La presente es una traducción automática generada por DeepL Translate. La traducción automática es una traducción literal del contenido original a otro idioma. Está totalmente automatizada y no implica ninguna intervención humana. La calidad y la fidelidad de la traducción automática pueden variar considerablemente de un texto a otro y entre diferentes pares de idiomas. La UIT no garantiza la fidelidad de las traducciones y no asume ninguna responsabilidad en caso de error. Si tiene alguna duda acerca de la exactitud de la información presentada en las versiones traducidas de nuestras páginas web, remítase al texto oficial en inglés. Puede que algunos contenidos (como imágenes, vídeos, archivos, etc.) no sean traducidos debido a las limitaciones técnicas del sistema.

Evolución de la ingeniería social y el phishing


Seguridad cibernética suiza

Sesión 291

lunes, 13 marzo 2023 15:00–15:45 (UTC+01:00) Room 11+12, CICG, 2nd Floor Ciberseguridad Taller temático

Taller práctico

La ingeniería social existe desde que existen los humanos, pero dado que estamos utilizando la tecnología de la información omnipresente, la ingeniería social ha pasado al siguiente nivel: phishing, impostor y compromiso de correo electrónico comercial. Una industria multimillonaria ahora está tratando de engañarlo para que divulgue secretos, instale malware o envíe dinero a alguna parte. Otra industria multimillonaria está luchando para proteger a las organizaciones y las personas.

Hace más de una década, los ingresos del delito cibernético superaron los ingresos del mercado mundial de drogas ilegales. Todavía hoy es fácil ganar dinero con correos electrónicos de phishing. Los delincuentes provienen de todo el ancho de banda de antecedentes sociales e inteligencia: algunas personas menos brillantes se olvidan de adjuntar cargas útiles a sus correos electrónicos o colocan direcciones URL incorrectas en sus correos electrónicos de phishing. Algunos phishers más inteligentes están utilizando servicios de phishing; no necesitan tener un conocimiento técnico profundo. 20 $ en bitcoin y obtienes algunas semanas de servicios de kit de phishing limitados. Esto facilita que muchas personas con problemas financieros comiencen su propio "negocio de phishing". Y, por supuesto, existen grupos sofisticados de ciberdelincuencia o incluso piratas informáticos patrocinados por el estado con acciones muy específicas. Es posible que sus ataques nunca sean vistos por más de unas pocas corporaciones, lo que dificulta su detección. La mayoría de esos actores de amenazas lo están haciendo para ganarse la vida.

Conseguir un rescate es uno de los objetivos de los ciberdelincuentes. Hoy en día, la gran mayoría de los ataques de ransomware todavía comienzan con un correo electrónico. Hace años, los actores de amenazas usaban correos masivos para eso. Esos tiempos se han ido. Los ataques basados en correo electrónico de hoy en día son muy sofisticados:

Los generadores de perfiles están investigando cada bit de información sobre un objetivo: ¿tienes un perro? ¿Cuándo sueles levantarte? ¿Cual es su formación académica? ¿Quiénes son su negocio y sus colegas privados? La mayoría de esas preguntas se pueden responder a través de la investigación de las redes sociales.
Esa información se pasa a los creadores de contenido que realmente escriben los mensajes específicos.
Otras formas de usar dicha información son los impostores: correos electrónicos que afirman ser del jefe y solicitan transferir dinero rápidamente debido a una gran oportunidad comercial. Si solo 1 de 1000 de esas amenazas de impostores producen una transferencia bancaria, se paga todo el esfuerzo
Los delincuentes también usan cuentas de correo electrónico comerciales comprometidas para entregar sus enlaces a ransomware o simplemente para solicitar el cambio de una cuenta bancaria receptora de una transferencia bancaria regular. Esto puede parecer extraño, pero esos ataques tienen una alta tasa de éxito si se basan en la confianza personal que podría respaldar un correo electrónico comercial con el que está en contacto con frecuencia.

Ya sea que el segundo paso sea hacer que alguien haga clic en una URL, instalar algún software o hacer una llamada telefónica: el objetivo final es principalmente ganar dinero.

En una nota al margen: si no es por dinero directamente, alguien más paga los ataques, ya sea un competidor o un estado. No importa si el estado se ve a sí mismo en el lado positivo o en el lado oscuro: casi todos los estados son atacantes y objetivos de delitos cibernéticos al mismo tiempo. Sin embargo, el taller no cubrirá el delito cibernético inducido por el estado.

El taller muestra ejemplos recientes de cómo los delincuentes utilizan enfoques técnicos y sociales para ganar dinero. Mostraremos las partes de la cadena de producción multinacional del delito cibernético. Pon a prueba tus conocimientos en el taller: ¿caerías en ejemplos de phishing?

Temas
Ciberseguridad Computación en la nube Economía digital Educación Ética Infraestructura Tecnología 5G Transformación digital
Líneas de acción de la CMSI
  • LA C3 logo C3. Acceso a la información y al conocimiento
  • LA C5 logo C5. Crear confianza y seguridad en la utilización de las TIC
  • LA C7 E–BUS logo C7. Aplicaciones de las TIC: ventajas en todos los aspectos de la vida — Negocios electrónicos
  • LA C7 E–LEA logo C7. Aplicaciones de las TIC: ventajas en todos los aspectos de la vida — Aprendizaje electrónico
  • LA C7 E–EMP logo C7. Aplicaciones de las TIC: ventajas en todos los aspectos de la vida — Ciberempleo
  • LA C10 logo C10. Dimensiones éticas de la sociedad de la información
Objetivos de desarrollo sostenible
  • Objetivo 16 logo Objetivo 16: Promover sociedades pacíficas e inclusivas para el desarrollo sostenible, facilitar el acceso a la justicia para todos y crear instituciones eficaces, responsables e inclusivas a todos los niveles