Es un concepto erróneo generalizado pensar que los ciberataques siempre involucran a piratas informáticos que utilizan tecnología sofisticada para romper las precauciones de seguridad de una empresa. En realidad, una de las formas más comunes en que los piratas informáticos obtienen acceso a sistemas seguros es a través de un error humano.
Con la ingeniería social, los piratas informáticos engañan a sus empleados para que revelen sus datos de inicio de sesión u otra información confidencial, a menudo a través de páginas de inicio de sesión falsas. Los expertos creen que la ingeniería social es responsable de aproximadamente el 98% de todos los ataques cibernéticos en la actualidad.
Los tipos más comunes de ingeniería social y cómo puedes evitar que causen daños
Correo no deseado
Sí, los correos electrónicos no deseados son una forma de ingeniería social, especialmente cuando los correos electrónicos están destinados a engañar al destinatario para que realice una acción, ya sea visitar un sitio web, descargar un archivo o realizar una compra. Estos mensajes se envían con el objetivo de engañar a los empleados de la empresa.
Los correos electrónicos no deseados a menudo contienen enlaces a sitios web que son dañinos para la computadora del usuario, aunque los enlaces parezcan completamente inofensivos. Además, los correos electrónicos no deseados a veces contienen malware en forma de archivos adjuntos. Estos archivos adjuntos a menudo parecen documentos legítimos, como: un recibo o una factura. En realidad, el archivo adjunto se utiliza para enviar malware al dispositivo o la red del usuario.
Phishing
El phishing es un engaño para obtener credenciales. El phishing puede depender de sitios web, correos electrónicos y otros medios falsos, o una combinación de todo lo anterior. Las herramientas de phishing están diseñadas para engañar a los usuarios haciéndoles creer que necesitan proporcionar su información de inicio de sesión, incluidas las contraseñas.
Sin embargo, la verdad es que esta información se ingresa en un sitio web falso, lo que permite a los piratas informáticos interceptar las credenciales y utilizar las credenciales de esa persona para acceder a datos valiosos de la empresa, dañar a la empresa o sentar las bases para un ciberataque mayor en el futuro.
Los correos electrónicos de phishing a menudo se disfrazan como mensajes del banco de un usuario u otros servicios confiables como Google o Microsoft.
Es más probable que los ataques de phishing dirigidos oculten sistemas específicos utilizados por una organización.
Vishing
Vishing es una forma de phishing que utiliza llamadas telefónicas y mensajes de voz para engañar a las víctimas. Este método intenta convencer al objetivo de que debes divulgar información confidencial por teléfono o dirige a los usuarios a un sitio web creado con el único propósito de engañar al objetivo. En algunos escenarios, los piratas informáticos han engañado a las víctimas de las grandes corporaciones haciéndose pasar por personal de TI.
Suplantación de identidad (spear phishing)
El spear phishing es similar al phishing tradicional, excepto que es más dirigido, como un pescador apuntando con una lanza en lugar de usar un cebo en una línea para atrapar cualquier pez que simplemente pase nadando.
Los piratas informáticos se dirigen a objetivos específicos robando información del sitio web, el directorio, la cuenta de LinkedIn u otra red social corporativa de la empresa.
Este enfoque dirigido permite al pirata informático personalizar la acción fraudulenta, lo que aumenta significativamente las posibilidades de éxito.
Quid pro quo
Similar al spear phishing, este método de ingeniería social atrae con un servicio gratuito, como, por ejemplo, un control de seguridad de la red corporativa. Sin embargo, el servicio gratuito solo se ofrece si la parte malintencionada tiene algo valioso, como los datos de inicio de sesión están disponibles. Este arreglo aparentemente beneficioso para ambas partes es en realidad una estafa, ya que proporciona al pirata informático credenciales valiosas de la empresa u otra información vital que pueden utilizar con fines nefastos.
Cebo
El cebo es otra forma de ingeniería social que implica cebar al objetivo con un artículo o servicio gratuito. En el cebo, se ofrece algo gratis, ya sea en forma de descarga digital o un elemento físico, después de que el objetivo realiza una acción. Algo aparentemente tan inocente como llenar un formulario puede ser un ejemplo de cebo.
Incluso registrarse en un servicio puede ser una forma encubierta de cebo. Por ejemplo, un usuario puede verse tentado por un obsequio al suscribir su correo electrónico a través de un servicio de terceros. Desafortunadamente, el obsequio gratuito a menudo está cargado de malware y / o se interceptan las credenciales del usuario, lo que crea las condiciones para el robo de datos o más ciberataques.
Considera el daño de un ataque de ingeniería social exitoso
Las estafas de phishing y otros ataques de ingeniería social pueden causar un daño significativo a empresas de todas las formas y tamaños. Como ejemplo, tomemos un ataque de ingeniería social en el que se obtuvieron con éxito las credenciales de inicio de sesión de un empleado. El uso no autorizado de la información de inicio de sesión y la contraseña del empleado puede provocar una violación de seguridad significativa.
Si hay piratas informáticos en el sistema de la empresa, están autorizados a hacer cualquier cosa que pueda hacer el empleado. Por ejemplo, un pirata informático con acceso a la red podría eliminar archivos, modificar archivos, copiar archivos para venderlos a otros en el mercado negro, exportar datos y causar otros daños. También es posible que el pirata informático pueda acceder a las cuentas bancarias de la empresa y transferir dinero a sus propias cuentas.
En el caso del ransomware, el pirata informático retiene la red, las computadoras o los datos como rehenes y requiere que la empresa objetivo pague un rescate sustancial para recuperar el control. Este rescate generalmente se paga en Bitcoin, que las autoridades y otros expertos en seguridad a menudo no pueden comprender. Las computadoras, la red y / o los datos estarán bloqueados hasta que se pague el rescate en su totalidad (aunque incluso pagar el rescate no es una garantía de que recuperarás tus archivos).
Qué puedes hacer para prevenir ataques de ingeniería social
La gestión proactiva del riesgo de la ingeniería social puede reducir significativamente la probabilidad de un ataque exitoso.
Brinda capacitación continua a tus empleados para asegurarte de que reconozcan las amenazas de ingeniería social y eviten el engaño. Más específicamente, capacita a tus equipos en prácticas seguras de correo electrónico y web para que sepan cómo evitar ser engañados.
Vuelve a capacitar a los empleados y recuérdales constantemente los ataques de ingeniería social
Recuerda, al igual que con todas las formas de capacitación, el conocimiento de los empleados sobre los métodos de ingeniería social disminuirá con el tiempo, y estos métodos continuarán evolucionando en el futuro. Depende de los empleadores y del personal de TI recordar a los usuarios los peligros de estos ataques y estar atentos a las señales habituales.
Por ejemplo, los correos electrónicos sobre supuestos reembolsos, fondos no reclamados y efectivo gratis son una señal de alerta para los intentos de ingeniería social.
Las facturas, los extractos bancarios y las facturas de aspecto extraño también son motivo de preocupación.
Cualquier solicitud para confirmar la información personal de un empleado debe verse como un intento encubierto de ingeniería social. Asegúrate de que tu equipo informe cualquier advertencia y señal de intentos de inicio de sesión de cuenta sospechosos u otras señales de alerta.
Los empleados deben adquirir el hábito de analizar cuidadosamente los correos electrónicos, especialmente si los envían personas desconocidas. La evaluación de los correos electrónicos debe centrarse en si los envía una parte de confianza. Si el mensaje provenía de una cuenta externa con la que la empresa o el usuario normalmente no se comunicarían, debe marcarse para que TI lo revise. Además, los mensajes de correo electrónico que carecen de información personal, como el nombre y / o el cargo del empleado, deben verse con sospecha.
Invierte en ciberseguridad y protege tu empresa de los tipos habituales de ingeniería social
Las soluciones de seguridad cibernética pueden bloquear de forma proactiva un gran número de amenazas basadas en la web y el correo electrónico para que no lleguen a los usuarios en primer lugar. Esta es la primera línea de defensa esencial que tu empresa necesita para evitar que las amenazas ingresen a tu red y causen problemas potencialmente costosos.
Pero incluso los filtros de correo electrónico y los cortafuegos más potentes permiten que algunos métodos de ingeniería social se escapen de vez en cuando. Esta es exactamente la razón por la que la formación de los empleados es tan importante.
Haz una copia de seguridad de tus datos
La copia de seguridad de los datos es la protección más importante contra los ataques cibernéticos y la ingeniería social. Cuando implementa de forma proactiva una protección de datos sólida, puedes estar seguro de que los datos dañados o comprometidos se pueden recuperar rápidamente. La conclusión es que no importa cuánto gastes en capacitación en seguridad digital y soluciones de ciberseguridad, los errores de los empleados seguirán ocurriendo. Cuando un ataque de ingeniería social conduce a una infección masiva de ransomware u otro desastre, necesitas un sistema de protección de datos confiable que actúe a prueba de fallas.
