Introducción

Según CertiK, una plataforma de verificación de blockchain y contratos inteligentes, los ataques de phishing aumentaron un 170 por ciento en el segundo trimestre de 2022, como se destaca en su informe trimestralAdemás, Cisco Talos, una organización de inteligencia de amenazas e investigación dentro de Cisco Systems, prevé que los ataques de ingeniería social, en particular el phishing, surgirán como amenazas dominantes en Web3y el metaverso en los próximos años.

Mientras la burbuja de las punto com ganaba gradualmente dominio, convirtiéndose en uno de los eventos más buscados en la historia, la ingeniería social en el espacio cripto está gradualmente ganando fama con preocupaciones diarias crecientes de víctimas de estafas y esquemas de phishing, lo que ha dejado a muchos en un estado de confusión y devastación. Con la creciente adopción de cripto, NFT y tecnologías Web3, la aparición de estafas en estos dominios también está en aumento.

Por divertido que parezca, la innovación ha ido gradualmente más allá de las paredes de refinar algunos procesos; también se puede ver en cómo se revisan y se idean constantemente nuevos esquemas para estafar a mucha gente. De manera fascinante, un puñado de usuarios de Web3 aún caen en la trampa porque siempre es difícil detectar o percibir cuándo se acercan las estafas. Las estadísticas han demostrado que muchas personas desconocían algunos actos de estafa hasta que estaban hasta el cuello.

Innovación y tendencias impredecibles en la ingeniería social

Los actores malintencionados continúan ideando nuevos métodos para engañar a los usuarios y hacer que entreguen sus activos de criptomoneda, NFT o credenciales de inicio de sesión confidenciales, siendo el phishing una forma prevalente de ataque de ingeniería social.

La ingeniería social es un elemento omnipresente en casi todos los ataques de ciberseguridad, tejiéndose a través de diversas formas, como los clásicos correos electrónicos y estafas de virus infundidas con matices sociales. Su impacto se extiende más allá de los dispositivos de escritorio a los reinos digitales, planteando amenazas a través de ataques móviles. Es importante destacar que el alcance de la ingeniería social no se limita a la esfera digital, ya que puede manifestarse en persona, presentando un paisaje de amenazas versátil.

La magnitud del daño de la ingeniería social no puede ser completamente cubierta y contabilizada debido a su amplio alcance. Los investigadores en el campo de la ciberseguridad han descubierto una miríada de 57 formas distintas en las que los ciberataques pueden afectar adversamente a individuos, empresas e incluso naciones enteras. Estos impactos abarcan un amplio espectro, que van desde amenazas a la vida, induciendo desafíos de salud mental como la depresión, incurriendo en multas regulatorias y interrumpiendo las actividades diarias de rutina.

Principalmente, es una estrategia manipuladora que se aprovecha de los errores humanos para adquirir información privada, acceso no autorizado o activos valiosos. Cabe destacar el hecho de que estos engaños están diseñados de forma intrincada en torno a la comprensión de los procesos de pensamiento y comportamientos humanos, lo que los hace particularmente efectivos en la manipulación de los usuarios. Al comprender las motivaciones que guían las acciones de un usuario, los atacantes pueden engañar e influir hábilmente en ellos.

Tipos de Ataques de Ingeniería Social

Fuente: Oficina 1.com

Ataques de phishing

Uno de los movimientos favoritos de los criminales de la ingeniería social siempre ha sido los Ataques de Phishing. Estos atacantes fingen ser de tu banco o intercambio de cripto o incluso un amigo mientras intentan que reveles tus contraseñas o detalles privados.

• Phishing de spam: esto es como una red de pesca lanzada ampliamente, tratando de atrapar a cualquiera. No es personal; solo espera que alguien muerda el anzuelo.
• Pesca de lanza y pesca de ballenas: Estos son más específicos. Utilizan detalles específicos sobre ti, como tu nombre, para engañarte. La pesca de ballenas es como apuntar a peces grandes, como personas famosas o altos funcionarios.

Ahora, ¿cómo entregan estos trucos?

• Phishing de voz (Vishing): Pueden llamarte, ya sea con un mensaje grabado o una persona real, haciéndote confiar en ellos y actuar rápidamente
• Phishing por SMS (Smishing): Recibes un mensaje de texto con un enlace o un mensaje que te pide que respondas urgentemente. Podría llevarte a un sitio web falso o a un correo electrónico o número de teléfono fraudulento
• Phishing de correo electrónico: Este es el clásico. Recibes un correo electrónico que te engaña para que hagas clic en un enlace o abras algo malicioso
• Phishing del pescador: En las redes sociales, podrían pretender ser servicio al cliente, secuestrando tu conversación en mensajes privados
• Phishing del motor de búsqueda: manipulan los resultados de búsqueda, por lo que terminas en un sitio web falso en lugar del real
• URL Phishing Links: Estos enlaces engañosos aparecen en correos electrónicos, mensajes de texto o redes sociales, intentando atraerte a sitios web falsos
• Phishing en sesión: Esto sucede mientras estás navegando por Internet, con ventanas emergentes falsas que piden tus datos de inicio de sesión

Otros tipos de ingeniería social incluyen:

Ataques de cebo

El engaño te atrapa utilizando tu curiosidad natural para atraerte y exponerte a un atacante. A menudo prometen algo gratis o exclusivo para explotarte, generalmente implicando infectar tu dispositivo con malware. Los métodos comunes incluyen dejar unidades USB en lugares públicos o enviar archivos adjuntos por correo electrónico con ofertas de regalos gratuitos o software falso.

Ataques de violación física

Estos implican que los atacantes se presenten en persona, pretendiendo ser alguien legítimo para obtener acceso a áreas o información restringida. Es más común en grandes organizaciones. Los atacantes pueden pretender ser un proveedor de confianza o incluso un ex empleado. Es arriesgado, pero si tienen éxito, la recompensa es alta.

Ataques de pretexto

El pretexto utiliza una identidad falsa para establecer confianza, como hacerse pasar por un proveedor o un empleado. El atacante interactúa activamente contigo y puede explotar tu billetera una vez que te convenzan de que son legítimos.

Ataques de cola de acceso

El tailgating, o piggybacking, es cuando alguien sigue a una persona autorizada a un área restringida. Pueden depender de su cortesía para sostener la puerta o convencerlo de que tienen permiso para entrar. El pretexto también puede desempeñar un papel aquí.

Ataques de Quid Pro Quo

Esto implica intercambiar su información por una recompensa o compensación. Pueden ofrecer regalos o estudios de investigación para obtener sus datos, prometiendo algo valioso. Lamentablemente, solo toman sus datos sin darle nada a cambio.

Ataques de scareware

En los ataques de scareware, el malware te asusta para que tomes medidas mostrando advertencias falsas de infecciones de malware o cuentas comprometidas. Te empuja a comprar software de ciberseguridad falso que podría revelar tus detalles privados.

Ejemplos de ataques de ingeniería social

Destacar estos ejemplos también podría servir como el punto culminante de este artículo para permitir a los lectores tomar más medidas de precaución cuando se enfrenten a situaciones como esta.

Los siguientes son ejemplos de ataques de ingeniería social:

Ataques de gusanos

Los ciberdelincuentes llaman la atención atrayendo a los usuarios a hacer clic en enlaces o archivos infectados. Ejemplos incluyen el gusano LoveLetter en 2000, el gusano de correo electrónico Mydoom en 2004 y el gusano Swen haciéndose pasar por un mensaje de Microsoft que ofrece un parche de seguridad falso.

Canales de distribución de enlaces de malware

En relación con el malware, los enlaces infectados pueden enviarse a través de correo electrónico, mensajería instantánea o salas de chat en internet. Los virus móviles pueden ser enviados a través de mensajes SMS. Tenga en cuenta que estos mensajes suelen utilizar palabras intrigantes para atraer a los usuarios a hacer clic, evitando los filtros antivirus del correo electrónico.

Ataques de red de pares a pares (P2P)

En las redes P2P, se explotan para distribuir malware con nombres atractivos. Archivos como "AIM & AOL Password Hacker.exe" o "Playstation emulator crack.exe" atraen a los usuarios para descargarlos y ejecutarlos.

Avergonzar a los usuarios infectados

Los creadores de malware manipulan a las víctimas ofreciendo utilidades falsas o guías que prometen beneficios ilegales, como acceso a Internet gratuito o un generador de números de tarjeta de crédito. Las víctimas, que no quieren revelar sus acciones ilegales, a menudo evitan informar sobre la infección.

¿Cómo funciona la ingeniería social?

Origen: Imperva, Inc.

Los ataques de ingeniería social dependen predominantemente de la comunicación genuina entre los perpetradores y los objetivos. En lugar de depender de métodos coercitivos para vulnerar datos, los atacantes suelen apuntar a manipular a los usuarios para comprometer su propia seguridad.

El ciclo de ataque de ingeniería social sigue un proceso sistemático empleado por estos criminales para engañar eficazmente a las personas. Los pasos clave en este ciclo son los siguientes:

• Los ataques de ingeniería social suelen desarrollarse en una serie de pasos. El actor malintencionado inicia el proceso adentrándose en el historial del posible víctima, con el objetivo de recopilar información crucial como prácticas de seguridad débiles o puntos de entrada vulnerables.
• Una vez armado con suficientes detalles, el perpetrador establece confianza con la víctima, empleando diversas tácticas. La ingeniería social abarca métodos como la creación de una falsa urgencia, hacerse pasar por una figura de autoridad o ofrecer recompensas tentadoras.
• Después, se desvinculan, lo que significa que se retiran después de que el usuario haya realizado la acción deseada.

Esta manipulación a menudo se basa en el arte de la persuasión, donde los atacantes utilizan tácticas psicológicas para explotar el comportamiento humano. Al comprender estas tácticas, las personas pueden reconocer y resistir mejor los posibles intentos de ingeniería social, contribuyendo a un entorno digital más seguro. ¡Así que manténgase informado, manténgase vigilante y priorice la seguridad en línea!

Ingeniería social en la web 3.0

Fuente: Systango

El espacio de la Web 3.0 ha sido un terreno significativo para muchas actividades maliciosas de ingeniería social últimamente. En el ámbito de las criptomonedas, los hackers a menudo emplean tácticas de ingeniería social para obtener acceso no autorizado a monederos o cuentas de criptomonedas. Los activos digitales de los usuarios de criptomonedas, almacenados en monederos con claves privadas confidenciales, se convierten en objetivos principales para estafas de ingeniería social debido a su naturaleza sensible.

En lugar de depender de la fuerza bruta para vulnerar la seguridad y robar activos de cripto, los perpetradores utilizan varias técnicas para explotar las vulnerabilidades humanas. Por ejemplo, los atacantes pueden implementar esquemas para engañar a los usuarios y hacer que revelen claves privadas a través de métodos aparentemente inocentes, como correos electrónicos de phishing. Imagina recibir un correo electrónico que parece ser de tu servicio de billetera o equipo de soporte, pero en realidad, es un intento de phishing que busca engañarte para revelar información crucial.

Por ejemplo, a continuación se muestra una imagen de un intento de proceso de ingeniería social en X (anteriormente Twitter). Para decir lo menos, X puede ser referido como un producto global con fuertes firewalls y protecciones, pero lamentablemente, la ingeniería social no conoce límites, ya que estos criminales siguen ideando modelos innovadores y más avanzados para abrirse paso a través de cualquier pared o persona/organización a la que deseen acceder.

Fuente: X Soporte

Otro tweet fue visto en X el 15 de julio de 2020, de un usuario con el nombre de usuario '@loppEl trabajo artístico de los chicos de ingeniería social parece ser familiar para él, ya que sus tweets muestran cierto nivel de experiencia.

Fuente: Jameson Loop en X

Para proteger tus tenencias de cripto, es crucial mantenerse vigilante contra tácticas engañosas. Ten cuidado con correos electrónicos o mensajes inesperados, verifica la autenticidad de la comunicación y nunca compartas claves privadas con fuentes desconocidas. Otro tuit el 13 de febrero de 2022 muestra otra gran diferencia con actividades similares.

Fuente:Thomasg.eth en X

Además, en septiembre de 2023, el protocolo descentralizado Balancer, que opera en la blockchain de Ethereum, informó de un incidente de seguridad que involucraba un ataque de ingeniería social. La plataforma recuperó el control de su dominio, pero advirtió a los usuarios sobre una posible amenaza de un sitio web no autorizado. Balancer instó a los usuarios a permanecer vigilantes y estar al tanto de los riesgos asociados con el incidente.

Origen: Balancer en X

Características de los ataques de ingeniería social

Los ataques de ingeniería social giran en torno al uso experto de la persuasión y la confianza por parte del perpetrador, induciendo a las personas a tomar acciones que normalmente no considerarían.

Frente a estas tácticas, las personas a menudo se ven sucumbiendo a los siguientes comportamientos engañosos:

• Emociones intensificadas: La manipulación emocional es una herramienta poderosa que explota a personas en un estado emocional elevado. Las personas son más propensas a tomar decisiones irracionales o arriesgadas cuando experimentan emociones intensificadas. Las tácticas incluyen instigar miedo, emoción, curiosidad, ira, culpa o tristeza.
• Urgencia: Las apelaciones o solicitudes urgentes representan una estrategia confiable para los atacantes. Creando un sentido de urgencia, los atacantes pueden presentar un problema supuestamente urgente que exige atención inmediata o ofrecer un premio o recompensa de tiempo limitado. Estas tácticas están diseñadas para anular las habilidades de pensamiento crítico.
• Confianza: Establecer la credibilidad es fundamental en los ataques de ingeniería social. La confianza es un elemento clave, ya que los atacantes fabrican una narrativa respaldada por suficiente investigación sobre el objetivo para que sea fácilmente creíble y poco probable que genere sospechas.

Cómo identificar los ataques de ingeniería social

Fuente: Xiph Cyber

Defenderse contra la ingeniería social comienza con la autoconciencia. Tómate un momento para pensar antes de responder o tomar medidas, ya que los atacantes confían en reacciones rápidas. Aquí tienes algunas preguntas para considerar si sospechas de un ataque de ingeniería social:

• Verifica tus emociones: ¿Están tus emociones exacerbadas? Podrías ser más susceptible si te sientes inusualmente curioso, temeroso o emocionado. Las emociones elevadas pueden nublar el juicio, por lo que es crucial reconocer estas señales de alerta.
• Verificar remitentes de mensajes: ¿El mensaje proviene de un remitente legítimo? Examine las direcciones de correo electrónico y los perfiles de redes sociales en busca de diferencias sutiles, como nombres mal escritos. Si es posible, verifique con el supuesto remitente a través de otros medios, ya que los perfiles falsos son comunes.
• Confirmar la identidad del remitente: ¿Realmente tu amigo envió el mensaje? Confirma con la persona si envió el mensaje, especialmente si implica información sensible. Podría no estar al tanto de un hackeo o suplantación de identidad.
• Verifique los detalles del sitio web: ¿El sitio web tiene detalles extraños? Preste atención a irregularidades en la URL, calidad de imagen, logotipos desactualizados o errores tipográficos en la página web. Si algo no parece correcto, abandone el sitio web inmediatamente.
• Evaluar la autenticidad de la oferta: ¿La oferta parece ser demasiado buena para ser verdad? Tenga cuidado con las ofertas tentadoras, ya que a menudo motivan ataques de ingeniería social. Cuestione por qué alguien está ofreciendo artículos valiosos a cambio de ganancias mínimas por su parte, y permanezca vigilante contra la recolección de datos.
• Examine los archivos adjuntos y enlaces: ¿Hay archivos adjuntos o enlaces que parezcan sospechosos? Si un enlace o nombre de archivo parece poco claro o fuera de contexto, vuelva a considerar la legitimidad de toda la comunicación. Las señales de alerta pueden incluir un momento extraño, un contexto inusual u otros elementos sospechosos.
• Verificación de identidad requerida: ¿Puede la persona probar su identidad? Si alguien solicita acceso, especialmente en persona, insista en la verificación de identidad. Asegúrese de que puedan demostrar su afiliación con la organización reclamada, ya sea en línea o en persona, para evitar ser víctima de brechas físicas.

Conclusión

El paisaje siempre cambiante de los ataques de ingeniería social exige vigilancia constante de los usuarios de Web3. Si bien la innovación ha revolucionado nuestras vidas, también se ha convertido en una espada de doble filo, empoderando tanto el progreso como a actores malintencionados. A medida que la responsabilidad de salvaguardar nuestros activos digitales recae en nuestros hombros, tomar medidas proactivas es crucial.

Este artículo te ha proporcionado conocimientos valiosos para identificar y combatir intentos de ingeniería social. Recuerda que ralentizar y pensar críticamente antes de tomar cualquier acción es tu defensa clave. Implementa las medidas preventivas enumeradas, como examinar los canales de comunicación, implementar autenticación multifactor, fortalecer contraseñas y mantenerte informado sobre las técnicas de phishing en evolución.

Podemos construir colectivamente un entorno Web3 más seguro y responsable siendo conscientes y proactivos. Recuerda, la responsabilidad recae en cada individuo de protegerse a sí mismo y sus activos digitales. ¡Así que mantente vigilante, mantente informado y mantente seguro!