Secretos de espionaje revelados: Los ciberdelincuentes reciclan las técnicas de espionaje

Existen muchas similitudes entre las tácticas utilizadas por los espías en las operaciones clandestinas tradicionales en todo el mundo y las empleadas por los actores de las amenazas a la ciberseguridad. Ambos se basan en el reclutamiento de personas para que, voluntaria o involuntariamente, proporcionen acceso a información sensible y protegida. En el caso de un espía tradicional, el objetivo es que los gobiernos recopilen, analicen y, en ocasiones, influyan en información importante para la seguridad nacional y los intereses estratégicos de un país. El objetivo de un actor de amenazas es obtener las credenciales y afianzarse en una organización para recopilar información que vender con fines lucrativos o utilizar para cometer delitos.

Según Shawnee Delaney, fundadora y directora ejecutiva de Vaillance Group, y experta mundialmente reconocida en gestión de riesgos humanos, amenazas internas e investigaciones de seguridad, "los ingenieros sociales y los ciberdelincuentes no están inventando nada nuevo. Esencialmente están reciclando técnicas de espionaje". Echemos un vistazo a algunas de estas tácticas.

Maestros de la manipulación

Los actores con éxito en las amenazas a la ciberseguridad son maestros de la manipulación, a menudo explotando las emociones humanas, en particular el miedo, para lograr sus objetivos maliciosos. Al elaborar mensajes que crean una sensación de urgencia o pánico, como falsas advertencias sobre cuentas comprometidas, facturas impagadas o acciones legales inminentes, presionan a la gente para que actúe sin pensar.

Estas tácticas de ingeniería social se aprovechan de nuestro instinto para resolver rápidamente las amenazas percibidas, llevando a las víctimas a hacer clic en enlaces maliciosos, descargar archivos adjuntos dañinos o proporcionar información confidencial como credenciales de inicio de sesión. El miedo es un poderoso motivador, y los ciberdelincuentes lo utilizan para eludir nuestro juicio racional, haciendo que incluso las personas más precavidas sean vulnerables a sus artimañas. Reconocer estos desencadenantes emocionales es clave para mantenernos alerta y protegernos de caer en sus trampas.

Sesgo de autoridad

Las personas pueden ser especialmente vulnerables a la manipulación a través de correos electrónicos y mensajes maliciosos procedentes de figuras percibidas como autoridad, debido a un fenómeno psicológico conocido como sesgo de autoridad. Este sesgo se deriva de nuestra tendencia innata a cumplir las peticiones o instrucciones de quienes consideramos que tienen poder, experiencia o influencia.

Los ciberdelincuentes se aprovechan de ello haciéndose pasar por directivos, ejecutivos u otras figuras con autoridad, elaborando mensajes que crean una sensación de urgencia u obligación. Por ejemplo, un correo electrónico que parezca proceder de un director general podría solicitar información sensible o una acción inmediata, aprovechando el deseo del destinatario de complacer y evitar decepcionar a alguien en una posición de poder. El miedo a las repercusiones o el instinto de seguir órdenes sin cuestionarlas pueden anular el pensamiento crítico, haciendo que las personas sean más propensas a ser víctimas de estafas de phishing u otras formas de ingeniería social. Esto pone de relieve la importancia de fomentar una cultura de escepticismo y de formar a los empleados para que verifiquen las solicitudes, incluso las procedentes de fuentes fiables, antes de actuar.

Reciprocidad y curiosidad

La reciprocidad y la curiosidad son dos desencadenantes psicológicos que a menudo se explotan en los correos electrónicos maliciosos para atraer a la gente a hacer clic en enlaces dañinos. La reciprocidad juega con la tendencia humana a sentirse obligado a devolver un favor; por ejemplo, un correo electrónico puede ofrecer un regalo gratuito, un descuento exclusivo o un recurso útil a cambio de hacer clic en un enlace. Esto crea una sensación de endeudamiento, incitando al receptor a actuar sin considerar plenamente los riesgos.

La curiosidad, por su parte, aprovecha nuestro deseo innato de descubrir lo desconocido. Una línea de asunto hábilmente elaborada como "¡No creerá lo que hemos descubierto sobre usted!" o "Urgente: Fondos no reclamados a su nombre" puede despertar la intriga, llevando a los destinatarios a hacer clic por la necesidad de satisfacer su curiosidad. Juntas, estas tácticas crean una potente atracción psicológica, que hace que incluso las personas precavidas sean más susceptibles de caer en las trampas del phishing.

Aprovecharse de nuestras emociones

Al igual que los espías, los ciberdelincuentes se han vuelto muy expertos en aprovecharse de las emociones de sus objetivos. Se aprovechan de la codicia elaborando mensajes tentadores que prometen recompensas económicas, premios de lotería u ofertas exclusivas, incitando a las víctimas a hacer clic en enlaces dañinos o a compartir información confidencial. Del mismo modo, explotan nuestra naturaleza servicial haciéndose pasar por colegas de confianza, amigos o figuras de autoridad en apuros, creando una sensación de urgencia que baja las defensas y fomenta una acción rápida y acrítica. Al combinar la manipulación emocional con la ingeniería social, estas tácticas engañan eficazmente a las personas y abren la puerta a los ciberataques.

Además, los ciberdelincuentes aprovechan el exceso de confianza, la rutina y la autocomplacencia para llevar adelante sus planes. Muchas personas creen que son demasiado inteligentes para caer en estafas, ojean los correos electrónicos durante sus ajetreadas rutinas o confían demasiado en las medidas de seguridad de la organización, lo que les hace estar menos atentos. Imitando patrones familiares, como solicitudes relacionadas con el trabajo, actualizaciones de paquetes o avisos financieros, y utilizando herramientas de IA para personalizar los mensajes en función de la actividad en las redes sociales y el comportamiento en línea, los ciberdelincuentes crean correos electrónicos muy convincentes. Estos mensajes personalizados hacen referencia a detalles específicos, como compras recientes o hitos profesionales, lo que les hace parecer auténticos y aumenta la probabilidad de compromiso.

El acto de no actuar

Shawnee Delaney ofrece un gran consejo a las personas que puedan encontrarse en el extremo receptor de tácticas de espionaje de ciberdelincuentes, ya sea en su trabajo o en su vida personal: "Siempre les digo a mis hijos que si reciben un correo electrónico o una llamada telefónica... y les hace sentir una gran emoción, que no hagan nada".

Cuando la gente se encuentra con un correo electrónico o un mensaje sensible al tiempo que podría ser potencialmente malicioso, es crucial resistir el impulso de actuar inmediatamente. Los ciberdelincuentes suelen aprovecharse de la urgencia para eludir la toma de decisiones racionales, provocando acciones precipitadas como hacer clic en enlaces dañinos o compartir información sensible. Detenerse a verificar la autenticidad de un mensaje puede ser la diferencia entre ser víctima de una estafa o salvaguardar la seguridad personal u organizativa.

Pasos sencillos como comprobar la dirección de correo electrónico del remitente o ponerse en contacto con él a través de un canal de confianza pueden ayudar a confirmar la legitimidad. Al priorizar la precaución sobre la rapidez, las personas pueden protegerse a sí mismas y a sus organizaciones de los ataques de phishing y otras ciberamenazas. 

Aprenda más

Este blog sólo araña la superficie de nuestra discusión entre Shawnee Delaney y el Director de Marketing de Mimecast, Adenike Cosgrove, y el Director de Producto, Rob Juncker. Vea la sesión completa, Spy Secrets Revealed: Dominar el Human Risk y, de paso, obtenga acceso exclusivo al kit de concienciación sobre ciberseguridad de Mimecast, que contiene las mejores prácticas para los responsables de TI, seguridad y empresa, así como formación útil para los empleados.