(Nexstar) – La Oficina Federal de Investigaciones emitió el viernes una alerta sobre Sptered Spider, una organización cibercriminal actualmente dirigido a la industria de las aerolíneas. Se dice que el grupo, que también se dice que está detrás de los ataques cibernéticos en múltiples casinos de Las Vegas en 2023, depende en gran medida de las técnicas de “ingeniería social” para sus ataques, una táctica utilizada para ganar confianza con las víctimas.
“En un ataque de ingeniería social, un atacante utiliza la interacción humana (habilidades sociales) para obtener o comprometer información sobre una organización o sus sistemas informáticos”, el Departamento de Seguridad Nacional. Agencia de seguridad de ciberseguridad e infraestructura (CISA) explica este tipo de estafas. Los atacantes pueden usar esa información para posar como una figura confiable que trabaja en la compañía de la víctima o con el fin de obtener acceso, dice CISA.
Los ejemplos específicos de las tácticas de ingeniería social de Spider dispersado incluyen “hacerse pasar por empleados o contratistas para engañar a TI ayudan a los escritorios a otorgar acceso” o “convencer servicios de mesa de ayuda para agregar no autorizados [multi-factor identification] dispositivos a cuentas comprometidas ” Según el FBI.
Pero la ingeniería social puede tomar muchas formas y apuntar a las personas cotidianas, en lugar de solo las corporaciones.
“Por lo general, los ancianos son los más vulnerables a la ingeniería social, pero no son las únicas víctimas”, dijo John Young, un experto en ciberseguridad y compañía de encriptamiento de la compañía de cifrado Emoción cuántica América. “Las personas solitarias caen presas de las estafas románticas; aquellos que desean una gratificación instantánea son vulnerables a las tácticas ricas ricas en las que las personas inteligentes que tienen miedo de perderse pueden ser tomadas por estafas de inversión”.
Estos tipos de ataques también son increíblemente comunes. Los estafadores a menudo contactan a las posibles víctimas a través de correos electrónicos y mensajes de texto (también conocidos como estafas de phishing y smishing) o, a veces, por teléfono, tal vez haciéndose pasar por un banco o una compañía de comercio electrónico, y pidiendo a la víctima que verifique su información personal o contraseñas de cuentas.
Joseph Steinbergun experto en ciberseguridad y autor de “Cyberseurity for Dummies”, dice que estos ataques explotan una debilidad en el cerebro humano.
“No estamos conectados para percibir las amenazas desde lejos … para sobrevivir, durante la mayor parte de la historia, no tuvimos que preocuparnos por las amenazas de alguien invisible, a 3.000 millas de distancia”, dijo Steinberg a Nexstar.
“Pero las personas tienden a confiar en la tecnología más que otras personas”, agregó. “Si me acerto a usted en la calle y le dije que su banquero me dijo que necesita restablecer su contraseña, nunca confiaría en mí. Pero si recibe un correo electrónico de lo que parece [a bank]? Eso podría ser diferente “.
También se está volviendo cada vez más difícil diferenciar los ataques de ingeniería social de las interacciones legítimas. La inteligencia artificial ha facilitado a los piratas informáticos recopilar información sobre los objetivos y llevar a cabo los ataques, como lo señalan los equipos de ciberseguridad en organizaciones como Crowdstrike, IBM y Universidad de Yale.
La IA incluso puede hacer posible que los malos actores creen defectos (es decir, fotos sintéticas, videos o clips de audio que parecen casi indistinguibles de los auténticos) para tratar de engañar a las víctimas. Steinberg dice que ha visto esta táctica demostrada por teléfono, con estafadores que usan Audio Deepfake para imitar la voz del ser querido de una víctima pidiendo dinero o información confidencial.
“Cada vez que lo he visto demostrado, funciona”, dijo. “Los AIS son tan buenos”.
CISA ofrece una serie de Consejos para prevenir la probabilidad de convertirse en una víctima de ataques de ingeniería social, incluida la limitación de la cantidad de información personal que comparte en línea, o contactar a un banco/empresa directamente (utilizando un número de teléfono proporcionado por los canales oficiales de la compañía) después de recibir un correo electrónico o texto sospechoso, para verificar su autenticidad.
Ahora que la IA está en la mezcla, Steinberg también sugiere presentar un plan para verificar la identidad de sus propios miembros de la familia, y lo más importante de sus hijos, si reciben una llamada sospechosa de una persona que dice ser un ser querido.
“Voy a preguntarles información que solo mi hijo sabría”, dijo Steinberg.
Al comprender estas herramientas, la probabilidad de convertirse en una víctima se minimiza al menos, si nunca se elimina por completo.
“Lo más importante es internalizar el hecho de que eres un objetivo”, dijo Steinberg. “Si crees que las personas pueden estar tratando de estafarte, te comportas de manera diferente”.
Young también dijo que una mentalidad escéptica es especialmente útil para que las poblaciones vulnerables adopten.
“Enseño clases de voluntarios para AARP a los ciudadanos mayores, y cuando explico que en los viejos tiempos los estafadores eran conocidos como estafadores, algo hace clic para ellos”, dijo. “Es cierto; los estafadores de hoy son solo otro nombre para los estafadores que han estado usando la persuasión y sus habilidades de ingeniería social desde el principio de los tiempos”.
