Pretexto

Tipo de ataque de ingeniería social

El pretexto es un tipo de ataque de ingeniería social que implica una situación, o pretexto , creado por un atacante para atraer a una víctima a una situación vulnerable y engañarla para que proporcione información privada, específicamente información que la víctima normalmente no daría fuera del contexto del pretexto. ^[1] A lo largo de su historia, los pretextos han sido descritos como la primera etapa de la ingeniería social y han sido utilizados por el FBI para ayudar en las investigaciones. ^[2] Un ejemplo específico de pretexto es la ingeniería social inversa, en la que el atacante engaña a la víctima para que se comunique con el atacante primero.

Una razón para la prevalencia del pretexto entre los ataques de ingeniería social es su dependencia de la manipulación de la mente humana para obtener acceso a la información que el atacante desea, en lugar de tener que piratear un sistema tecnológico. Al buscar víctimas, los atacantes pueden prestar atención a una variedad de características, como la capacidad de confiar, la baja percepción de amenaza, la respuesta a la autoridad y la susceptibilidad a reaccionar con miedo o entusiasmo en diferentes situaciones. ^{[3] [4]} A lo largo de la historia, los ataques con pretextos han aumentado en complejidad, habiendo evolucionado desde la manipulación de operadores por teléfono en la década de 1900 hasta el escándalo de Hewlett Packard en la década de 2000, que involucró el uso de números de seguridad social , teléfonos y bancos . ^[5] Los marcos educativos actuales sobre ingeniería social se utilizan en las organizaciones, aunque investigadores del mundo académico han sugerido posibles mejoras a esos marcos. ^[6]

Fondo

Ingeniería social

La ingeniería social es una táctica de manipulación psicológica que conduce a la respuesta involuntaria o inconsciente del objetivo/víctima. ^[7] Es una de las principales amenazas a la seguridad de la información en el mundo moderno y afecta a las organizaciones, la gestión empresarial y las industrias. ^[7] Los ataques de ingeniería social se consideran difíciles de prevenir debido a su raíz en la manipulación psicológica. ^[8] Estos ataques también pueden alcanzar una escala más amplia. En otros ataques a la seguridad, una empresa que posee datos de clientes podría verse vulnerada. Con los ataques de ingeniería social, tanto la empresa (específicamente los trabajadores dentro de la empresa) como el cliente directamente son susceptibles de ser atacados. ^[8]

Un ejemplo sería el sector bancario, donde no sólo se puede atacar a los empleados del banco, sino también a los clientes. Los culpables de la ingeniería social se dirigen directamente a los clientes y/o empleados para intentar piratear un sistema puramente tecnológico y explotar las vulnerabilidades humanas. ^[8]

Aunque su definición en relación con la ciberseguridad ha estado sesgada en diferentes publicaciones, un tema común es que la ingeniería social (en ciberseguridad) explota las vulnerabilidades humanas para violar entidades como las computadoras y la tecnología de la información. ^[2]

La ingeniería social tiene poca literatura e investigación al respecto actualmente. Sin embargo, una parte principal de la metodología al investigar la ingeniería social es establecer un pretexto inventado. Al evaluar qué ataques de ingeniería social son los más peligrosos o dañinos (es decir, phishing , vishing , water-holeing ), el tipo de pretexto es un factor en gran medida insignificante, ya que algunos ataques pueden tener múltiples pretextos. Por lo tanto, el pretexto en sí mismo se utiliza ampliamente, no sólo como un ataque propio, sino como un componente de otros. ^[9]

El pretexto en la cronología de la ingeniería social

En ciberseguridad, los pretextos pueden considerarse una de las primeras etapas de evolución de la ingeniería social. Por ejemplo, mientras que el ataque de ingeniería social conocido como phishing se basa en elementos modernos como tarjetas de crédito y ocurre principalmente en el espacio electrónico, los pretextos se implementaron y se pueden implementar sin tecnología. ^[10]

El pretexto fue uno de los primeros ejemplos de ingeniería social. Acuñado por el FBI en 1974, el concepto de pretexto se utilizaba a menudo para ayudar en sus investigaciones. En esta fase, el pretexto consistía en que un atacante llamaba a la víctima simplemente para pedirle información. ^[2] Los ataques de pretexto suelen consistir en tácticas de persuasión. Después de esta fase inicial de la evolución de la ingeniería social (1974-1983), los pretextos cambiaron no sólo de tácticas de persuasión, sino también de tácticas de engaño. A medida que la tecnología se desarrolló, también se desarrollaron métodos de pretexto. Pronto, los piratas informáticos tuvieron acceso a una audiencia más amplia de víctimas gracias a la invención de las redes sociales. ^[2]

Ingeniería social inversa

La ingeniería social inversa es un ejemplo más específico de pretexto. ^[11] Es una forma no electrónica de ingeniería social en la que el atacante crea un pretexto en el que se manipula al usuario para que se ponga en contacto con el atacante primero, y al revés.

Normalmente, los ataques de ingeniería inversa implican que el atacante anuncie sus servicios como un tipo de ayuda técnica, estableciendo credibilidad. Luego, se engaña a la víctima para que se comunique con el atacante después de ver anuncios, sin que el atacante se comunique directamente con la víctima en primer lugar. Una vez que un atacante logra con éxito un ataque de ingeniería social inversa, se puede establecer una amplia gama de ataques de ingeniería social debido a la confianza falsificada entre el atacante y la víctima (por ejemplo, el atacante puede darle a la víctima un vínculo dañino y decirle que es una solución al problema de la víctima. Debido a la conexión entre el atacante y la víctima, la víctima se inclinará a creerle al atacante y hacer clic en el enlace dañino). ^[12]

Aspecto social

Los pretextos fueron y siguen siendo vistos como una táctica útil en los ataques de ingeniería social. Según los investigadores, esto se debe a que no dependen de la tecnología (como piratear sistemas informáticos o violar la tecnología ). Los pretextos pueden ocurrir en línea, pero dependen más del usuario y de los aspectos de su personalidad que el atacante puede utilizar en su beneficio. ^[13] Los ataques que dependen más del usuario son más difíciles de rastrear y controlar, ya que cada persona responde a los ataques de ingeniería social y pretexto de manera diferente. Sin embargo, atacar directamente a una computadora puede requerir menos esfuerzo para resolverlo, ya que las computadoras funcionan relativamente de manera similar. ^[13] Hay ciertas características de los usuarios que los atacantes identifican y atacan. En el ámbito académico, algunas características comunes ^[14] son:

Premiado

Si la víctima es "preciada", significa que tiene algún tipo de información que el ingeniero social desea. ^[3]

capacidad de confiar

La confiabilidad va de la mano con la simpatía, ya que, por lo general, cuanto más agrada a alguien, más se confía en él. ^[14] De manera similar, cuando se establece confianza entre el ingeniero social (el atacante) y la víctima, también se establece credibilidad. Por lo tanto, es más fácil para la víctima divulgar información personal al atacante si es más fácil para la víctima confiar. ^[4]

Susceptibilidad a reaccionar

Con qué facilidad reacciona una persona ante los acontecimientos y en qué medida se puede utilizar a favor de un ingeniero social. En particular, emociones como la excitación y el miedo se utilizan a menudo para persuadir a las personas a divulgar información. Por ejemplo, se podría establecer un pretexto en el que el ingeniero social se burla de un premio interesante para la víctima si acepta darle su información bancaria al ingeniero social. El sentimiento de excitación se puede utilizar para atraer a la víctima al pretexto y persuadirla de que le dé al atacante la información que busca. ^[14]

Baja percepción de amenaza

A pesar de comprender que existen amenazas al hacer cualquier cosa en línea, la mayoría de las personas realizarán acciones que van en contra de esto, como hacer clic en enlaces aleatorios o aceptar solicitudes de amistad desconocidas. ^[14] Esto se debe a que una persona percibe la acción como de baja amenaza o consecuencia negativa. Esta falta de miedo/amenaza, a pesar de ser consciente de su presencia, es otra razón por la que prevalecen los ataques de ingeniería social, especialmente los pretextos. ^[15]

Respuesta a la autoridad

Si la víctima es sumisa y dócil, entonces es más probable que un atacante tenga éxito en el ataque si se establece un pretexto en el que la víctima piensa que el atacante se hace pasar por algún tipo de figura autorizada. ^[14]

Ejemplos

Pretextos tempranos (décadas de 1970 a 1980)

El artículo de octubre de 1984 Centros de conmutación y operadores detallaba un ataque de pretexto común en ese momento. Los atacantes a menudo contactaban con operadores que trabajaban específicamente para personas sordas utilizando teletipos. La lógica era que estos operadores eran a menudo más pacientes que los operadores normales, por lo que era más fácil manipularlos y persuadirlos para obtener la información que el atacante deseaba. ^[2]

Ejemplos recientes

Un ejemplo notable es el escándalo de Hewlett Packard . La empresa Hewlett Packard quería saber quién filtraba información a los periodistas. Para hacerlo, proporcionaron a investigadores privados información personal de los empleados (como números de seguro social) y los investigadores privados, a su vez, llamaron a compañías telefónicas haciéndose pasar por esos empleados con la esperanza de obtener registros de llamadas. Cuando se descubrió el escándalo, el director general dimitió. ^[dieciséis]

En general, los socialbots son perfiles de redes sociales falsos operados por máquinas y empleados por atacantes de ingeniería social. En sitios de redes sociales como Facebook, los socialbots se pueden utilizar para enviar solicitudes de amistad masivas con el fin de encontrar tantas víctimas potenciales como sea posible. ^[5] Utilizando técnicas de ingeniería social inversa, los atacantes pueden utilizar robots sociales para obtener cantidades masivas de información privada sobre muchos usuarios de redes sociales. ^[17] En 2018, un estafador se hizo pasar por el empresario Elon Musk en Twitter , alterando su nombre y su foto de perfil. Procedieron a iniciar una estafa de obsequio engañoso, prometiendo multiplicar la criptomoneda enviada por los usuarios. Posteriormente, el estafador retuvo los fondos que les envió. Este incidente sirve como ejemplo de cómo se empleó el pretexto como táctica en un ataque de ingeniería social. ^[18]

Marcos educativos actuales

Los marcos educativos actuales sobre el tema de la ingeniería social se dividen en dos categorías: sensibilización y formación. La concientización es cuando la información sobre ingeniería social se presenta a la parte prevista para informarle sobre el tema. La capacitación consiste específicamente en enseñar las habilidades necesarias que las personas aprenderán y utilizarán en caso de que se encuentren en un ataque de ingeniería social o puedan encontrarse con uno. ^[6] La sensibilización y la formación pueden combinarse en un proceso intensivo a la hora de construir marcos educativos.

Si bien se han realizado investigaciones sobre el éxito y la necesidad de los programas de capacitación en el contexto de la educación en ciberseguridad, ^[19] hasta el 70% de la información se puede perder cuando se trata de capacitación en ingeniería social. ^[20] Un estudio de investigación sobre la educación en ingeniería social en bancos de Asia Pacífico , encontró que la mayoría de los marcos solo abordaban la concientización o la capacitación. Además, el único tipo de ataque de ingeniería social que se enseñó fue el phishing. Al observar y comparar las políticas de seguridad en los sitios web de estos bancos, las políticas contienen lenguaje generalizado como "malware" y "estafas", al tiempo que omiten los detalles detrás de los diferentes tipos de ataques de ingeniería social y ejemplos de cada uno de esos tipos. . ^[6]

Esta generalización no beneficia a los usuarios que reciben educación mediante estos marcos, ya que falta una profundidad considerable cuando el usuario solo recibe educación en términos amplios como los ejemplos anteriores. Además, los métodos puramente técnicos para luchar contra la ingeniería social y los ataques de pretexto, como los cortafuegos y los antivirus , resultan ineficaces. Esto se debe a que los ataques de ingeniería social normalmente implican explotar las características sociales de la naturaleza humana, por lo que combatir puramente la tecnología es ineficaz. ^[21]

Ver también

• Ingeniería social
• Pretexto
• Suplantación de identidad
• Escándalo de espionaje de Hewlett-Packard
• FBI

Referencias

1. Greitzer, Florida; Strozer, JR; Cohen, S.; Moore, AP; Mundie, D.; Cowley, J. (mayo de 2014). "Análisis de amenazas internas involuntarias derivadas de hazañas de ingeniería social". Talleres de seguridad y privacidad de IEEE 2014 . págs. 236–250. doi :10.1109/SPW.2014.39. ISBN 978-1-4799-5103-1. S2CID  15493684.
2. Wang, Zuoguang; Sol, Limin; Zhu, Hongsong (2020). "Definición de Ingeniería Social en Ciberseguridad". Acceso IEEE . 8 : 85094–85115. doi : 10.1109/ACCESS.2020.2992807 . ISSN  2169-3536. S2CID  218676466.
3. Steinmetz, Kevin F. (7 de septiembre de 2020). "La identificación de una víctima modelo de la ingeniería social: un análisis cualitativo". Víctimas y delincuentes . 16 (4): 540–564. doi : 10.1080/15564886.2020.1818658. ISSN  1556-4886. S2CID  225195664.
4. Algarni, Abdullah (junio de 2019). "Qué características de los mensajes hacen que la ingeniería social sea exitosa en Facebook: el papel de la ruta central, la ruta periférica y el riesgo percibido". Información . 10 (6): 211. doi : 10.3390/info10060211 .
5. Paraíso, Abigail; Shabtai, Asaf; Puzis, Rami (1 de septiembre de 2019). "Detección de socialbots dirigidos a organizaciones mediante el seguimiento de perfiles de redes sociales". Redes y Economía Espacial . 19 (3): 731–761. doi :10.1007/s11067-018-9406-1. ISSN  1572-9427. S2CID  158163902.
6. Ivaturi, Koteswara; Janczewski, Lech (1 de octubre de 2013). "Preparación de los bancos en línea para la ingeniería social: una perspectiva de Asia y el Pacífico". Revista de gestión global de tecnologías de la información . 16 (4): 21–46. doi :10.1080/1097198X.2013.10845647. ISSN  1097-198X. S2CID  154032226.
7. Ghafir, Ibrahim; Saleem, Jibran; Hammoudeh, Mohammad; Faour, Hanan; Prenosil, Vaclav; Jaf, Sardar; Jabbar, Sohail; Baker, Thar (octubre de 2018). "Amenazas a la seguridad de las infraestructuras críticas: el factor humano". La revista de supercomputación . 74 (10): 4986–5002. doi : 10.1007/s11227-018-2337-2 . hdl : 10454/17618 . ISSN  0920-8542. S2CID  4336550.
8. Airehrour, David; Nair, Nisha Vasudevan; Madanian, Samaneh (3 de mayo de 2018). "Ataques y contramedidas de ingeniería social en el sistema bancario de Nueva Zelanda: avance de un modelo de mitigación que reflexione sobre el usuario". Información . 9 (5): 110. doi : 10.3390/info9050110 . hdl : 10652/4378 . ISSN  2078-2489.
9. Bleiman, Raquel (2020). Un examen de ingeniería social: la susceptibilidad de revelar información de seguridad privada en estudiantes universitarios (tesis). doi :10.34944/dspace/365.
10. Barbilla, Tommy; Xiong, Kaiqi; Hu, Chengbin (2018). "Phishlimiter: un enfoque de mitigación y detección de phishing mediante redes definidas por software". Acceso IEEE . 6 : 42516–42531. doi : 10.1109/ACCESS.2018.2837889 . ISSN  2169-3536. S2CID  52048062.
11. Greitzer, Frank L.; Strozer, Jeremy R.; Cohen, Sholom; Moore, Andrés P.; Mundie, David; Cowley, Jennifer (mayo de 2014). "Análisis de amenazas internas involuntarias derivadas de hazañas de ingeniería social". Talleres de seguridad y privacidad de IEEE 2014 . San José, CA: IEEE. págs. 236–250. doi :10.1109/SPW.2014.39. ISBN 978-1-4799-5103-1. S2CID  15493684.
12. iraní, danés; Balduzzi, Marco; Balzarotti, Davide; Kirda, Engin; Pu, Calton (2011). Holz, Thorsten; Bos, Herbert (eds.). "Ataques de ingeniería social inversa en redes sociales online". Detección de Intrusiones y Malware, y Evaluación de Vulnerabilidades . Apuntes de conferencias sobre informática. 6739 . Berlín, Heidelberg: Springer: 55–74. doi :10.1007/978-3-642-22424-9_4. ISBN 978-3-642-22424-9.
13. Heartfield, Ryan; Loukas, George (2018), Conti, Mauro; Somani, Gaurav; Poovendran, Radha (eds.), "Protección contra ataques de ingeniería social semántica", Ciberseguridad versátil , vol. 72, Cham: Springer International Publishing, págs. 99-140, doi :10.1007/978-3-319-97643-3_4, ISBN 978-3-319-97642-6, recuperado el 29 de octubre de 2020
14. Obrero, Michael (13 de diciembre de 2007). "Obtener acceso con ingeniería social: un estudio empírico de la amenaza". Seguridad de los Sistemas de Información . 16 (6): 315–331. doi : 10.1080/10658980701788165 . ISSN  1065-898X. S2CID  205732672.
15. Krombholz, Katharina; Merkl, Dieter; Weippl, Edgar (diciembre de 2012). "Identidades falsas en las redes sociales: un estudio de caso sobre la sostenibilidad del modelo de negocio de Facebook". Revista de investigación en ciencias de servicios . 4 (2): 175–212. doi :10.1007/s12927-012-0008-z. ISSN  2093-0720. S2CID  6082130.
16. Trabajador, Michael (2008). "Wisecrackers: una investigación basada en teoría sobre amenazas de ingeniería social de phishing y pretextos a la seguridad de la información". Revista de la Sociedad Estadounidense de Ciencia y Tecnología de la Información . 59 (4): 662–674. doi :10.1002/asi.20779. ISSN  1532-2882.
17. Boshmaf, Yazan; Muslujov, Ildar; Beznosov, Konstantin; Ripeanu, Matei (4 de febrero de 2013). "Diseño y análisis de una botnet social". Red de computadoras . Actividad de Botnet: Análisis, Detección y Apagado. 57 (2): 556–578. doi : 10.1016/j.comnet.2012.06.006. ISSN  1389-1286.
18. Bhusal, Chandra Sekhar (2020). "Revisión sistemática de la ingeniería social: piratería mediante la manipulación de humanos". Revista Electrónica SSRN . doi :10.2139/ssrn.3720955. ISSN  1556-5068.
19. McCrohan, Kevin F.; Engel, Kathryn; Harvey, James W. (14 de junio de 2010). "Influencia de la sensibilización y formación en la ciberseguridad". Revista de comercio por Internet . 9 (1): 23–41. doi :10.1080/15332861.2010.487415. ISSN  1533-2861. S2CID  154281581.
20. Ghafir, Ibrahim; Saleem, Jibran; Hammoudeh, Mohammad; Faour, Hanan; Prenosil, Vaclav; Jaf, Sardar; Jabbar, Sohail; Panadero, Thar (1 de octubre de 2018). "Amenazas a la seguridad de las infraestructuras críticas: el factor humano". La revista de supercomputación . 74 (10): 4986–5002. doi : 10.1007/s11227-018-2337-2 . hdl : 10454/17618 . ISSN  1573-0484. S2CID  4336550.
21. Heartfield, Ryan; Loukás, George; Gan, Diane (2016). "Probablemente no sea el eslabón más débil: hacia la predicción práctica de la susceptibilidad a los ataques de ingeniería social semántica". Acceso IEEE . 4 : 6910–6928. doi : 10.1109/ACCESS.2016.2616285 . ISSN  2169-3536. S2CID  29598707.