en la que el atacante crea un pretexto con el que se manipula al usuario para que se ponga en contacto con el atacante primero, en lugar de al revés.

Por lo general, los ataques de ingeniería inversa implican que el atacante anuncie sus servicios como un tipo de ayuda técnica, lo que genera credibilidad. Luego, se engaña a la víctima para que se comunique con el atacante después de ver anuncios, sin que el atacante se comunique directamente con la víctima en primer lugar. Una vez que un atacante logra realizar con éxito un ataque de ingeniería social inversa, se puede establecer una amplia gama de ataques de ingeniería social debido a la confianza falsificada entre el atacante y la víctima (por ejemplo, el atacante puede darle a la víctima un enlace dañino y decirle que es una solución al problema de la víctima. Debido a la conexión entre el atacante y la víctima, la víctima se inclinará a creerle al atacante y hacer clic en el enlace dañino). ^[12]

Aspecto social

El uso de pretextos se ha considerado y sigue considerándose una táctica útil en los ataques de ingeniería social. Según los investigadores, esto se debe a que no dependen de la tecnología (como la piratería de sistemas informáticos o la violación de la tecnología ). El uso de pretextos puede ocurrir en línea, pero depende más del usuario y de los aspectos de su personalidad que el atacante puede utilizar en su beneficio. ^[13] Los ataques que dependen más del usuario son más difíciles de rastrear y controlar, ya que cada persona responde a los ataques de ingeniería social y de pretextos de manera diferente. Sin embargo, atacar directamente una computadora puede requerir menos esfuerzo para resolverse, ya que las computadoras funcionan de manera relativamente similar. ^[13] Hay ciertas características de los usuarios que los atacantes identifican y atacan. En el ámbito académico, algunas características comunes ^[14] son:

Preciado

Si la víctima es “valorada”, significa que tiene algún tipo de información que el ingeniero social desea. ^[3]

Capacidad de confiar

La confianza va de la mano con la simpatía, ya que, por lo general, cuanto más simpatía despierta una persona, más confianza despierta en ella. ^[14] De manera similar, cuando se establece confianza entre el ingeniero social (el atacante) y la víctima, también se establece credibilidad. Por lo tanto, es más fácil para la víctima divulgar información personal al atacante si es más fácil confiar en ella. ^[4]

Susceptibilidad a reaccionar

La facilidad con la que una persona reacciona a los acontecimientos y en qué medida puede utilizarse a favor de un ingeniero social. En particular, emociones como la excitación y el miedo se utilizan a menudo para persuadir a las personas a que divulguen información. Por ejemplo, se podría establecer un pretexto en el que el ingeniero social proponga un premio emocionante para la víctima si acepta darle su información bancaria. La sensación de excitación se puede utilizar para atraer a la víctima hacia el pretexto y persuadirla de que le dé al atacante la información que se busca. ^[14]

Baja percepción de amenaza

A pesar de comprender que existen amenazas al hacer cualquier cosa en línea, la mayoría de las personas realizarán acciones que van en contra de esto, como hacer clic en enlaces aleatorios o aceptar solicitudes de amistad desconocidas. ^[14] Esto se debe a que la persona percibe la acción como de baja amenaza o consecuencia negativa. Esta falta de miedo/amenaza, a pesar de ser consciente de su presencia, es otra razón por la que los ataques de ingeniería social, especialmente los pretextos, son frecuentes. ^[15]

Respuesta a la autoridad

Si la víctima es sumisa y dócil, entonces es más probable que el atacante tenga éxito en el ataque si se presenta un pretexto en el que la víctima piensa que el atacante se hace pasar por algún tipo de figura autoritaria. ^[14]

Ejemplos

Los primeros pretextos (década de 1970-1980)

El artículo de octubre de 1984 Switching centres and Operators detallaba un ataque de pretextos común en esa época. Los atacantes solían contactar con operadores que trabajaban específicamente para personas sordas mediante teletipos. La lógica era que estos operadores solían ser más pacientes que los operadores normales, por lo que era más fácil manipularlos y persuadirlos para que les dieran la información que deseaban. ^[2]

Ejemplos recientes

Un ejemplo notable es el escándalo de Hewlett Packard . La empresa Hewlett Packard quería saber quién estaba filtrando información a los periodistas. Para ello, proporcionó a investigadores privados información personal de los empleados (como números de seguridad social), y los investigadores privados a su vez llamaron a las compañías telefónicas haciéndose pasar por esos empleados con la esperanza de obtener registros de llamadas. Cuando se descubrió el escándalo, el director ejecutivo dimitió. ^[16]

En general, los socialbots son perfiles falsos de redes sociales operados por máquinas que emplean atacantes de ingeniería social. En sitios de redes sociales como Facebook, los socialbots se pueden utilizar para enviar solicitudes de amistad masivas con el fin de encontrar tantas víctimas potenciales como sea posible. ^[5] Mediante técnicas de ingeniería social inversa, los atacantes pueden utilizar socialbots para obtener cantidades masivas de información privada sobre muchos usuarios de redes sociales. ^[17] En 2018, un estafador se hizo pasar por el empresario Elon Musk en Twitter , alterando su nombre y foto de perfil. Procedió a iniciar una estafa engañosa de obsequios, prometiendo multiplicar la criptomoneda enviada por los usuarios. Posteriormente, el estafador retuvo los fondos que se le enviaron. Este incidente sirve como ejemplo de cómo se empleó el pretexto como táctica en un ataque de ingeniería social. ^[18]

Marcos educativos actuales

Los marcos educativos actuales sobre el tema de la ingeniería social se dividen en dos categorías: concientización y capacitación. La concientización es cuando se presenta la información sobre ingeniería social a la parte destinataria para informarla sobre el tema. La capacitación es específicamente enseñar las habilidades necesarias que las personas aprenderán y usarán en caso de que se vean envueltas en un ataque de ingeniería social o puedan encontrarse con uno. ^[6] La concientización y la capacitación se pueden combinar en un proceso intensivo al construir marcos educativos.

Si bien se han realizado investigaciones sobre el éxito y la necesidad de los programas de capacitación en el contexto de la educación en ciberseguridad, ^[19] hasta el 70% de la información se puede perder cuando se trata de capacitación en ingeniería social. ^[20] En un estudio de investigación sobre la educación en ingeniería social en bancos de Asia Pacífico , se descubrió que la mayoría de los marcos solo abordaban la concientización o la capacitación. Además, el único tipo de ataque de ingeniería social que se enseñaba era el phishing. Al observar y comparar las políticas de seguridad en los sitios web de estos bancos, las políticas contienen un lenguaje generalizado como "malware" y "estafas", al tiempo que omiten los detalles detrás de los diferentes tipos de ataques de ingeniería social y ejemplos de cada uno de esos tipos. ^[6]

Esta generalización no beneficia a los usuarios que reciben formación a través de estos marcos, ya que se pierde una profundidad considerable cuando el usuario sólo recibe formación en términos generales como los ejemplos anteriores. Además, los métodos puramente técnicos para combatir la ingeniería social y los ataques de pretexto, como los cortafuegos y los antivirus , son ineficaces. Esto se debe a que los ataques de ingeniería social suelen implicar la explotación de la característica social de la naturaleza humana, por lo que combatir únicamente la tecnología es ineficaz. ^[21]

Véase también

• Ingeniería social
• Pretexto
• Suplantación de identidad (phishing)
• Escándalo de espionaje de Hewlett-Packard
• FBI

Referencias

1. Greitzer, FL; Strozer, JR; Cohen, S.; Moore, AP; Mundie, D.; Cowley, J. (mayo de 2014). "Análisis de amenazas internas no intencionales derivadas de exploits de ingeniería social". Talleres de seguridad y privacidad del IEEE de 2014. págs. 236–250. doi :10.1109/SPW.2014.39. ISBN 978-1-4799-5103-1. Número de identificación del sujeto  15493684.
2. Wang, Zuoguang; Sun, Limin; Zhu, Hongsong (2020). "Definición de ingeniería social en ciberseguridad". IEEE Access . 8 : 85094–85115. doi : 10.1109/ACCESS.2020.2992807 . ISSN  2169-3536. S2CID  218676466.
3. Steinmetz, Kevin F. (7 de septiembre de 2020). "La identificación de una víctima modelo para la ingeniería social: un análisis cualitativo". Víctimas y delincuentes . 16 (4): 540–564. doi :10.1080/15564886.2020.1818658. ISSN  1556-4886. S2CID  225195664.
4. Algarni, Abdullah (junio de 2019). "Qué características de los mensajes hacen que la ingeniería social sea exitosa en Facebook: el papel de la ruta central, la ruta periférica y el riesgo percibido". Información . 10 (6): 211. doi : 10.3390/info10060211 .
5. Paradise, Abigail; Shabtai, Asaf; Puzis, Rami (1 de septiembre de 2019). "Detección de bots sociales dirigidos a organizaciones mediante el monitoreo de perfiles de redes sociales". Redes y economía espacial . 19 (3): 731–761. doi :10.1007/s11067-018-9406-1. ISSN  1572-9427. S2CID  158163902.
6. Ivaturi, Koteswara; Janczewski, Lech (1 de octubre de 2013). "Preparación de los bancos en línea para la ingeniería social: una perspectiva de Asia y el Pacífico". Revista de gestión global de la tecnología de la información . 16 (4): 21–46. doi :10.1080/1097198X.2013.10845647. ISSN  1097-198X. S2CID  154032226.
7. Ghafir, Ibrahim; Saleem, Jibran; Hammoudeh, Mohammad; Faour, Hanan; Prenosil, Vaclav; Jaf, Sardar; Jabbar, Sohail; Baker, Thar (octubre de 2018). "Amenazas de seguridad para infraestructuras críticas: el factor humano". The Journal of Supercomputing . 74 (10): 4986–5002. doi : 10.1007/s11227-018-2337-2 . hdl : 10454/17618 . ISSN  0920-8542. S2CID  4336550.
8. Airehrour, David; Nair, Nisha Vasudevan; Madanian, Samaneh (3 de mayo de 2018). "Ataques de ingeniería social y contramedidas en el sistema bancario de Nueva Zelanda: avance de un modelo de mitigación que refleje la atención del usuario". Información . 9 (5): 110. doi : 10.3390/info9050110 . hdl : 10652/4378 . ISSN  2078-2489.
9. Bleiman, Rachel (2020). Un examen de la ingeniería social: la susceptibilidad de los estudiantes universitarios a la divulgación de información de seguridad privada (tesis). doi :10.34944/dspace/365.
10. Chin, Tommy; Xiong, Kaiqi; Hu, Chengbin (2018). "Phishlimiter: un enfoque de detección y mitigación de phishing mediante redes definidas por software". IEEE Access . 6 : 42516–42531. doi : 10.1109/ACCESS.2018.2837889 . ISSN  2169-3536. S2CID  52048062.
11. Greitzer, Frank L.; Strozer, Jeremy R.; Cohen, Sholom; Moore, Andrew P.; Mundie, David; Cowley, Jennifer (mayo de 2014). "Análisis de amenazas internas no intencionales derivadas de exploits de ingeniería social". Talleres de seguridad y privacidad del IEEE de 2014. San José, CA: IEEE. págs. 236–250. doi :10.1109/SPW.2014.39. ISBN . 978-1-4799-5103-1. Número de identificación del sujeto  15493684.
12. Irani, Danesh; Balduzzi, Marco; Balzarotti, Davide; Kirda, Engin; Pu, Calton (2011). Holz, Thorsten; Bos, Herbert (eds.). "Ataques de ingeniería social inversa en redes sociales en línea". Detección de intrusiones y malware, y evaluación de vulnerabilidades . Apuntes de clase en informática. 6739. Berlín, Heidelberg: Springer: 55–74. doi :10.1007/978-3-642-22424-9_4. ISBN 978-3-642-22424-9.
13. Heartfield, Ryan; Loukas, George (2018), Conti, Mauro; Somani, Gaurav; Poovendran, Radha (eds.), "Protección contra ataques de ingeniería social semántica", Versatile Cybersecurity , vol. 72, Cham: Springer International Publishing, págs. 99–140, doi :10.1007/978-3-319-97643-3_4, ISBN 978-3-319-97642-6, consultado el 29 de octubre de 2020
14. Workman, Michael (13 de diciembre de 2007). "Obtención de acceso mediante ingeniería social: un estudio empírico de la amenaza". Seguridad de los sistemas de información . 16 (6): 315–331. doi : 10.1080/10658980701788165 . ISSN  1065-898X. S2CID  205732672.
15. Krombholz, Katharina; Merkl, Dieter; Weippl, Edgar (diciembre de 2012). "Identidades falsas en las redes sociales: un estudio de caso sobre la sostenibilidad del modelo de negocio de Facebook". Revista de investigación en ciencias de los servicios . 4 (2): 175–212. doi :10.1007/s12927-012-0008-z. ISSN  2093-0720. S2CID  6082130.
16. Workman, Michael (2008). "Wisecrackers: una investigación fundamentada en la teoría de las amenazas a la seguridad de la información que plantean el phishing y la ingeniería social de pretexto". Revista de la Sociedad Estadounidense de Ciencias de la Información y Tecnología . 59 (4): 662–674. doi :10.1002/asi.20779. ISSN  1532-2882.
17. Boshmaf, Yazan; Muslukhov, Ildar; Beznosov, Konstantin; Ripeanu, Matei (4 de febrero de 2013). "Diseño y análisis de una botnet social". Redes informáticas . Actividad de botnets: análisis, detección y desactivación. 57 (2): 556–578. doi :10.1016/j.comnet.2012.06.006. ISSN  1389-1286.
18. Bhusal, Chandra Sekhar (2020). "Revisión sistemática sobre ingeniería social: piratería mediante manipulación de humanos". Revista electrónica SSRN . doi :10.2139/ssrn.3720955. ISSN  1556-5068.
19. McCrohan, Kevin F.; Engel, Kathryn; Harvey, James W. (14 de junio de 2010). "Influencia de la concienciación y la formación en la ciberseguridad". Journal of Internet Commerce . 9 (1): 23–41. doi :10.1080/15332861.2010.487415. ISSN  1533-2861. S2CID  154281581.
20. Ghafir, Ibrahim; Saleem, Jibran; Hammoudeh, Mohammad; Faour, Hanan; Prenosil, Vaclav; Jaf, Sardar; Jabbar, Sohail; Baker, Thar (1 de octubre de 2018). "Amenazas de seguridad para infraestructuras críticas: el factor humano". The Journal of Supercomputing . 74 (10): 4986–5002. doi : 10.1007/s11227-018-2337-2 . hdl : 10454/17618 . ISSN  1573-0484. S2CID  4336550.
21. Heartfield, Ryan; Loukas, George; Gan, Diane (2016). "Probablemente no eres el eslabón más débil: hacia una predicción práctica de la susceptibilidad a los ataques de ingeniería social semántica". IEEE Access . 4 : 6910–6928. doi : 10.1109/ACCESS.2016.2616285 . ISSN  2169-3536. S2CID  29598707.