Hacking social
Los empleados de las empresas son espiados de forma selectiva
IT Knowlege Base
En tiempos de Facebook, Twitter, Instagram, LinkedIn, etc., el hacking social se está convirtiendo cada vez más en el centro de atención. Se refiere a la explotación selectiva de las vulnerabilidades humanas y a los ataques a nivel personal. Las empresas de todo el mundo gastan casi 75.000 millones de euros en la protección de sus infraestructuras de TI. Los conceptos basados en las aplicaciones y la revisión periódica de estas medidas están diseñados para evitar que los ciberdelincuentes lleven a cabo un ataque.
Sólo unas pocas empresas tienen en cuenta que el peligro también se encuentra en una esfera completamente diferente, la piratería social. En este caso, los empleados de la empresa son el objetivo y son espiados a nivel personal. Se trata, pues, de ataques, algunos de los cuales tienen lugar lejos del mundo virtual. Para poder contrarrestar estos ataques en términos concretos, se requieren más que obstáculos técnicos en forma de soluciones de seguridad de TI de varios tipos.
Un ejemplo del campo del hacking social:
- Del 1 de febrero de 2016 al 4 de febrero de 2016: esquí en Kitzbühel
- 3 de abril de 2016: Maratón de París
- 4 de mayo de 2016 – Desayuno de negocios en Frankfurt
- 16 de julio de 2016 – Festival de Yoga de Berlín
- 20 agosto 2016 – Visión general del depósito 112.054,39
- 10 Septiembre 2016 – Maratón Médoc
- 16 de septiembre de 2016 – Carrera por la ciudad de Hannover
- 6 Noviembre 2016 – Maratón de Nueva York
- 5 de diciembre de 2016 – Extracto bancario por € 68.453,98
- Diciembre 2016 – Fiesta de Navidad en un restaurante de Hannover
Seguramente se está preguntando en qué contexto se relaciona la información que aparece en la lista. Permítame presentarle: Gerome F., 55 años, gerente de una empresa mediana. Además, es obviamente un entusiasta del deporte y una persona orientada a la salud a la que le gusta viajar y correr 42 kilómetros.
Y sus antecedentes financieros también indican que recibe un buen salario anual en su empresa, que le gusta invertir en acciones y actividades de ocio como viajes y eventos deportivos.
¿Cómo se obtiene toda esta información? La respuesta es la piratería social. A través de la investigación focalizada en Internet, pero también en el entorno inmediato de la propia persona objetivo, la información personal puede obtenerse a través de medidas relativamente sencillas. El hacking social ha estado «en boga», por así decirlo, desde que existen las redes sociales. Estoy seguro de que ya ha buscado en Internet a su vecino o socio de negocios en Google, Instagram, LinkedIn o Facebook para saber más sobre la persona en cuestión. Esto también puede describirse como una forma sutil de piratería social. En comparación, sin embargo, los ciberdelincuentes son mucho más profesionales.
¿Cómo funciona el hacking social en la práctica?
Prepararse para un ataque
Todavía no se puede construir una casa a partir de un solo ladrillo. Sin embargo, tienes miles de ladrillos, tienes la posibilidad de construir una casa entera desde cero. Mientras que el hacking social solía limitarse exclusivamente a la interacción social con la víctima, el concepto actual de hacking social es mucho más amplio. Esto incluye la investigación intensiva sobre las personas en Internet. De este modo, el atacante puede crear un perfil personal de su persona objetivo. El hacking social es en principio una forma sucesiva de ataque.
En nuestro ejemplo ficticio con el gerente, el atacante procedió exactamente de acuerdo con este esquema. En cuanto a las actividades deportivas, basta con introducir el nombre y el apellido en Google. Utilizando los datos personales, el atacante puede, por ejemplo, ver fácilmente en bases de datos públicas por nombre dónde, quién, cuándo y en qué momento corrió una maratón. El seguimiento de los resultados de las aplicaciones móviles, en las que los atletas pueden registrar sus progresos, también sirve como puerta de entrada para los ciberdelincuentes. Si estos perfiles están disponibles públicamente en Internet, los hábitos del objetivo pueden ser descubiertos con relativamente poco esfuerzo.
Además, las redes sociales aseguran que la gente se incline a publicar constantemente información en forma de fotos, algunas de las cuales no deberían estar destinadas al público. Por ejemplo, se celebra un desayuno de negocios con partners comerciales potenciales, con fotos que aparecen en Internet unas horas después del evento. Esto plantea la cuestión de si todo el mundo debería saber en todo momento con qué partners se está trabajando. Lo mismo se aplica a los eventos de carácter privado. Mientras que, por ejemplo, nunca revelarías el nombre de tu esposa o hijos a nadie en la calle, aparecen en sitios web o redes sociales con subtítulos o descripciones de imágenes.
Pero esto es sólo información personal que un atacante puede encontrar fácilmente a través de la huella digital. Las posibilidades son mucho mayores en el entorno directo de la persona afectada. ¿Eres también una de esas personas que tiran en la basura de la casa papeles con información referente a los estados de cuenta? Entonces eres una víctima ideal para la piratería social. Basta con echar un vistazo a tu basura para saber cuánto ganas, en qué y cuándo gastas tu dinero, y en qué banco mantienes tus cuentas. Estos son datos confidenciales.
El segundo nivel de ataque de Hacking Social
Imagina que el atacante ahora conoce los hábitos de su objetivo. Asusta, ¿verdad? Porque en el siguiente paso el ciberdelincuente pasa al siguiente nivel de su proyecto. Posiblemente una reunión al azar mientras corres. Ya ha recibido los datos GPS de rastreo. En esta fase el atacante se hace amigo del objetivo y recibe cada vez más información personal. También es posible que una supuesta llamada del amable empleado del banco se haga el sábado por la mañana temprano, pidiendo que se confirme la información de la cuenta corriente. Tal vez la persona en cuestión también recibe una llamada siniestra del departamento de TI del empleador pidiéndole que verifique una contraseña por teléfono.
Probablemente piensas que algo como esto nunca te pasará. ¿Tampoco darías ninguna información personal? ¿Información interna de la empresa o similar? Desafortunadamente, la realidad es a menudo diferente. Y si no es el que da estos datos, entonces quizás sean otras personas de tu empresa. Por lo general, estas llamadas son muy incómodas. Ya sea que quieras ir de compras durante el fin de semana, tus hijos discuten en segundo plano u otros factores que ahorran tiempo lo afectarían.
Pero el déficit de información también puede llevar a la incertidumbre entre los afectados por un ataque de hacking social. ¿Sabes, por ejemplo, quién trabaja en el departamento de TI de tu empresa? Probablemente no. Esto es especialmente cierto en el caso de las empresas con varios miles de empleados. Los ciberdelincuentes que se dedican al hacking social son extremadamente galantes en sus relaciones personales con las personas a las que van dirigidos, por lo que el ataque en sí suele pasar desapercibido. Por ejemplo, falsifican a las autoridades para obtener información que puede dañar a empresas enteras. Por lo tanto, como empleado o propietario de una empresa, debes tener cuidado de no convertirte en el blanco perfecto esta forma de ciberataque.