¿Qué es el baiting?
Un “afortunado ganador” recibe un reproductor de audio digital. Pero resulta que esta oferta deja expuesto a cualquier ordenador al que se conecta… pues qué “afortunado”, ¿no? Este es un ejemplo clásico de lo que es la técnica de ingeniería social conocida como “baiting“.
El baiting es como un “Caballo de Troya” de verdad. Emplea medios físicos y se basa en la curiosidad o avaricia de la víctima. En muchos sentidos, es similar a los ataques de phishing. Sin embargo, lo que los distingue de otros tipos de ingeniería social es la promesa de un artículo u objeto que los hackers usan para atraer a sus víctimas. Los “baiters” (como se les llama a estos atacantes) pueden ofrecerles a los usuarios descargas gratuitas de música o películas, si les dan sus credenciales de inicio de sesión a una determinada página.
Pero estos atacantes no se limitan a emplear tácticas online. También pueden enfocarse en explotar la curiosidad humana usando medios físicos.
¿Cómo se hace el baiting?
Tomemos un ejemplo: con el objetivo final de infiltrarse en la red de una empresa. El ingeniero social distribuye dispositivos infectados de malware a los empleados. Como resultado, esperan que este hardware se inserte en los ordenadores conectados a la red. Por consiguiente, esto les brinda una oportunidad de diseminar su código malintencionado. Los empleados ven a las memorias USB infectadas como una recompensa por participar en una encuesta.
Por ejemplo, estos dispositivos aparentemente inocentes pueden estar en una cesta de regalos colocada en la recepción de la empresa, para que los empleados simplemente tomen uno cuando vayan de vuelta a sus puestos de trabajo. Otra posibilidad es la ubicación estratégica de dispositivos infectados para que los empleados los cojan. Si estos tienen letreros intrigantes, con palabras como “Confidencial” o “Información Salarial”, los dispositivos podrían resultar demasiado tentadores para algunos trabajadores. Estos empleados podrían simplemente morder el anzuelo e insertar el dispositivo infectado dentro de los ordenadores de la empresa, ¡y listo!
¿Cuál es la diferencia entre el baiting y otras técnicas de ingeniería social?
El punto clave del baiting es tentar a la víctima para que “muerda el anzuelo”, de ahí su nombre (en inglés, “baiting” significa literalmente “poner cebo”). El contenido tentador podría ser la promesa de un regalo, la posibilidad de recibir alguna recompensa. Por lo tanto, el trabajo del hacker es crear una trampa para sus víctimas.
Además de este pequeño detalle, es muy similar a otras técnicas de ingeniería social, como el phishing, el pretexting o el smishing.
¿Cómo proteger su sistema contra el Baiting?
La mejor defensa contra cualquier técnica de baiting o ingeniería social en general es la formación, tanto a nivel personal como para su equipo. Todos debemos procurar crearnos una sólida cultura de seguridad a nuestro alrededor: la oficina, el hogar, etc. Adicionalmente, todos los individuos debemos considerar la “seguridad de la empresa” como parte esencial de nuestras responsabilidades individuales. Específicamente en el caso del baiting, cada individuo debe discutir abiertamente con sus familiares, amigos y colegas, y advertirles acerca de los peligros de esos errores “inofensivos”.
También hay otros consejos de seguridad que puede seguir para evitar esos mecanismos de ingeniería social. Nuestro curso de concienciación para seguridad y la privacidad del correo electrónico le brindará información detallada acerca del tema específico para protegerse, en la medida de los posible, contra la ingeniería social.
Formarse a sí mismo y a los demás es la defensa más eficaz que existe contra las diversas encarnaciones de la “Ingeniería Social”.
Regístrese hoy mismo en Mailfence para obtener su cuenta gratuita y proteger sus datos contra la ingeniería social.