Mulas digitales, la ingeniería social sigue haciendo de las suyas
Los fraudes que aprovechan las técnicas de ingeniería social no han parado de crecer en los últimos años e incluso se han acelerado con la pandemia. Nueve de cada diez ciberataques tienen su origen en algo tan simple como un correo electrónico.
Internet es un universo tan fascinante como peligroso. Un territorio con frecuencia inhóspito en el que los malos campan a sus anchas. Y en el que los fraudes con técnicas de ingeniería social, lejos de atenuarse, no paran de crecer.
Las estadísticas oficiales no dejan lugar a dudas. Nueve de cada diez ciberataques que se registran hoy en el mundo nacen de algo tan simple, tan prosaico en esta era, como un correo electrónico.
Y, al contrario de lo que se pudiera pensar, detrás de la mayoría de estos golpes no figuran las más de las veces grandes grupos de cibercriminales con poderosas estructuras a su servicio. Tampoco sofisticadas técnicas de hacking.
En absoluto. El golpe cobra vida apenas con un correo electrónico que atemoriza o condiciona de forma decisiva al receptor, a través entornos en los que el remitente no habrá realizado un KYC para validar su identidad o se suplanta su identidad.
Es obvio que la mayoría de esos miles y miles de ciberfraudes que se registran en la Red cada día obtienen un botín pequeño. En muchas ocasiones céntimos o euros. Pero esto es puro capitalismo.
La escalabilidad del mal. Muchos pequeños botines acaban generando uno muy grande.
Es en el 10 % restante en el que se están centrando los grandes grandes organismos de lucha contra el cibercrimen. Por la dimensión económica de las incursiones y por las repercusiones sociopolíticas que generan.
Los últimos ataques con ransomware, sin ir más lejos, dan buena cuenta de ello. Ataques que, para ser contrarrestados, precisan de potentes servicios de ciberseguridad.
A diferencia de estas sofisticadas incursiones, que precisan de grandes recursos (mucha pasta y aún mejor capital humano), la ingeniería social permite obtener grandes beneficios con una inversión pequeña. Y escalar.
Atacar a un elevado volumen de internautas y empresas con medios limitados. Las más de las veces no hace ni siquiera falta picar un código malicioso con el que desencadenar el ataque.
Internet, un mundo de sombras
El caso es que, a pie de calle, la ingeniería social se ha convertido en uno de los asuntos policiales del momento.
Un asunto espinoso por cuanto vive sumergido en ese mundo de sombras que es Internet. Y porque tiene un impacto global y sensible en colectivos cuya formación digital es, cuanto menos, deficiente.
Sostiene José Lancharro, el director de BlackArrow, la división de seguridad ofensiva y defensiva de Tarlogic Security, que los ataques con ingeniería social consuman sus objetivos muchas veces al seleccionar como objetivos a personas mayores. Muy vulnerables a caer en estas trampas.
«Es muy fácil que te engañen si no estás sensibilizado», advierte.
La casuística de los ataques es de lo más variada. Personas que se hacen pasar por personal del servicio técnico o incluso por un supervisor o jefe… «En estos casos explotan el miedo, esa presión psicológica de atender a un superior y hacer lo que ordena», precisa Lancharro.
Sea como fuere, el ataque más frecuente es probablemente el que utiliza una amenaza de bloqueo de una cuenta o de un equipo para lograr que la víctima haga lo que quiere el ciberdelincuente.
El director de BlackArrow alude a otro de los cibertimos que se están extendiendo como una plaga. Una especie de actualización del clásico timo de la estampita: el de las mulas digitales.
En este caso, los malos ofrecen a un internauta la posibilidad de ganar un presunto dinero fácil al ejercer como intermediario. Lo único que habría que hacer es una transferencia a una cuenta concreta a cambio de una comisión.
Lo que no sabe, o no quiere saber, la víctima es que ese dinero procede de actividades ilícitas: narcotráfico, tráfico de armas, trata de personas… Y, al realizar la transferencia, actúa como cooperador necesario, «con lo que su intermediación es punible».
En estos incidentes puede llegar a ser de aplicación ese aforismo legal que establece aquello de ignorantia iuris non excusat. Esto es, si las autoridades investigasen esas operaciones, el desconocimiento del origen del dinero podría servirle de bien poco al imprudente intermediario.
Tanto en este caso como en los anteriores la falta de experiencia y conocimiento juegan un papel clave en el éxito del fraude.
Es algo sobre lo que alerta insistentemente el Incibe cuando alude a la ingeniería social. A la proliferación de ataques con técnicas como el hunting, farming…
Sobre ese perfil vulnerable de las víctimas trata una de las historias de la fascinante Solo las bestias (2019). En la inquietante película de Dominik Moll, uno de los personajes es objeto de un fraude con ingeniería social protagonizado por un adolescente desde Abiyán.
Esas pequeñas victorias…
Pero aunque van ganando la partida, en la vida real los malos no siempre se salen con la suya.
En abril pasado, un experto en ciberseguridad desnudaba por completo las tácticas de un grupo de cibercriminales que desde un call center en la India estafaban a particulares. Se hacían pasar por el servicio técnico de Amazon para hacerse con las credenciales de sus víctimas.
Lo que no sabían los atacantes es que estaban siendo grabados en todo momento, incluso a través de la propia webcam de su portátil. Por una vez, el cazador resultaba cazado.
El siguiente vídeo retrata a la perfección el modus operandi de estos ciberdelincuentes:
José Lancharro insiste en que la clave para evitar un disgusto es entender la auténtica dimensión de Internet. Donde no todo lo que ocurre es inocente ni cándido. «El principio de cautela es quizás el mejor acompañante para moverse por la Red», concluye.
La prudencia. Siempre la prudencia. Esa impagable compañera de viaje…
Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com