A simple vista puede parecer que todos los ataques están dirigidos, pero esto no siempre es así. Con frecuencia, los atacantes lanzan una campaña sin importar quien la reciba, utilizando bases de datos con múltiples cuentas de correos, nombres, teléfonos, etc.
En un ataque dirigido, el ciberdelincuente selecciona una víctima y un objetivo específicos, y desarrolla una planificación más o menos elaborada para investigar e impactar a esa víctima en concreto.
Actualmente, los ataques conllevan una labor previa de investigación de la víctima que los ciberdelincuentes se toman muy en serio, ya que les comporta mayores probabilidades de éxito. Una de las principales formas de obtener información de las víctimas es empleando técnicas de ingeniería social como estas:
- Pretexting: Técnica en la que los atacantes se hacen pasar por otras personas para obtener datos personales de la víctima. Estos ataques son difíciles de investigar y pueden suceder tanto dentro como fuera de internet. Un ejemplo de ataque de pretexting podría ser situarse (físicamente) en la puerta de una empresa, simulando pertenecer a una ONG, y de esa forma recabar información de la gente que entre en la empresa.
- Dumpster diving Consiste en buscar en la basura de la víctima para encontrar documentos que contengan información sensible útil para el atacante. Un ejemplo lo podríamos encontrar en una carta del banco que ha sido tirada a la basura, y que contiene información como el nombre y apellido o la cuenta bancaria de la víctima.
- Shoulder surfing Consiste en observar lo que escribe un usuario en su teléfono o en su portátil, o lo que muestran sus pantallas.
- Estudio del entorno: Consiste en localizar todas las entradas, salidas, los guardias, cámaras de vigilancia y posibles vulnerabilidades (contraseñas apuntadas en papel, sistemas de vigilancia averiados, etc.) que puedan favorecer al éxito de un ataque. Este estudio es muy útil si se va a realizar una incursión física.
Dos disciplinas que también son muy útiles para obtener información de cara a un ataque dirigido son las técnicas de OSINT y HUMINT. La primera consiste en extraer información del sujeto utilizando fuentes abiertas, como internet, redes sociales o documentos públicos. Por otro lado, el HUMINT está más vinculado con las relaciones personales: el atacante trata de establecer una relación con la víctima para poder sacarle información.
Con la información recopilada mediante estas técnicas, los ataques de phishing y smishing o las incursiones físicas resultan más efectivos, puesto que se conoce mucho más a la víctima y por tanto será más fácil engañarla.
Este podría ser un ejemplo de ataque dirigido: el objetivo es un hombre que trabaja en el sector de la ciberseguridad. Mediante una búsqueda en redes sociales, como puede ser LinkedIn, podríamos averiguar cuál es la sede de la empresa en la que trabaja y su dirección. En los contenedores de basura cercanos a la empresa encontramos documentos donde aparecen múltiples correos que siguen el formato: nombre.apellido@empresa.com, de esta forma podemos extraer el patrón para enviar un correo a nuestra víctima.
Gracias a su Instagram, sabemos que está muy concienciado con los animales, por lo que preparamos un correo electrónico en el que le invitamos a firmar una propuesta para abrir un refugio de animales. Al clicar en el enlace para firmar la propuesta, se descarga un programa malicioso que le roba la información de su ordenador y nos la envía. Como atacantes, ya disponemos de la información y podríamos usarla para distintos propósitos: venderla, acceder al sistema o perpetrar otros ataques.
Además de los ataques relacionados con la ingeniería social, los ataques dirigidos también suelen tratar de impactar a la infraestructura tecnológica de una compañía específica, ya sea mediante la explotación de vulnerabilidades, el envío de correos de phishing o mediante el compromiso de credenciales.
