Inmersión Profunda en Ciberseguridad: ¿Qué es un Ataque de Baiting?
Un ataque de engaño es un tipo de ataque de phishing que utiliza la ingeniería social para manipularte. Estos ataques a menudo apelan a tu avaricia o curiosidad para engañarte y hacer que infectes tu dispositivo con malware.
Estos ataques suelen presentarse en tres formas:
- Medios Físicos – Los malhechores a menudo dejan dispositivos USB infectados en espacios de trabajo, estacionamientos o pasillos de oficinas, con la esperanza de que alguien los encuentre y los conecte a un dispositivo
- Descargas en Línea – El hacker puede enviarte un mensaje directo en redes sociales o por correo electrónico tratando de convencerte de acceder a un enlace. Estos mensajes contienen enlaces a archivos maliciosos que instalarán malware en tu dispositivo una vez abiertos. También hay sitios web que prometen materiales gratuitos que pueden convertirse en ataques de engaño
- Ofertas Tentadoras – Ofertas por correo electrónico que te prometen algo gratis o con un gran descuento si haces clic en un enlace. Estos enlaces están infectados e instalarán malware en tu dispositivo
Uno de los ataques de engaño más infames en la historia fue el ataque de 2008 al Departamento de Defensa de EE. UU.
Fue denominado el “peor ataque a las computadoras militares de EE. UU. en la historia”, y llevó a la creación del Comando Cibernético de Estados del Departamento de Defensa.
Operación Buckshot Yankee, como se le conoció, implicó un dispositivo USB infectado dejado en el estacionamiento de una instalación del DoD en Medio Oriente.
Un agente conectó un dispositivo USB infectado a una laptop e inadvertidamente instaló un código malicioso que tenía como objetivo robar información de las computadoras de la base.
El malware en sí era un gusano auto-replicante que se propagó automáticamente a través de la red del DoD. Al Pentágono le tomó 14 meses eliminar completamente el gusano de sus sistemas.
Y este fue un táctica clásica de engaño que apeló a la curiosidad de la víctima. Casi lleva a una crisis nacional de proporciones incalculables.
Tanto individuos como organizaciones están en riesgo de ataques de engaño. Pero son las organizaciones las que deben tener mayor precaución. Después de todo, las apuestas son más altas y las consecuencias son mucho más severas.
Que un solo empleado caiga presa de un ataque de engaño puede provocar una reacción en cadena de violaciones de datos, pérdidas de reputación, daños financieros y más.
A continuación, te llevaré a través de una inmersión profunda en los ataques de engaño. Te mostraré qué son, principios específicos utilizados, escenarios y técnicas comunes, estudios de caso y señales de alerta.
¡Empecemos!
¿En qué se Diferencia el Engaño del Phishing Tradicional?
Un ataque de engaño es un subconjunto de los ataques generalizados de phishing. En su esencia, el engaño es una forma de phishing.
Sin embargo, un ataque de engaño tiene algunos elementos específicos:
- Las emociones a las que apela
- Los escenarios comunes utilizados
Vamos a repasar ambos puntos a continuación y ver cómo funcionan los ataques de engaño:
1. Psicología de los Ataques de Engaño
La gran mayoría de los ataques de engaño apelan a dos emociones básicas: la avaricia y la curiosidad.
Cuando se trata de avaricia, los hackers a menudo intentan convencerte con promesas de riqueza, descuentos, ofertas exclusivas y cosas que suenan demasiado buenas para ser verdad.
La perspectiva de un beneficio financiero a menudo ciega a las víctimas, llevándolas a tomar decisiones impulsivas sin pensarlo bien.
Esto les hace correr riesgos que de otro modo no tomarían. A través de la avaricia, los ataques de engaño manipulan a sus víctimas para comprometer su seguridad por sí mismas.
Esto podría significar descargar un software malicioso o acceder a un enlace que promete un gran descuento en un producto.
Con la curiosidad, la historia es algo diferente. Los hackers usarán con más frecuencia medios físicos para atraer la atención y jugar con la curiosidad de sus víctimas.
La idea es crear un sentido de misterio e intriga a través de este ataque. Las víctimas se sentirán impulsadas a ver qué hay en la unidad USB aleatoria que encontraron, o abrir el enlace misterioso que recibieron.
Los actores maliciosos a menudo pondrán una etiqueta de “Confidencial” o “Clasificado” en estas unidades USB físicas para despertar aún más la curiosidad de sus víctimas.
En línea, estos ataques de engaño impulsados por la curiosidad podrían prometer información confidencial o secretos a los que de otra manera no podrías acceder.
Al entender cómo los ataques de engaño usan estas dos emociones para manipularte y hacerte tomar acciones impulsivas, puedes elevar tu conciencia y defenderte.
Esto es cierto tanto para individuos como para organizaciones. Los empleados también deben recibir una educación básica en ataques de engaño para evitar caer presa de estos ataques.
2. Escenarios Comunes de Ataque
Los ataques de engaño suelen tener escenarios específicos que son más comunes en comparación con los ataques básicos de phishing.
Vamos a repasar algunos de ellos:
- Grandes descuentos
Puede que recibas un mensaje o correo electrónico hablando de un descuento muy alto (demasiado bueno para ser verdad) en un producto o servicio que has estado buscando.
- Productos/servicios gratuitos
A veces, el producto/servicio prometido en un ataque de engaño es gratuito. El hacker quiere jugar
lo más posible con tu avaricia.
Y, ¿quién puede resistirse a lo gratis?
- Ganar un gran premio
Otro escenario común es ganar una gran suma de dinero. Esto podría ser una lotería en la que has sido inscrito automáticamente (según el hacker) o una herencia.
Personalmente, he recibido muchos correos electrónicos tipo lotería en el pasado, y todos piden tu información personal para enviarte el dinero.
¡No te dejes engañar, es una estafa!
- Premio inesperado
El hacker podría hacerse pasar por un servicio de compras que has utilizado antes y sorprenderte con un premio inesperado.
Podrían inventar varias razones, como un programa de lealtad que recompensa a los clientes.
Por supuesto, tanto los enlaces como los números de teléfono proporcionados por el hacker son falsos. ¡No caigas en la trampa!
- Entrega falsa
Otro escenario de engaño es cuando el actor de amenaza te deja una etiqueta en la puerta diciendo que te perdiste una entrega. Esta vez, estamos tratando con un ataque físico, y el hecho de que el hacker sepa dónde vives es extremadamente peligroso.
La etiqueta puede contener un número de teléfono u otro método de contacto: no los uses. Deja que tu curiosidad se calme porque es una estafa.
Pero, ¿cómo construyen los atacantes sus ataques de engaño y cómo aseguran su efectividad? ¡Veámoslo a continuación!
Anatomía de un Ataque de Engaño
Los actores de amenazas utilizan ciertas técnicas para asegurar la eficiencia de su ataque de engaño. Veamos cuáles son estas técnicas:
- El Disfraz
En los ataques de engaño que involucran archivos maliciosos, los hackers se asegurarán de disfrazar esos archivos en formatos que parezcan inofensivos.
Utilizarán extensiones inofensivas, nombres que suenan legítimos e íconos no amenazantes que no levanten sospechas.
Todo esto es un engaño para que los abras. Está destinado a crear la ilusión de inocencia y ocultar el peligro.
Esto también funciona en enlaces maliciosos que el hacker intenta disfrazar editando sus URL para que parezcan no amenazantes.
- La Relación de Confianza
Los ataques de engaño dependen casi por completo de la primera impresión inicial. Los hackers saben que solo tienen unos segundos para convencerte de hacer algo estúpido.
Por lo tanto, necesitan que confíes en ellos lo suficiente como para hacer clic en un enlace o descargar un software malicioso.
A menudo pretenderán representar empresas legítimas con las que has tratado antes. Todo esto es para ganar tu confianza y hacer que bajes la guardia.
El hacker también podría asumir un sentido de autoridad en un dominio dado, como un especialista en marketing o un secretario, para ganar tu confianza.
- La Amplificación Emocional
Todos los ataques de engaño usan emociones para hacerte hacer cosas que de otro modo no harías. Pero, ¿por qué funcionan?
Eso se debe a la amplificación emocional. Estos ataques funcionan amplificando ciertas emociones como la avaricia, la curiosidad, la escasez y la urgencia.
Esto aumenta la probabilidad de que caigas en la trampa porque tus emociones te dominarán.
Cuando cedemos a la curiosidad, la avaricia o la urgencia, nuestros procesos de pensamiento racional pasan a un segundo plano y dan paso a la toma de decisiones impulsivas.
Eso es en lo que apuestan los hackers: que al amplificar estas emociones, tomarás decisiones sin pensar.
Estudios de Caso
Para entender cómo funcionan los ataques de engaño en el mundo real y transmitir las posibles consecuencias, he preparado 5 estudios de caso reales que involucran ataques de engaño.
Analizarlos arrojará luz sobre cómo funcionan estos ataques. ¡Así que comencemos!
1. Gusano Stuxnet (2010)
Stuxnet es, quizás, el ataque de engaño más notorio de la historia, uno que condujo a graves repercusiones geopolíticas.
Aquí están los detalles de Stuxnet o Juegos Olímpicos, como se llegó a conocer:
- Stuxnet era un gusano (un malware de auto-replicación) almacenado en una unidad USB física, que infectó el programa nuclear iraní en la instalación de Natanz
- Su propósito era encontrar PLCs (controladores lógicos programables) fabricados por Siemens en un dispositivo y alterar su programación
- Alterar la programación de los PLCs afectó las velocidades de rotación de las centrifugadoras nucleares, dañándolas o destruyéndolas completamente
- Al mismo tiempo, los PLCs transmitían (falsamente) al ordenador controlador que todo funcionaba correctamente
La instalación nuclear de Natanz era conocida por ser a prueba de infiltraciones en ese momento, ya que sus sistemas no se conectaban a Internet en ningún punto.
La única forma de infiltrarse en la instalación era físicamente. Y así es exactamente como Stuxnet entró: un empleado de Natanz conectó la unidad USB en un dispositivo de trabajo.
Una vez que el gusano estaba en libertad, se propagó indiscriminadamente de dispositivo a dispositivo en la red interna de Natanz y encontró todos los PLCs de Siemens.
Curiosamente, Stuxnet explotó cinco vulnerabilidades de día cero y una puerta trasera para propagarse a través de los PCs con Windows en la instalación de Natanz:
- Un error con el servicio de impresión
- Un fallo en los accesos directos de Windows
- Dos vulnerabilidades de escalada de privilegios
- Un fallo con los PLCs de Siemens Una puerta trasera que se utilizó en el ataque de Conficker
Si sabes algo sobre ciberseguridad, entonces sabrás que explotar tantas vulnerabilidades simultáneamente es extremadamente poco común.
Eso es porque los hackers no quieren revelar todas sus cartas a la vez. Típicamente, una vez que una vulnerabilidad de día cero sale a la luz, las compañías de seguridad desarrollarán un parche y cortarán el acceso del hacker.
Sin embargo, Stuxnet fue un ciberataque sin restricciones que necesitaba solo una oportunidad para infiltrarse en la instalación de Natanz y arruinar su programa nuclear.
El gusano también estaba escrito en múltiples lenguajes de programación, incluyendo C, C++ y otros lenguajes orientados a objetos.
Hasta el día de hoy, sigue siendo una de las piezas de malware más sofisticadas jamás escritas. Los expertos lo están analizando incluso hoy para aprender de él.
¿Fue Stuxnet exitoso? En una palabra, sí. Logró descomisionar alrededor de 2,000 centrifugadoras en un año, cuando el número típico de centrifugadoras descomisionadas era de alrededor de 800.
Se rumorea que Stuxnet retrasó el programa nuclear de Irán por al menos dos años. La única razón por la que se descubrió fue que un empleado de Natanz lo sacó en un dispositivo de trabajo.
Los investigadores de seguridad eventualmente lo encontraron y lo descodificaron, en su mayor parte. Tenía más de 15,000 líneas de código, lo que está muy por delante de lo que cualquier otro malware comprende.
Y todo comenzó con una sola unidad USB que un empleado de Natanz encontró al azar y conectó a un dispositivo de trabajo.
¡Un ataque de engaño de principio a fin!
2. Operación Aurora (2009)
Descargo de responsabilidad – La Operación Aurora solo incluyó elementos de engaño (tácticas de spear phishing) pero no fue un ataque de engaño típico. Se centró en explotar vulnerabilidades de día cero y puertas traseras en su lugar.
Operación Aurora fue uno de los ciberataques más extensos de la historia, realizado por el Grupo Elderwood (con vínculos chinos) contra varias empresas estadounidenses de alto perfil.
Los objetivos confirmados incluyen:
- Adobe Systems
- Akamai Technologies
- Juniper Networks
- Rackspace
Según varios informes, Symantec, Yahoo, Dow Chemical, Northrop Grumman y Morgan Stanley también fueron objetivo de la Operación Aurora.
El principal objetivo del ataque era robar secretos comerciales del sector privado estadounidense: sus repositorios de código fuente.
Aquí está el orden de los eventos:
I. Comienza el Ataque
La anatomía de la Operación Aurora es fascinante por lo sofisticado que fue. Según McAfee, los atacantes utilizaron varias vulnerabilidades de día cero en la aplicación de navegador Internet Explorer y en el software de revisión Perforce.
Los hackers enviaron efectivamente correos electrónicos de engaño a empleados que trabajaban en estas empresas, tratando de pasar como colegas o fuentes de confianza. Atraían a las víctimas a hacer clic en enlaces maliciosos que instalarían el malware infectado en los dispositivos de la empresa.
A través de tácticas de spear-phishing y la explotación de día cero, los atacantes obtuvieron el acceso elevado que necesitaban para acceder a los sistemas informáticos de las empresas.
También utilizaron conexiones traseras a cuentas de Gmail para acceder a los sistemas informáticos.
II. Google Anuncia el Ataque
El 12 de enero de 2010, Google anunció en su blog que había sufrido un ciberataque a mediados de diciembre que provenía de China.
También afirmaron que más de 20 empresas habían sido atacadas en el mismo período por el mismo grupo.
Por esta razón, Google declaró que consideraría terminar sus relaciones comerciales en China. Varios otros comunicados políticos fueron publicados el mismo día por distintas partes.
El gobierno chino no emitió una respuesta formal a estas acusaciones.
III. Symantec Comienza la Investigación de los Ataques
Las empresas de ciberseguridad Symantec y McAfee ofrecieron investigar el ataque en nombre de Google y todas las demás empresas afectadas.
Después de examinar las evidencias (nombres de dominio, firmas de malware, direcciones IP, etc.), descubrieron que el Grupo Elderwood era responsable de la Operación Aurora.
El grupo de hackers también es conocido como el «Grupo de Pekín«, y consiguieron parte del código fuente de Google e información sobre varios activistas chinos.
Dmitri Alperovitch, VP de Investigación de Amenazas de McAfee, identificó el ataque como “Operación Aurora” porque “Aurora” era una ruta de archivo incluida en dos de los malwares utilizados en los ataques.
IV. Consecuencias
Después de que los ataques se hicieron de conocimiento público, muchos países dejaron de usar temporalmente Internet Explorer debido a las vulnerabilidades de día cero incrustadas en él.
Google también se retiró de China y solo mantiene una versión local del motor de búsqueda desde Hong Kong.
La Operación Aurora resultó ser más perjudicial para China que para Estados Unidos, ya que la primera perdió más en las secuelas del ataque.
Reconocer y Prevenir Ataques de Engaño
Los ataques de engaño no son difíciles de detectar, en su mayoría. Afortunadamente, tomar algunas precauciones y estar consciente de cómo los ataques de engaño te engañan te ayudará mucho a protegerte.
Primero, ¡déjame mostrarte las señales de alerta más comunes de los ataques de engaño!
1. Señales de Alerta
- Línea de Asunto Urgente en el Correo
Desde el principio, si ves una línea de asunto alarmista en un correo, tu detector de estafas ya debería estar sonando.
Estas líneas de asunto podrían decir “Cambia Tu Contraseña Ahora” o “Aprovecha este Descuento Mientras Está Aquí”.
Si la otra parte crea un sentido de urgencia y quiere aprovecharse de tus emociones para hacerte tomar decisiones impulsivas, deberías empezar a cuestionar sus intenciones.
Es o un correo legítimo (?) de marketing o un ataque de engaño destinado a engañarte. En muchos casos, no están tan claros como esperaríamos.
- Solicitando Información Personal/Sensible
Si la otra parte solicita información personal o sensible, como tu número de tarjeta de crédito, NO la proporciones.
Ninguna empresa legítima solicitará información sensible por correo electrónico o mensajes directos. Esto se debe a que la información sensible es justo eso: sensible para tu identidad, y solo tú deberías conocerla.
El 99.99% de todos los correos electrónicos que solicitan dicha información son ataques de engaño. El restante 0.01% son empresas poco profesionales o empresas que enfrentan problemas de seguridad particularmente graves.
- La Dirección del Remitente o el Dominio Son Falsos
Cuando recibas un correo electrónico extraño de alguien que conoces (incluso tu superior), revisa su dirección de correo electrónico o dominio.
Luego compáralo con el auténtico de tu lista de contactos. ¿Son iguales? ¿O el utilizado en el correo electrónico es un poco diferente?
Quizás tiene una letra adicional, usa mayúsculas o una de las letras está duplicada. Ese es un correo electrónico de phishing cuidadosamente (o no) elaborado para engañarte.
2. Medidas Educativas y Salvaguardias Tecnológicas
Dado que los ataques de engaño son una subcategoría de los ataques de phishing, te dirigiré a mi guía sobre ataques de phishing.
Los métodos de prevención y señales de alerta son exactamente los mismos para ambos:
- Errores gramaticales
- La presencia de adjuntos inesperados
- La presencia de mayúsculas en lugares extraños
- El tono urgente
Un proveedor de servicios antimalware premium te ayudará a prevenir infecciones en caso de que accidentalmente caigas en un ataque de engaño y descargues un malware.
También podrías querer elegir un proveedor de correo
electrónico más privado y seguro como Proton. Sus filtros de correo electrónico están mejor adaptados para identificar posibles spam y ataques de phishing (los correos electrónicos se enviarán automáticamente a la carpeta de Spam).
Esto te dará una mejor idea de qué esperar de estos correos electrónicos. Pero ten cuidado: no todos los correos electrónicos en tu carpeta de Spam son de phishing.
Los filtros de correo electrónico no son 100% precisos todo el tiempo, por lo que podrían cometer un error.
Conclusión
Los ataques de engaño son la forma más común de ataques de phishing. Utilizan la psicología para engañarte y hacer que accedas a un enlace infectado o descargues un adjunto malicioso.
Pero también son algunos de los ataques más fáciles de defenderse. Solo se necesitan dos cosas para volver inútil un ataque de engaño:
- Conciencia cibernética – Si sabes que un ataque de engaño es un ataque de engaño, no caerás en él
- Autocontrol – Antes de darte cuenta de con qué estás lidiando, no te vuelvas impulsivo. Los correos electrónicos de engaño fabrican una urgencia artificial para hacerte tomar acciones impulsivas
En serio, todo lo que necesitas son estas dos cosas para nunca caer en un ataque de engaño nuevamente.
Saber cómo identificar un ataque de engaño no siempre es fácil, sin embargo. Así que, ¡deja que esta guía (y la otra sobre phishing en general) te enseñen cómo hacerlo!
Fuentes
CRN – El Pentágono Confirma el Ataque Cibernético de 2008 Contra el Ejército de EE. UU.
CSO Online – Stuxnet Explicado: El Primer Arma Cibernética Conocida
Gizmodo – La Historia Interna de Cómo se Descubrió Stuxnet
JPost – «El Virus Stuxnet Retrasó el Programa Nuclear de Irán por 2 Años»
CS Monitor – Robando Secretos Comerciales de EE. UU.: Expertos Identifican Dos Grandes «Bandas» Cibernéticas en China
Blog de Google – Un Nuevo Enfoque para China
Privacy Affairs – ¿Por Qué el Phishing es Tan Común y Cómo Protegerse Contra Él?