El Ataque Más Difícil de Defender, Sin Necesidad de Tecnología
En julio de 2020, el sistema de gestión interno de Twitter fue comprometido. Los atacantes controlaron simultáneamente más de 130 cuentas de alto perfil, incluyendo las de Barack Obama, Joe Biden, y Elon Musk, y publicaron tweets de estafa de criptomonedas, logrando robar más de cien mil dólares en Bitcoin en unas pocas horas. La clave técnica de este ataque no fue ninguna explotación de vulnerabilidad compleja. Los atacantes hicieron llamadas a empleados de Twitter, haciéndose pasar por personal del departamento de IT, diciendo que necesitaban ayuda con la verificación de cuentas en el sistema interno, guiando a los empleados para que ingresaran sus credenciales laborales en una página de phishing. Algunos empleados cayeron en la trampa, permitiendo que los atacantes accedieran al sistema interno de herramientas de Twitter. Todo el proceso de intrusión, desde que se realizó la llamada hasta que se completó, no tomó más de unas pocas horas.
La Lógica Central de los Ataques de Ingeniería Social
Los ataques de ingeniería social explotan varias respuestas psicológicas predecibles de las personas en situaciones específicas: Obediencia a la Autoridad Cuando una persona cree que una instrucción proviene de una fuente autoritaria, como el departamento de IT, un supervisor, o el servicio al cliente de un banco, tienden a reducir significativamente su revisión de la razonabilidad de dicha instrucción antes de cumplirla. Los atacantes se disfrazan de figuras de autoridad, haciendo que el objetivo actúe sin un pensamiento adecuado. Generar Urgencia "La cuenta será bloqueada en treinta minutos", "el sistema está experimentando un ataque que necesita ser atendido de inmediato", "debes confirmar tu paquete hoy o será devuelto". El único propósito del diseño de la urgencia es hacer que la persona actúe sin pensar con calma. Construcción de Confianza para Su Uso Posterior Algunos ataques de ingeniería social no son encuentros únicos, sino que toman tiempo para establecer credibilidad y, luego, al ganar la confianza, se hace la verdadera solicitud. La persona puede haber interactuado varias veces de manera normal contigo, haciéndote creer que es real, y luego, en un
Varios Casos Reales de Invasiones Empresariales
Filtración de Datos de Uber en 2022 En septiembre de 2022, un atacante de dieciocho años logró infiltrarse en el sistema interno de Uber, obteniendo acceso a múltiples sistemas clave, incluyendo AWS, Google Cloud, y la base de datos de informes de vulnerabilidades de HackerOne. El inicio del ataque fue comprar las credenciales de un contratista de Uber en la dark web, y luego enviar continuamente notificaciones de verificación multifactor a ese empleado; después de que el empleado, fatigado, aceptó una notificación, el atacante obtuvo el acceso inicial y luego utilizó el sistema interno para encontrar un archivo de configuración que contenía las credenciales de cuenta de mayor nivel. Ataque a MGM Resorts en 2023 En septiembre de 2023, MGM Resorts sufrió un ataque de ransomware, dejando sistemas en múltiples casinos de Las Vegas inoperativos durante más de diez días, con pérdidas estimadas en más de cien millones de dólares. Los atacantes encontraron los detalles de un empleado de IT de MGM en LinkedIn, y llamaron al centro de atención de MGM, haciéndose pasar por ese empleado para solicitar un restablecimiento de acceso a la cuenta. El centro de atención, sin suficiente
Por Qué las Defensas Técnicas No Pueden Resolver Totalmente Este Problema
Los cortafuegos, la verificación multifactor, y el software de seguridad de endpoints son herramientas técnicas efectivas para contrarrestar ataques técnicos tradicionales. Pero cuando los atacantes buscan persuadir a una persona real para que ejecute una solicitud que parece razonable, estas herramientas se encuentran, la mayor parte del tiempo, al lado del camino de ataque en lugar de en el medio. Esto no significa que las defensas técnicas sean inútiles, sino que los ataques de ingeniería social revelan un aspecto de las defensas de ciberseguridad que no se puede resolver con tecnología, que es el juicio humano. Para las empresas, la clave para reducir el riesgo de ataques de ingeniería social no es comprar más herramientas, sino educar a los empleados para entender realmente cómo funcionan estos ataques, y tener un proceso de verificación que no sea influenciado por la presión de la situación cuando reciban solicitudes para proporcionar credenciales o realizar operaciones sensibles. Para los usuarios individuales, comprender la lógica detrás de estos ataques es la base de la defensa más efectiva. La próxima vez que recibas una notificación oficial que genere urgencia o una
Preguntas Frecuentes Sobre Ataques de Ingeniería Social de Profesionales de Seguridad Cibernética y Usuarios Comunes
Si las Empresas Ya Tienen Capacitación en Conciencia de Seguridad, ¿Por Qué Aún Son Éxitos los Ataques de Ingeniería Social?
La capacitación en conciencia de seguridad proporciona preparación a nivel de conocimiento, pero los ataques de ingeniería social explotan el juicio inmediato de las personas bajo presión real, y no la falta de conocimiento. Los estudios han demostrado que incluso los empleados que han recibido capacitación completa en seguridad cibernética, cuando se enfrentan a situaciones de ingeniería social realistas, aún hay una proporción considerable que cumplirá con las solicitudes de los atacantes. La diferencia es que los empleados capacitados se dan cuenta más rápido de lo que ha sucedido después y reportan más rápidamente, lo que ayuda a controlar las pérdidas en un rango más pequeño. El verdadero valor de la capacitación no es solo prevenir que un ataque ocurra, sino crear una cultura donde las situaciones anómalas puedan ser reconocidas y reportadas rápidamente.
¿Cómo Puede un Individuo Confirmar si una Llamada o un Correo Electrónico Proviene Realmente de una Fuente Oficial?
La manera más confiable es colgar la llamada o cerrar el correo, y verificar nuevamente a través de los canales de contacto oficiales que tú mismo has buscado. El clave aquí es que esta acción de verificación debe ser iniciada por ti, y no por el medio que la contraparte te ha proporcionado. Las instituciones oficiales, bancos o plataformas no se verán molestas porque solicitas una verificación de identidad nuevamente; cualquier resistencia o presión frente a esta solicitud es un señal clara. Este hábito puede parecer tedioso, pero en esencia corta la dependencia más crítica del ataque de ingeniería social, que es permitir que la otra parte controle el ritmo y la urgencia de toda la interacción.
¿La Tecnología Deepfake Ha Hacido Que Los Ataques de Ingeniería Social Sean Más Difíciles de Defender?
Sí, y esta tendencia ha pasado de ser un concepto teórico a casos prácticos en los últimos años. En 2024, Hong Kong experimentó un caso donde se utilizó deepfake para engañar a personal financiero de una empresa en una reunión que incluía a altos ejecutivos para que ejecutaran una gran transferencia, resultando en pérdidas de doscientos millones de dólares de Hong Kong. La tecnología deepfake ha convertido la credibilidad de la imagen y el sonido en un referente poco fiable para juzgar la autenticidad, lo que ha reducido significativamente la barrera de dificultad para los ataques de ingeniería social, y también ha hecho que la recomendación tradicional de verificar la identidad a través de video tenga menos valor en ciertas situaciones. Frente a esta tendencia, las empresas deben establecer procesos de autorización que no dependan únicamente del juicio de una persona, y a nivel personal, se debe mantener un estándar de verificación más alto para cualquier solicitud que involucre dinero o información sensible, sin importar cuán creíble parezca la contraparte.
Una clave a tener en cuenta: La razón por la que la tasa de éxito de los ataques de ingeniería social es tan alta es porque no atacan a los sistemas, sino a los sesgos de juicio humano al enfrentar presión y autoridad. Comprender esta lógica es el punto de partida más efectivo para la defensa.