Ingeniería social: el engaño como arma de delito

0

Cualquiera de nosotros estamos en peligro de caer víctima de ciberdelincuentes, un peligro que aumenta día a día, sobre todo en el caso de los fraudes de ingeniería social. Este tipo de prácticas ilegales se usan, desde hace años, para obtener información confidencial a través de la manipulación. En este caso, los defraudadores se aprovechan del eslabón más débil en seguridad: la psicología humana.

Hay muchas técnicas de Ingeniería Social, de las que aquí vamos a mencionar algunas, identificadas por el Incibe (el Instituto Nacional de Ciberseguridad):

  • Phishing: generalmente consiste en emails con archivos adjuntos infectados o enlaces a páginas fraudulentas, que permiten a los cibercriminales tomar el control de los equipos y robarles información personal y/o bancaria.
  • Smishing: es una variante del phishing que se difunde por SMS.
  • Vishing: se trata de llamadas telefónicas en las que el atacante se hace pasar por una entidad reconocida o por una persona de confianza con el mismo propósito, es decir, para sonsacarle información privada a la víctima.
  • Redes Sociales: las técnicas de fraude social más comunes a través de las redes sociales se materializan en cupones descuento, juegos y concursos (falsos).

Una variante particular de la ingeniería social, que puede provocar enormes pérdidas económicas, es el llamado “fraude en tiempo real”, también conocido como fraude de pago autorizado. Con este método, los delincuentes utilizan los datos personales de sus víctimas, previamente adquiridos a través de filtraciones de datos en la dark web o en perfiles de redes sociales. Para conseguir aún más información, se ponen en contacto con sus víctimas por teléfono y se hacen pasar por alguien de una Administración Pública, de su banco o de otra entidad oficial. De este modo, convencen a la persona a la que están llamando para que haga una transferencia de dinero a otra cuenta. En este proceso, los sistemas de seguridad habituales de los bancos no detectan ningún problema, porque es el titular real el que hace la transferencia. 

Al tratarse de un usuario auténtico, que se conecta desde un lugar real y que realiza el proceso de autenticación con su propio dispositivo, es muy difícil detectar este tipo de fraude. Las comprobaciones habituales, como identificar la ubicación, el dispositivo final o la IP del usuario, no son suficientes. Incluso los métodos más avanzados, como la autenticación con una contraseña de un solo uso (OTP, por sus siglas en inglés) a través de un SMS, pueden superarse fácilmente. Los estafadores que llevan a cabo este tipo de ataques suelen estar muy preparados; conocen muy bien los procesos de los bancos y utilizan métodos de ingeniería social para obtener una respuesta emocional de su víctima. De media, las víctimas de un fraude de pago autorizado acaban perdiendo 10.000 euros.

Anatomía de una estafa de ingeniería social 

Un cliente del National Australia Bank, bajo las instrucciones de ciberdelincuentes, aumentó su límite de transacciones hasta 100.000 dólares. Durante el proceso, la persona utilizó su usuario y contraseña, superando así la primera barrera sin problemas. Sin embargo, durante la sesión, se detectó un comportamiento diferente a lo que se había observado en transacciones anteriores, incluyendo por ejemplo un movimiento extraño del ratón para ese usuario, lo que permitió al banco intervenir a tiempo y avisar al cliente de que estaba siendo víctima de una estafa. 

Y es que las tecnologías basadas en la biometría del comportamiento pueden detectar este tipo de ataques, al distinguir los comportamientos de los usuarios «reales» de aquellos que están siendo manipulados. BioCatch ha desarrollado modelos de riesgo para identificar múltiples amenazas. Además, hay patrones de comportamiento claros que pueden distinguir la actividad online «real» de la «fraudulenta» y detectar la manipulación orquestada por un estafador: 

  • Duración inusual de la sesión: la sesión online dura mucho más de lo normal, y el titular de la cuenta muestra patrones de comportamiento inusuales, como movimientos del ratón sin rumbo. Esto puede indicar que la persona está nerviosa o bajo presión mientras sigue las instrucciones de un defraudador.  
  • Teclear de forma rara: Un patrón de tecleo con interrupciones extrañas puede indicar que alguien le está leyendo en voz alta el número de cuenta al usuario.  
  • Vacilación: El tiempo necesario para realizar acciones sencillas e intuitivas, como confirmar algún paso, aumenta considerablemente.   
  • Manipulación inusual del dispositivo terminal: La orientación del dispositivo cambia con frecuencia. Esto puede indicar que el usuario conectado deja o levanta repetidamente su smartphone para aceptar las instrucciones del delincuente. 

En la mayoría de los casos, no hay forma de rastrear y recuperar el dinero de la víctima una vez que ya sido víctima de una estafa de ingeniería social. Por lo tanto, para proteger a los clientes, es imperativo detectar el fraude en el mismo momento en que se produce. El uso de la biometría del comportamiento puede evitar pérdidas económicas importantes y proteger a personas y empresas.

About Author

Threat Analytics Consultant (EMEA) Biocatch

Leave A Reply