Pruebas de Ingeniería Social

Ingeniería Social

La ingeniería social es uno de los tipos de ataque más comunes y efectivos, basado en el hecho de que los atacantes manejan instituciones o individuos con sus habilidades de comunicación, se aprovechan del descuido y la falta de conciencia y obtienen acceso a información sensible. La ingeniería social se lleva a cabo explotando emociones como el miedo, la alegría y el pánico para que las personas seleccionadas como objetivo revelen información sensible y crítica sobre la institución o sobre ellos mismos. Las personas que entran en pánico pueden enfrentarse a graves problemas como resultado de compartir información con personas no autorizadas.

Aunque las infraestructuras tecnológicas están desarrolladas, actualizadas y protegidas contra los ciberataques, los seres humanos se consideran el eslabón más débil del ecosistema correspondiente. Los atacantes, conscientes de esta situación, apuntan a las personas y a sus procesos en general, especialmente los ciberataques estructurales. Hay muchos acontecimientos que pueden ser un ejemplo de esta situación.

Los ataques de suplantación de identidad (phishing) son uno de los métodos más comunes y conocidos en los ataques de ingeniería social. Por correo electrónico, los atacantes intentan descargar un archivo malicioso con contenido falso que envían a sus objetivos o intentan obtener información crítica incitando a los usuarios a dar clic en enlaces. La ingeniería social (en sitio) o por teléfono también son los preferidos por los atacantes.

Bitshield le ayuda a determinar el nivel de concienciación de sus empleados, implementando los escenarios de ingeniería social más actualizados y apegados a la realidad. Por ejemplo, puede ver que sus empleados son capaces de ignorar las medidas de seguridad ante una atractiva oportunidad de compra o una noticia interesante, y pueden cumplir con una solicitud que les llega sin verificación. Podemos elegir entre escenarios actuales y altamente exitosos o bien personalizados de acuerdo a los escenarios que requiera el cliente.

Los conocimientos, la experiencia y la infraestructura técnica de Bitshield en materia de ciberseguridad le permiten determinar claramente si los niveles de concienciación de sus empleados satisfacen las necesidades en materia de seguridad de la empresa.

Beneficios

Los ejercicios de formación en ingeniería social, pueden ayudar a su organización de las siguientes maneras:

  • Comprender hasta qué punto sus empleados son susceptibles de caer en estafas de ingeniería social

  • Mejorar la concienciación sobre la seguridad de sus empleados, es decir, mejorar su capacidad para identificar posibles ataques.

  • Determinar la eficacia de su política de seguridad de la información.

  • Conocer lo que un atacante podría obtener de su empresa, por lo que está disponible públicamente.

  • Implementar una formación de concienciación a la medida para sus empleados.

  • Identificar los problemas de los procedimientos y políticas operativas.

  • Definir cómo proteger la información más sensible dentro de su organización.

  • Poner a prueba los controles de ciberseguridad de su organización para asegurarse de que son eficaces a la hora de identificar y bloquear los ataques de phishing.

  • Los resultados de una evaluación de ingeniería social simulada pueden utilizarse para mejorar los programas de formación en seguridad de los empleados.

¿Cuándo y por qué realizar unas pruebas de ingeniería social?

Toda empresa que opere en el entorno digital debería considerar la posibilidad de realizar pruebas de ingeniería social, especialmente si almacena datos sensibles pertenecientes a clientes o de sus activos. Además, las pruebas de ingeniería social pueden constituir un elemento de la formación en seguridad impartida a los empleados. La pruebas permite a las empresas obtener una comprensión de cómo preparar eficazmente a los empleados para reconocer los ataques de ingeniería social del mundo real.

Las pruebas de ingeniería social permiten a las empresas prevenir graves violaciones de datos y el compromiso de sus redes como resultado de la incapacidad de los empleados para reconocer a tiempo las actividades maliciosas. Además, al superar una prueba de ingeniería social, las empresas obtienen informes detallados de un proveedor de seguridad que contienen recomendaciones sobre cómo mejorar sus políticas de seguridad y qué nuevas medidas de seguridad deberían introducirse para evitar la posible explotación de los factores humanos por parte de los hackers.

Además, este tipo de pruebas permiten a las empresas evitar enormes pérdidas financieras y de reputación como resultado de posibles ciberataques dirigidos a sus empleados.

Tipos de Pruebas

  1. Spearphishing. Se trata de ataques dirigidos por correo electrónico, estudiados y muy selectivos. Este ataque es similar al phishing tradicional engañoso, pero mucho más dirigido y elaborado. En este tipo de ataques, ya se ha recabado alguna información sobre el objetivo, como su nombre, cargo, empresa y número de teléfono.

  2. Spearphishing con clonacion de servicios. En este escenario se envía un correo electronico dirigido a que las victimas den clic en un enlace que los redireccione a portales falsos de algunos servicios utilizados por la organización donde laboran, persuadiendo normalmente a que se introduzcan credenciales en estos sitios para ser interceptadas y posteriormente utilizarlas para obtener información confidencial.

  3. Spearphishing con malware controlado. Siguiendo con los ataques dirigidos, en este caso, la campaña se centra en enviar un correo electrónico con un enlace que descargaría un malware en el dispositivo de la víctima y una vez ejecutado por el usuario podría permitir el acceso remoto al equipo.

  4. Vishing. Este tipo de ataque se utilizan las llamadas telefónicas. Se trata realizar llamadas maliciosas, fraudulentas. Se utilizan sofisticadas tácticas de miedo y manipulación emocional para que los que los empleados proporcionen información sensible.

  5. Callback phishing. En estas pruebas se realizan de híbrida vishing/spearphishing. El ataque de ingeniería social suele consistir en consiste en enviar al objetivo un correo electrónico falso y llamar inmediatamente para persuadir al momento de que la víctima recibe el correo electrónico.

  6. Business Email Comprimise (BEC). Un correo electrónico comprometido (BEC) es cuando un actor de la amenaza envía un correo electrónico a su objetivo haciéndose pasar por una fuente de confianza con la intención de estafar a un negocio o estafar a una empresa. Este tipo de ataque puede ser difícil de detectar y se basa en la suplantación de identidad, junto con otras tácticas de ingeniería social, para engañar a las personas para que interactúen en nombre del actor de la amenaza.

  7. Baiting. La técnica de Baiting consiste en dejar dispositivos USB infectados con malware, en un lugar donde puedan ser encontrados o bien proveer estos dispositivos USB a los empleados por medio de una promoción afuera de las instalaciones.

  8. Pruebas fisicas y/o en sitio. En las pruebas físicas o en sitio, los consultores acuden directamente a las instalaciones del cliente para realizar la campaña de ingeniería social y adentrarse a la organización con la finalidad de tener acceso a información confidencial y/o extraer dispositivos como memorias USB y Laptop o bien documentos impresos.

  9. Tailgating/piggybacking. Las pruebas conocidas como tailgating/piggybacking consisten en que persona no autorizada sigue de cerca a una persona autorizada en un área que contiene información sensible o activos valiosos. El tailgating puede ser físico, por ejemplo, seguir a un empleado a través de una puerta sin cerrar. Pero también puede ser digital, como cuando una persona deja un ordenador desatendido mientras sigue conectado a una cuenta o red privada.

  10. Smishing. Estas pruebas consisten en enviar a los empleados mensajes de texto SMS con enlaces a archivos que pueden contener malware o los redirecciones a sitios fraudulentos.

  11. Phishing via Whatsapp. En estas pruebas se incrusta una URL en un mensaje de phishing a través de WhatsApp. El hipervínculo redirigirá a la víctima al sitio web de phishing creado por Bitshield. El sitio web por ejemplo podrá capturar las credenciales introducidas por el personal y/o extraer cualquier tipo de información confidencial.

  12. Whaling. El whaling es un ataque de phishing que implica un correo electrónico falso que se hace pasar por un correo electrónico legítimo con el fin de dirigirse a los altos ejecutivos.

Metodología

  1. Investigación. La preparación de un ataque requiere una planificación previa por parte del autor. Se invierte tiempo de investigación en identificar el nombre del objetivo, los detalles personales y la información de fondo. A partir de esta información, se seleccionan los métodos/canales de ataque.

  • Identificar a la víctima.

  • Análisis y recopilación de información.

  • Seleccionar el método de ataque.

  1. Conexión con el objetivo. En este paso, el atacante atrae a la víctima objetivo con una historia inventada que sería convincente, basada en la información recolectada en el primer paso. El objetivo del atacante aquí es ganar la confianza de la víctima.

  • Enfrentarse al objetivo.

  • Definir un pretexto.

  • Tomar el control de la interacción.

  1. Ataque. Una vez que se ha obtenido la confianza necesaria, se procede a la extracción de la información, que es el verdadero objetivo.

  • Acceder a información confidencial.

  • Ejecutar el ataque.

  • Interrumpir el negocio o/y desviar los datos.

  1. Cerrar la interacción. Una vez completado el objetivo del ataque, el atacante cierra la ventana de compromiso, normalmente con el objetivo de evitar cualquier detección o sospecha. El atacante intenta entonces cubrir sus huellas y desaparecer lo mejor posible.

  • Eliminar todo rastro/pistas.

  • Cubrir las huellas del ataque.

  • Terminar el ataque con un final natural.

Beneficios

Los ejercicios de formación en ingeniería social, pueden ayudar a su organización de las siguientes maneras:

  • Comprender hasta qué punto sus empleados son susceptibles de caer en estafas de ingeniería social

  • Mejorar la concienciación sobre la seguridad de sus empleados, es decir, mejorar su capacidad para identificar posibles ataques.

  • Determinar la eficacia de su política de seguridad de la información.

  • Conocer lo que un atacante podría obtener de su empresa, por lo que está disponible públicamente.

  • Implementar una formación de concienciación a la medida para sus empleados.

  • Identificar los problemas de los procedimientos y políticas operativas.

  • Definir cómo proteger la información más sensible dentro de su organización.

  • Poner a prueba los controles de ciberseguridad de su organización para asegurarse de que son eficaces a la hora de identificar y bloquear los ataques de phishing.

  • Los resultados de una evaluación de ingeniería social simulada pueden utilizarse para mejorar los programas de formación en seguridad de los empleados.

¿Cuándo y por qué realizar unas pruebas de ingeniería social?

Toda empresa que opere en el entorno digital debería considerar la posibilidad de realizar pruebas de ingeniería social, especialmente si almacena datos sensibles pertenecientes a clientes o de sus activos. Además, las pruebas de ingeniería social pueden constituir un elemento de la formación en seguridad impartida a los empleados. La pruebas permite a las empresas obtener una comprensión de cómo preparar eficazmente a los empleados para reconocer los ataques de ingeniería social del mundo real.

Las pruebas de ingeniería social permiten a las empresas prevenir graves violaciones de datos y el compromiso de sus redes como resultado de la incapacidad de los empleados para reconocer a tiempo las actividades maliciosas. Además, al superar una prueba de ingeniería social, las empresas obtienen informes detallados de un proveedor de seguridad que contienen recomendaciones sobre cómo mejorar sus políticas de seguridad y qué nuevas medidas de seguridad deberían introducirse para evitar la posible explotación de los factores humanos por parte de los hackers.

Además, este tipo de pruebas permiten a las empresas evitar enormes pérdidas financieras y de reputación como resultado de posibles ciberataques dirigidos a sus empleados.

Tipos de Pruebas

  1. Spearphishing. Se trata de ataques dirigidos por correo electrónico, estudiados y muy selectivos. Este ataque es similar al phishing tradicional engañoso, pero mucho más dirigido y elaborado. En este tipo de ataques, ya se ha recabado alguna información sobre el objetivo, como su nombre, cargo, empresa y número de teléfono.

  2. Spearphishing con clonacion de servicios. En este escenario se envía un correo electronico dirigido a que las victimas den clic en un enlace que los redireccione a portales falsos de algunos servicios utilizados por la organización donde laboran, persuadiendo normalmente a que se introduzcan credenciales en estos sitios para ser interceptadas y posteriormente utilizarlas para obtener información confidencial.

  3. Spearphishing con malware controlado. Siguiendo con los ataques dirigidos, en este caso, la campaña se centra en enviar un correo electrónico con un enlace que descargaría un malware en el dispositivo de la víctima y una vez ejecutado por el usuario podría permitir el acceso remoto al equipo.

  4. Vishing. Este tipo de ataque se utilizan las llamadas telefónicas. Se trata realizar llamadas maliciosas, fraudulentas. Se utilizan sofisticadas tácticas de miedo y manipulación emocional para que los que los empleados proporcionen información sensible.

  5. Callback phishing. En estas pruebas se realizan de híbrida vishing/spearphishing. El ataque de ingeniería social suele consistir en consiste en enviar al objetivo un correo electrónico falso y llamar inmediatamente para persuadir al momento de que la víctima recibe el correo electrónico.

  6. Business Email Comprimise (BEC). Un correo electrónico comprometido (BEC) es cuando un actor de la amenaza envía un correo electrónico a su objetivo haciéndose pasar por una fuente de confianza con la intención de estafar a un negocio o estafar a una empresa. Este tipo de ataque puede ser difícil de detectar y se basa en la suplantación de identidad, junto con otras tácticas de ingeniería social, para engañar a las personas para que interactúen en nombre del actor de la amenaza.

  7. Baiting. La técnica de Baiting consiste en dejar dispositivos USB infectados con malware, en un lugar donde puedan ser encontrados o bien proveer estos dispositivos USB a los empleados por medio de una promoción afuera de las instalaciones.

  8. Pruebas fisicas y/o en sitio. En las pruebas físicas o en sitio, los consultores acuden directamente a las instalaciones del cliente para realizar la campaña de ingeniería social y adentrarse a la organización con la finalidad de tener acceso a información confidencial y/o extraer dispositivos como memorias USB y Laptop o bien documentos impresos.

  9. Tailgating/piggybacking. Las pruebas conocidas como tailgating/piggybacking consisten en que persona no autorizada sigue de cerca a una persona autorizada en un área que contiene información sensible o activos valiosos. El tailgating puede ser físico, por ejemplo, seguir a un empleado a través de una puerta sin cerrar. Pero también puede ser digital, como cuando una persona deja un ordenador desatendido mientras sigue conectado a una cuenta o red privada.

  10. Smishing. Estas pruebas consisten en enviar a los empleados mensajes de texto SMS con enlaces a archivos que pueden contener malware o los redirecciones a sitios fraudulentos.

  11. Phishing via Whatsapp. En estas pruebas se incrusta una URL en un mensaje de phishing a través de WhatsApp. El hipervínculo redirigirá a la víctima al sitio web de phishing creado por Bitshield. El sitio web por ejemplo podrá capturar las credenciales introducidas por el personal y/o extraer cualquier tipo de información confidencial.

  12. Whaling. El whaling es un ataque de phishing que implica un correo electrónico falso que se hace pasar por un correo electrónico legítimo con el fin de dirigirse a los altos ejecutivos.

Metodología

  1. Investigación. La preparación de un ataque requiere una planificación previa por parte del autor. Se invierte tiempo de investigación en identificar el nombre del objetivo, los detalles personales y la información de fondo. A partir de esta información, se seleccionan los métodos/canales de ataque.

  • Identificar a la víctima.

  • Análisis y recopilación de información.

  • Seleccionar el método de ataque.

  1. Conexión con el objetivo. En este paso, el atacante atrae a la víctima objetivo con una historia inventada que sería convincente, basada en la información recolectada en el primer paso. El objetivo del atacante aquí es ganar la confianza de la víctima.

  • Enfrentarse al objetivo.

  • Definir un pretexto.

  • Tomar el control de la interacción.

  1. Ataque. Una vez que se ha obtenido la confianza necesaria, se procede a la extracción de la información, que es el verdadero objetivo.

  • Acceder a información confidencial.

  • Ejecutar el ataque.

  • Interrumpir el negocio o/y desviar los datos.

  1. Cerrar la interacción. Una vez completado el objetivo del ataque, el atacante cierra la ventana de compromiso, normalmente con el objetivo de evitar cualquier detección o sospecha. El atacante intenta entonces cubrir sus huellas y desaparecer lo mejor posible.

  • Eliminar todo rastro/pistas.

  • Cubrir las huellas del ataque.

  • Terminar el ataque con un final natural.

Beneficios

Los ejercicios de formación en ingeniería social, pueden ayudar a su organización de las siguientes maneras:

  • Comprender hasta qué punto sus empleados son susceptibles de caer en estafas de ingeniería social

  • Mejorar la concienciación sobre la seguridad de sus empleados, es decir, mejorar su capacidad para identificar posibles ataques.

  • Determinar la eficacia de su política de seguridad de la información.

  • Conocer lo que un atacante podría obtener de su empresa, por lo que está disponible públicamente.

  • Implementar una formación de concienciación a la medida para sus empleados.

  • Identificar los problemas de los procedimientos y políticas operativas.

  • Definir cómo proteger la información más sensible dentro de su organización.

  • Poner a prueba los controles de ciberseguridad de su organización para asegurarse de que son eficaces a la hora de identificar y bloquear los ataques de phishing.

  • Los resultados de una evaluación de ingeniería social simulada pueden utilizarse para mejorar los programas de formación en seguridad de los empleados.

¿Cuándo y por qué realizar unas pruebas de ingeniería social?

Toda empresa que opere en el entorno digital debería considerar la posibilidad de realizar pruebas de ingeniería social, especialmente si almacena datos sensibles pertenecientes a clientes o de sus activos. Además, las pruebas de ingeniería social pueden constituir un elemento de la formación en seguridad impartida a los empleados. La pruebas permite a las empresas obtener una comprensión de cómo preparar eficazmente a los empleados para reconocer los ataques de ingeniería social del mundo real.

Las pruebas de ingeniería social permiten a las empresas prevenir graves violaciones de datos y el compromiso de sus redes como resultado de la incapacidad de los empleados para reconocer a tiempo las actividades maliciosas. Además, al superar una prueba de ingeniería social, las empresas obtienen informes detallados de un proveedor de seguridad que contienen recomendaciones sobre cómo mejorar sus políticas de seguridad y qué nuevas medidas de seguridad deberían introducirse para evitar la posible explotación de los factores humanos por parte de los hackers.

Además, este tipo de pruebas permiten a las empresas evitar enormes pérdidas financieras y de reputación como resultado de posibles ciberataques dirigidos a sus empleados.

Tipos de Pruebas

  1. Spearphishing. Se trata de ataques dirigidos por correo electrónico, estudiados y muy selectivos. Este ataque es similar al phishing tradicional engañoso, pero mucho más dirigido y elaborado. En este tipo de ataques, ya se ha recabado alguna información sobre el objetivo, como su nombre, cargo, empresa y número de teléfono.

  2. Spearphishing con clonacion de servicios. En este escenario se envía un correo electronico dirigido a que las victimas den clic en un enlace que los redireccione a portales falsos de algunos servicios utilizados por la organización donde laboran, persuadiendo normalmente a que se introduzcan credenciales en estos sitios para ser interceptadas y posteriormente utilizarlas para obtener información confidencial.

  3. Spearphishing con malware controlado. Siguiendo con los ataques dirigidos, en este caso, la campaña se centra en enviar un correo electrónico con un enlace que descargaría un malware en el dispositivo de la víctima y una vez ejecutado por el usuario podría permitir el acceso remoto al equipo.

  4. Vishing. Este tipo de ataque se utilizan las llamadas telefónicas. Se trata realizar llamadas maliciosas, fraudulentas. Se utilizan sofisticadas tácticas de miedo y manipulación emocional para que los que los empleados proporcionen información sensible.

  5. Callback phishing. En estas pruebas se realizan de híbrida vishing/spearphishing. El ataque de ingeniería social suele consistir en consiste en enviar al objetivo un correo electrónico falso y llamar inmediatamente para persuadir al momento de que la víctima recibe el correo electrónico.

  6. Business Email Comprimise (BEC). Un correo electrónico comprometido (BEC) es cuando un actor de la amenaza envía un correo electrónico a su objetivo haciéndose pasar por una fuente de confianza con la intención de estafar a un negocio o estafar a una empresa. Este tipo de ataque puede ser difícil de detectar y se basa en la suplantación de identidad, junto con otras tácticas de ingeniería social, para engañar a las personas para que interactúen en nombre del actor de la amenaza.

  7. Baiting. La técnica de Baiting consiste en dejar dispositivos USB infectados con malware, en un lugar donde puedan ser encontrados o bien proveer estos dispositivos USB a los empleados por medio de una promoción afuera de las instalaciones.

  8. Pruebas fisicas y/o en sitio. En las pruebas físicas o en sitio, los consultores acuden directamente a las instalaciones del cliente para realizar la campaña de ingeniería social y adentrarse a la organización con la finalidad de tener acceso a información confidencial y/o extraer dispositivos como memorias USB y Laptop o bien documentos impresos.

  9. Tailgating/piggybacking. Las pruebas conocidas como tailgating/piggybacking consisten en que persona no autorizada sigue de cerca a una persona autorizada en un área que contiene información sensible o activos valiosos. El tailgating puede ser físico, por ejemplo, seguir a un empleado a través de una puerta sin cerrar. Pero también puede ser digital, como cuando una persona deja un ordenador desatendido mientras sigue conectado a una cuenta o red privada.

  10. Smishing. Estas pruebas consisten en enviar a los empleados mensajes de texto SMS con enlaces a archivos que pueden contener malware o los redirecciones a sitios fraudulentos.

  11. Phishing via Whatsapp. En estas pruebas se incrusta una URL en un mensaje de phishing a través de WhatsApp. El hipervínculo redirigirá a la víctima al sitio web de phishing creado por Bitshield. El sitio web por ejemplo podrá capturar las credenciales introducidas por el personal y/o extraer cualquier tipo de información confidencial.

  12. Whaling. El whaling es un ataque de phishing que implica un correo electrónico falso que se hace pasar por un correo electrónico legítimo con el fin de dirigirse a los altos ejecutivos.

Metodología

  1. Investigación. La preparación de un ataque requiere una planificación previa por parte del autor. Se invierte tiempo de investigación en identificar el nombre del objetivo, los detalles personales y la información de fondo. A partir de esta información, se seleccionan los métodos/canales de ataque.

  • Identificar a la víctima.

  • Análisis y recopilación de información.

  • Seleccionar el método de ataque.

  1. Conexión con el objetivo. En este paso, el atacante atrae a la víctima objetivo con una historia inventada que sería convincente, basada en la información recolectada en el primer paso. El objetivo del atacante aquí es ganar la confianza de la víctima.

  • Enfrentarse al objetivo.

  • Definir un pretexto.

  • Tomar el control de la interacción.

  1. Ataque. Una vez que se ha obtenido la confianza necesaria, se procede a la extracción de la información, que es el verdadero objetivo.

  • Acceder a información confidencial.

  • Ejecutar el ataque.

  • Interrumpir el negocio o/y desviar los datos.

  1. Cerrar la interacción. Una vez completado el objetivo del ataque, el atacante cierra la ventana de compromiso, normalmente con el objetivo de evitar cualquier detección o sospecha. El atacante intenta entonces cubrir sus huellas y desaparecer lo mejor posible.

  • Eliminar todo rastro/pistas.

  • Cubrir las huellas del ataque.

  • Terminar el ataque con un final natural.