El baiting en la ingeniería social es el equivalente digital del caballo de Troya. Se basa en la curiosidad o la codicia de la víctima.
Pero, ¿qué diferencia a esta forma de ingeniería social de otros ataques? ¿Y cómo puede evitar que sus empleados o usted mismo mismo sean víctimas?
Eso es lo que exploraremos (y más) en esta guía.
¿Qué es el baiting en la ingeniería social?
En primer lugar, recapitulemos qué es la ingeniería social.
La ingeniería social es un término general que incluye muchas técnicas para explotar nuestra naturaleza humana e inducir comportamientos y errores que conduzcan a una seguridad debilitada.
El objetivo principal de un ataque de ingeniería social es convencer a una víctima para que revele información sensible (como credenciales de acceso) y/o descargue inadvertidamente malware (en forma de archivo adjunto a un correo electrónico, por ejemplo).
El baiting (en inglés «poner cebo») es una forma de ingeniería social que se basa en el «cebo». Este cebo puede ser algún tipo de recompensa, producto gratuito, etc.
Esto es diferente de, por ejemplo, un ataque quid pro quo, en el que la víctima podría sentirse obligada a «devolver el favor».
En muchos aspectos es similar a los ataques de phishing. Sin embargo, los ataques de phishing suelen basarse en el miedo y la urgencia para incitar a sus víctimas a actuar. En cambio, un ataque de baiting utiliza la promesa de un objeto para atraer a las víctimas. Por ejemplo, el atacante puede ofrecer a los usuarios descargas gratuitas de música o películas si entregan sus credenciales de acceso a un determinado sitio.
Cómo funciona el baiting en la ingeniería social
En un ataque de baiting, el objetivo de los atacantes suele ser robar las credenciales del usuario o hacer que instale malware.
Una forma de hacerlo es mediante unidades USB infectadas:
- Por ejemplo, los empleados pueden recibir memorias USB infectadas como recompensa por participar en una encuesta.
- Alternativamente, los malos pueden dejar unidades USB infectadas en una cesta de regalos colocada en el vestíbulo de la empresa para que los empleados simplemente la cojan de camino a su área de trabajo.
- Otra posibilidad es la colocación estratégica de dispositivos contaminados para que los cojan los empleados objetivo. Marcados con etiquetas intrigantes como «Confidencial» o «Información salarial», los dispositivos pueden resultar demasiado tentadores para algunos trabajadores. Estos empleados pueden «morder el anzuelo» e introducir el dispositivo infectado en los ordenadores de la empresa.
Sin embargo, los ataques de baiting pueden ser tan simples como un banner publicitario en un sitio web prometiendo un iPhone gratis. O puede que haya recibido uno de esos correos electrónicos que prometen algún tipo de recompensa en Bitcoin. Esos también constituyen ataques de baiting.
Ataques de baiting en el mundo real
Ahora que ya hemos tratado la teoría, veamos un ejemplo real de ataques de baiting.
Ataque a unidades USB infectadas
En 2021, el FBI emitió una advertencia pública sobre una campaña generalizada de baiting dirigida a empresas y organismos gubernamentales.
Los ciberdelincuentes enviaron por correo unidades USB infectadas disfrazadas de regalos promocionales a empleados desprevenidos. Las memorias USB contenían malware que se activaba al insertarlas. Esto permitía a los hackers obtener acceso remoto a las redes corporativas.
Aquí tienes una visión detallada de cómo proceder al ataque con baiting:
- Paso 1: Los empleados recibían un paquete con una unidad USB etiquetada como «Contenido adicional – Formación de empresa» o «Tarjeta regalo gratuita de Amazon».
- Paso 2: Sin embargo, la unidad USB contenía software malicioso disfrazado de documento o vídeo legítimo.
- Paso 3: Cuando se conectaba, el malware instalaba automáticamente troyanos de acceso remoto (RAT, del inglés «Remote Access Trojan») y registradores de pulsaciones de teclas permitiendo a los atacantes robar las credenciales de inicio de sesión.
- Paso 4: Con las credenciales robadas, los atacantes lograban infiltrarse en los sistemas corporativos, filtrando datos sensibles.
Algunas de las conclusiones de este ataque son:
- Nunca introduzca unidades USB desconocidas en un dispositivo personal o de trabajo.
- Utilice software de protección de puntos finales para detectar y bloquear dispositivos USB no autorizados.
- Capacitar a los empleados sobre el baiting y otras tácticas de ingeniería social para evitar ataques similares.
Reconocer y prevenir los ataques de baiting
Veamos ahora un proceso paso a paso que puede seguir para reconocer los ataques de baiting antes de que sea demasiado tarde.
Paso 1: Reconocer los signos comunes de los ataques con baiting
Éstas son algunas de las señales de alarma más comunes presentes en los ataques de baiting:
🚩 Le ofrecen algo gratis:
- Promociones falsas: «¡Descarga gratis este software premium!»
- Regalos falsos: «Consigue una tarjeta regalo de Amazon gratis; sólo tienes que iniciar sesión para reclamar la tuya».
- Unidades USB gratuitas o gadgets abandonados en lugares públicos: «Memorias USB con la marca de la empresa. encontrados en centros de conferencias, vestíbulos o aparcamientos».
🚩 La oferta procede de una fuente desconocida o sospechosa:
- Si recibe una unidad USB, un código QR o un archivo adjunto de correo electrónico de un remitente desconocido, es una señal de alarma.
- Si un anuncio emergente afirma que ha ganado algo sin participar en un concurso, es probable que sea un ataque de baiting.
🚩 La comunicación crea urgencia:
- «¡Oferta por tiempo limitado! Sólo los 100 primeros usuarios obtendrán este servicio gratuito».
Paso 2: Evitar las trampas con baiting
✅ No utilizar nunca unidades USB desconocidas
- Si encuentra una unidad USB, no la conecte: comuníquelo a TI.
- Si un evento o una empresa entrega dispositivos gratuitos, escanéelos con un software de seguridad para puntos finales antes de utilizarlos.
✅ Ignorar las descargas «gratuitas» y los regalos online
- Evitar las descargas de software de sitios de terceros: utilizar sólo fuentes oficiales.
- Si un correo electrónico o un anuncio ofrece un servicio premium gratuito, verificarlo en el sitio oficial de la empresa.
✅ Ser escéptico con los códigos QR
- No escanee códigos QR de folletos, carteles o pegatinas desconocidos colocados en lugares públicos.
✅ Utilizar software de seguridad para bloquear los intentos de baiting
- Activar las restricciones de dispositivos USB en los ordenadores del trabajo.
- Utilizar filtros de correo electrónico para bloquear promociones fraudulentas y regalos falsos.
- Instalar un bloqueador de anuncios para evitar los ataques de malvertising.
✅ Utilizar una solución de correo electrónico privada y segura
- Utilizar una solución de correo electrónico como Mailfence, que proporciona un potente filtrado antispam. Al filtrar automáticamente los correos electrónicos antes de que lleguen a tu bandeja de entrada, evitará la mayoría de los ataques de baiting.
El baiting en la ingeniería social: Reflexiones finales
La defensa más fuerte contra el baiting y cualquier otra estratagema de ingeniería social es educarse a usted mismo y a su equipo. Cada uno de nosotros debe aspirar a tener una sólida cultura de seguridad en su entorno: oficina, casa, etc.
Además, cada individuo debe considerar la «seguridad de la empresa» como una parte esencial de sus responsabilidades individuales. Específicamente para el baiting, cada individuo debe mantener conversaciones abiertas con su familia, amigos y colegas, y advertirles de los peligros de la ingeniería social.
Hay otros consejos que puede seguir para evitar los esquemas de ingeniería social. Puede obtener más información sobre cómo proteger su ordenador aquí. Nuestro curso de concienciación sobre seguridad y privacidad del correo electrónico le proporcionará información exhaustiva sobre el tema específico para que pueda protegerse, tanto como sea posible, contra la ingeniería social.
