La ingeniería social está cobrando fuerza de manera constante, principalmente por el aumento de los ataques cibernéticos. Es una técnica maliciosa que aprovecha las relaciones interpersonales para robar datos sensibles. En VerificaRTVE te contamos las claves específicas de este tipo de operaciones desveladas por los expertos en Osintomático, la conferencia sobre Inteligencia de Fuentes Abiertas celebrada en Madrid.
La ingeniería social es, en palabras del FBI, “la técnica más común empleada por delincuentes, adversarios, competidores y espías para explotar redes informáticas y humanas: ”son mentiras diseñadas para hacer que bajes la guardia”. Este tipo de ataques, según el INCIBE, usan “técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial”. Son ataques de ingeniería social prácticas basadas en la suplantación de identidad como el phishing y el smishing (los envíos de mensajes de email o sms simulando ser una entidad u organización). También lo son el vishing (una llamada telefónica que suplanta a una empresa o institución), el pretexting (el envío de mensajes haciéndose pasar por una persona conocida del receptor) y el correo spam.
Ataques desde Bizum y Whatsapp
Para conseguir ganarse la confianza de la víctima, una de las claves de los ataques de ingeniería social es averiguar su nombre. No es lo mismo recibir un mensaje dirigido específicamente a ti que uno que no te menciona. Para conseguir ese dato, los ataques pueden aprovecharse de aplicaciones como Whatsapp o Bizum. Chema Alonso, responsable jefe de Digital de Telefónica, explica que un “leak” (una filtración o vulnerabilidad) de Whatsapp hace que cualquier persona que se haya hecho de alguna manera con tu número de móvil pueda ver la identidad asociada a él. El ciberdelicuente no necesita que tengas su número en tu agenda, solo con mandarte un mensaje verá el nombre con el que te presentas en Whatsapp. Podrá averiguarlo igualmente si te añade a un grupo.
Bizum también permite que un desconocido pueda descubrir tu nombre y las iniciales de tus apellidos. Lo único necesario, según cuenta Chema Alonso, es simular un envío de dinero a tu móvil. En el paso previo a confirmar la transferencia, Bizum muestra la identidad asociada a esa cuenta bancaria “sin necesidad de llegar a completarla”. Con ese dato, el ciberdelicuente puede mandarte un mensaje por tu nombre poniendo, por ejemplo, un enlace de una canción que en realidad sirve para averiguar dónde estás. Alonso asegura que ha comunicado estos dos “leaks” a Whatsapp y Bizum para que los solucionen pero a día de hoy, según hemos podido comprobar en VerificaRTVE, siguen apareciendo.
Strava y las infraestructuras críticas
La aplicación Strava te permite registrar tus actividades deportivas para poder ver en un mapa tus recorridos y tiempos en ciclismo, carrera, natación, marcha o paseo. Sin embargo, también puede ser la puerta de entrada para un ataque de ingeniería social. Lo cuenta en Osintomático el agente de la Policía Local de Madrid especializado en OSINT Agustín Constante. Este experto nos muestra con un ejemplo cómo un ciberdelincuente puede introducir un falso recorrido en la app, exportando un archivo que simule un recorrido que no ha hecho desde un mapa como Google Maps (formato .kml). Este archivo falso le sirve para fingir que ha corrido dentro del recinto de una central nuclear en España.
Tras ese primer paso, el farsante encuentra recorridos en ese mismo recinto de 60 personas que usan Strava y que no ocultan sus actividades. Así consigue saber más sobre estos deportistas, viendo sus fotos y otros datos que publican. En concreto, se fija en el perfil de un hombre que comparte todas sus actividades y encuentra sus cuentas en otras redes por elementos coincidentes. Descubre así que es un agente de las fuerzas de seguridad de esa infraestructura crítica. Constante subraya que su simulación no pretende alertar sobre estas apps sino sobre el uso que se hace de ellas, especialmente cuando las utilizan agentes de las fuerzas de seguridad o trabajadores de infraestructuras críticas.
Investigando cuentas privadas en Twitter
Los ataques de ingeniería social pueden llegar desde cuentas de Twitter que suplantan instituciones o personas. Para investigar en Twitter, Carlos Seisdedos y Vicente Aguilera, de Internet Security Auditors, han desarrollado Tinfoleak.app, una herramienta aún “en fase de pruebas” que, entre otras opciones, permite investigar cuentas privadas. Estos dos expertos muestran cómo la plataforma permite acercarse a la actividad de cuentas privadas (candadas) mediante la detección de interacciones con otras cuentas que no lo están.
Tinfoleak permite también profundizar en los datos de geolocalización de las cuentas, agrupándolos y haciendo un histórico de los mismos, así como ver mensajes de esas mismas identidades en otras redes como Instagram. Con esta aplicación, según sus desarrolladores, puedes investigar 20 listas de Twitter de manera simultánea y mensajes publicados sobre un mismo tema en una fecha concreta por idiomas. Al tratarse de una nueva versión de la aplicación todavía en pruebas, en VerificaRTVE no hemos podido probar las nuevas opciones.
Los ataques de ingeniería social se basan en “ganarse la confianza” del usuario para llevarle a que “haga algo bajo su manipulación o engaño”, como recuerda Incibe. Para evitar caer en este tipo de trampas, sé prudente con la información privada que publicas en Internet y revisa qué datos extraen las apps que instalan en tu móvil. En VerificaRTVE te ofrecemos estos Consejos de CIberseguridad y te recomendamos la galardonada serie delitos digitales Backup, de Carol Espona.