¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Ingeniería social: Riesgos para los datos del individuo

11 Mins read

El concepto de ingeniería social con respecto a la seguridad de la información se refiere directamente al robo de datos mediante la manipulación de los usuarios finales. Así, los riesgos y amenazas de la ingeniería social suelen comenzar en un contacto casual e inocente, a través de las redes sociales o Internet y terminan en un intento de romper la seguridad digital de las empresas objetivo. Por esta razón, necesitas generar campañas de concienciación entre tus empleados para identificar y mitigar los riesgos y amenazas de la ingeniería social; y transformarlos en una línea de ataque defensiva para expulsar posibles intrusiones a tus datos sensibles. Descubramos cómo se hace.

Tipos de ingeniería social

Si bien la ingeniería social a menudo se basa en un ataque dirigido y específico, estos se incluyen en algunas técnicas comunes. Estos son los tipos de ataques de ingeniería social que todos los empleados deben conocer:

Baiting

El baiting es una de las principales técnicas de ingeniería social. Echa un vistazo a tu interminable bandeja de entrada de correos electrónicos de marketing y encontrarás una gran cantidad de cosas gratis o descuentos de “ofertas especiales”. Si bien muchos de nosotros somos escépticos sobre lo “especiales” que son estas ofertas, la mayoría de los empleados no pueden resistir la tentación de los obsequios. El problema es que nada es realmente gratis.

Esa es exactamente la razón por la que seguimos viendo el viejo truco de la ingeniería social del software libre y los empleados siguen cayendo en la trampa. El software que se descarga en realidad podría ser algo que está disponible de forma gratuita. Sin embargo, los riesgos surgen al visitar el sitio web dañino, lo que podría provocar que el usuario descargue software infectado o comprometido.

Tus empleados pueden correr un riesgo aún mayor cuando visitan sitios que ofrecen software de ’empaquetado’, lo que significa que pueden tener que descargar software adicional que ni siquiera necesitan, solo para adquirir el que desean.

Anima a tus empleados a verificar si tu empresa ya ha obtenido la licencia del software. Si no es así, visitar el sitio web del proveedor de software es una forma simple pero efectiva de asegurarse de que realmente estén ofreciendo este software y que lo esté descargando de una fuente legítima.

Quid pro quo

Similar al baiting, la técnica quid pro quo se basa en un intercambio, sin embargo, esto también implica un elemento de falsa suplantación.

Uno de los tipos más comunes de quid pro quo involucra a un criminal que se hace pasar por un empleado de servicios de TI. Llamarán spam a tantos números directos que pertenezcan a la empresa a la que desean dirigirse. El atacante ofrecerá asistencia de TI a cada víctima, una vez que la víctima esté de acuerdo, se le pedirá que desactive su programa AV. Esto es así para que el “asistente de TI” ahora tenga acceso administrativo para instalar cualquier software malicioso que elija.

Los trabajadores de oficina están más que dispuestos a regalar sus contraseñas por un bolígrafo barato o incluso una barra de chocolate. Esto demuestra la clara necesidad de una mayor conciencia de la seguridad cibernética.

Suplantación de identidad

El phishing es quizás el delito cibernético más conocido, pero de hecho tiene cada vez más éxito. El phishing es el uso del correo electrónico para que un objetivo ingrese su información privada o haga clic en un enlace que lo exponga a malware. La efectividad de esta táctica de ingeniería social se basa en que el criminal investiga a sus objetivos que desean suplantar o atacar.

Los constantes avances del phishing son una de las muchas razones por las que todavía tienen éxito y lo seguirán siendo hasta que todos entiendan cómo detectarlos. A continuación se enumeran tres ejemplos de los ataques de phishing más sofisticados:

  • Spear-phishing: este tipo de amenaza de ingeniería social se dirige a un individuo específico, como un CEO o un gerente de TI. Luego usan su información para personalizar el ataque por correo electrónico, lo que aumenta su legitimidad. La mayoría de las veces, las víctimas no piensan en ello y le dan al delincuente acceso a sus datos. Como los phishers solo se dirigen a un individuo, pueden dedicar su tiempo a investigar a la víctima, utilizando su presencia digital en su contra.
  • Whaling: A diferencia de su phishing tradicional, Whaling, es una forma de ataque mucho más dirigida, tiene un objetivo más específico. La caza de ballenas se dirige a empleados de alto nivel, como ejecutivos y directores generales, prácticamente a cualquier persona que tenga acceso a datos valiosos. Al apuntar al miembro de alto valor de una organización, es probable que el hacker obtenga acceso a toda la información de la empresa, así como la capacidad de hacerse pasar por los miembros más legítimos de la empresa.
  • Phishing de correo de voz y phishing de SMS: este es otro tipo de phishing, sin embargo, la estafa se realiza por teléfono. Un estafador llamará al objetivo por teléfono pretendiendo ser de su banco o incluso de una agencia gubernamental. Pescarán información, con el objetivo de recuperar su información personal para robar dinero o datos.

Las señales de alerta típicas de los ataques de phishing serán un correo electrónico con un enlace sospechoso, un correo electrónico en busca de información bancaria o de inicio de sesión, un correo electrónico de un “empleado” del que no tiene conocimiento.

Conocer las señales reveladoras y marcar los correos electrónicos sospechosos lo antes posible ayudará a reducir el riesgo inmediato para la empresa.

Watering hole

Este es un método de ingeniería social que involucra un sitio web legítimo o conocido. En primer lugar, el delincuente seleccionará a sus objetivos, como los empleados de la empresa que desea atacar. Luego, determinan qué sitios web visitan con frecuencia estos empleados.

El hacker infectará el “abrevadero” con malware. Este código redirigirá su objetivo elegido a un sitio web separado, donde se aloja el malware, el sitio web comprometido ahora está listo para infectar los objetivos con malware en su acceso.

Pretexting

Pretextar es quizás el “truco de confianza” más flagrante de la Ingeniería Social. Es una forma de suplantación de identidad que se basa en la falta de capacidad del usuario final para distinguir si es una fuente legítima. Esto generalmente toma la forma de suplantación de identidad por teléfono, donde un actor malintencionado puede, por ejemplo, pretender ser un cliente que requiere acceso a la información privada del usuario final.

La utilización de una identidad falsa se ha vuelto mucho más fácil para estos actores maliciosos con el advenimiento de más medios digitales de comunicación, se vuelve más difícil reconocer un perfil social legítimo, una persona que llama o una dirección de correo electrónico. Por lo tanto, siempre es importante asegurarse de saber con quién te estás comunicando antes de enviar cualquier información confidencial.

Identidades falsas

Hay una multitud de otras formas en que un estafador puede fingir ser legítimo para intentar engañar al usuario final para que revele información privada. Hay varias técnicas comunes que se utilizan, incluidas las siguientes:

  1. Solicitar un cambio de contraseña: un truco común utilizado por los piratas informáticos es un correo electrónico que le pide al empleado que restablezca o cambie su contraseña. Luego, estos datos se ingresan en un dominio falso visible para el pirata informático, lo que les da acceso a su cuenta.
  2. Soporte de TI falso: suplantando al administrador de TI, similar a lo anterior, un estafador puede solicitar acceso a su cuenta para, por ejemplo, instalar nuevo software. Asegúrese siempre de que estas solicitudes provengan de un miembro genuino de su equipo.
  3. Perfiles falsos de LinkedIn: un estafador puede hacerse pasar por miembro de su organización y solicitar un amigo como miembros legítimos de la organización. Una vez conectados, pueden comenzar a enviar mensajes a los empleados para intentar obtener información ilícita.
  4. Nombre-Drop: Otra táctica conocida de Ingeniería Social es buscar en la red de alguien (a menudo encontrada a través de las redes sociales) y solicitar información haciéndose pasar por una fuente confiable. Tan pronto como se solicite información privada, se debe marcar.
  5. Amenaza interna: incluso existe la posibilidad de que un miembro de la empresa lance un ataque de ingeniería social, utilizando su conocimiento interno para obtener acceso a datos que no debería tener.

Metodología

Independientemente del tipo de ingeniería social aplicada, la metodología es la siguiente:

Fase de aproximación

En esta primera etapa, el enfoque apunta a ganarse la confianza del objetivo. Generalmente, el atacante utiliza la ingeniería social que le permite al objetivo controlar la comunicación porque así, se vuelve más fácil detectar las debilidades primarias.

Fase de alerta

A continuación, el atacante presenta una serie de opciones para observar y medir la respuesta del objetivo bajo presión. En esta etapa, el grado de interacción del atacante cambia de pasivo a activo para enviar proposiciones sueltas aquí y allá; todo especialmente diseñado para asegurar la confianza inicialmente establecida.

Fase de distracción

Finalmente, en esta fase los atacantes han consolidado gran parte de la confianza que necesitan para obtener los datos confidenciales. El objetivo se siente cómodo y baja sus defensas. En paralelo, el atacante prácticamente domina toda la interacción. Sin embargo, el atacante avanza con cuidado hacia el objetivo para no evitar que el objetivo vuelva a activar las alarmas.

Con esto en mente, los atacantes tranquilizan a los objetivos con promesas o frases de confianza que terminan derribando sus barreras. Luego, como parte natural de la interacción, los objetivos finalmente entregan sus datos sensibles, como contraseñas para acceder a cuentas privadas o dando “voluntariamente” los números de seguridad de sus tarjetas de crédito.

Esta metodología ha demostrado ser extremadamente poderosa porque socava las defensas de las empresas e individuos objetivo que, además de perder dinero y su privacidad. También pierden la confianza en sus habilidades para protegerse de los ataques a la seguridad.

En resumen, las víctimas de cualquier forma de ingeniería social se sienten vulnerables y trastornadas, y en este mar de emociones, se culpan a sí mismos de su pérdida. Sin embargo, siempre hay una solución.

¿Por qué los ciberdelincuentes utilizan la ingeniería social?

En los últimos años, la ingeniería social se ha convertido en el método de ataque favorito de los ciberdelincuentes. Se ha demostrado que es la forma más exitosa para que un delincuente “ingrese” a una organización.

Los ciberdelincuentes están utilizando tácticas cada vez más sofisticadas para estafas de piratería informática. Un ingeniero social se enterará de todo sobre un individuo o una empresa. Esto podría ser a través de las redes sociales o encontrando los datos del objetivo en línea.

Evitar los peligros de los ingenieros sociales requiere atención, educación y conciencia constantes sobre los métodos que utilizan estos piratas informáticos. Un correo electrónico comercial comprometido podría tener un impacto dramático en tu negocio.

Riesgos de los escenarios de ingeniería social

Entonces, sabemos que la ingeniería social es una gran amenaza para las empresas. Pero, ¿qué está haciendo tu empresa que la convierte en el objetivo ideal?

Falta de conocimientos sobre seguridad

Cuando tus empleados saben poco sobre la gama de amenazas de seguridad cibernética que existen, corren un mayor riesgo. Los ciberdelincuentes pueden manipular fácilmente a los usuarios finales para que revelen información y datos confidenciales. Además de ser más propenso a las amenazas cibernéticas, existe un gran desconocimiento a la hora de prevenir los ciberataques.

Compartir demasiado en las redes sociales

La puerta se puede abrir ampliamente para los ciberdelincuentes cuando los empleados eligen navegar por Facebook, Twitter y otras plataformas sociales durante el trabajo. Las redes sociales son el ingrediente más común para un ataque de ingeniería social.

Una de las principales razones de esto es que muchos empleados desconocen los riesgos potenciales que derivan de lo que, para la mayoría de nosotros, es una actividad diaria. Agrega a eso la falta de capacitación en concientización sobre seguridad que se centre en el uso de las redes sociales, y tendrás una receta para un ataque exitoso.

Compartir demasiado en las redes sociales permite que un atacante potencial se haga pasar por ti, utilizando tu información en línea para perpetrar una de las estafas de “identidad falsa” mencionadas anteriormente. También pueden usar tu propia información en tu contra, para hacerse pasar por alguien con quien puedes tener una conexión.

Estas son las cosas principales que tus empleados deben evitar compartir en las redes sociales:

  • Ubicación
  • Puesto de trabajo
  • Dirección de correo electrónico del trabajo
  • Cartas credenciales
  • Captura de pantalla de conversaciones
  • Números de teléfono y direcciones
  • Situación financiera

Ser demasiado curioso

Nuestra curiosidad siempre nos gana. A veces puede ser a través de un correo electrónico de phishing que ofrece dinero o un simple anuncio que aparece cuando accedes a un sitio web. Un correo electrónico en el momento oportuno puede captar la atención de un empleado, quien, al intentar mostrarse ansioso, expone sin saberlo a tu empresa a una amenaza de seguridad.

El problema es que los ataques de ingeniería social pueden llevarse a cabo de muchas formas diferentes, lo que hace que sea más difícil para los empleados detectarlos, especialmente si no están educados sobre el tema.

Tácticas para ayudar a prevenir ataques de ingeniería social

Si te preocupa que tu empresa se convierta en víctima de un ataque de ingeniería social, ¡no te preocupes! Hay muchas soluciones que puedes utilizar para crear una estrategia integral que te ayude a prevenir ataques de ingeniería social.

Entrenamiento de conciencia de seguridad

La forma más sencilla y eficaz de combatir la amenaza de la ingeniería social en tu empresa es la concienciación de los empleados. Si los empleados están capacitados y son conscientes de los tipos de estafas de ingeniería social discutidos anteriormente, son mucho menos susceptibles a caer en ellos.

La capacitación en concientización sobre ciberseguridad para tu equipo reducirá drásticamente la susceptibilidad de tu empresa a la ingeniería social. Al promover una cultura de concienciación y formación, el riesgo de manipulación y las consecuencias se reducen drásticamente.

Política de seguridad cibernética

Los empleados de todos los niveles de la empresa deben contar con un conjunto de directrices claras que especifiquen cómo prevenir los ciberataques y qué hacer si se encuentran con uno. La política también debe incluir las mejores prácticas de seguridad y otras formas de esfuerzos de seguridad.

Simulaciones regulares de phishing

El phishing es el tipo de delito cibernético más común y exitoso. Ha existido durante mucho tiempo y todavía engaña a la gente todos los días. La realización periódica de simulaciones de phishing en el lugar de trabajo educa a los empleados sin el riesgo de perder datos valiosos. Te permite ver si hay tendencias y qué empleados están cayendo en los ataques de phishing.

Explora formas de mitigar el impacto de un ataque de ingeniería social y, en consecuencia, limitar el daño. Una metodología que puede resultar útil es la continuidad del negocio y la planificación de la recuperación ante desastres.

Un plan de recuperación ante desastres incluye medidas preventivas que mitigan los riesgos, como realizar copias de seguridad de los datos en la nube, medidas de detección que ayudan a descubrir amenazas potenciales y medidas correctivas que restauran rápidamente los datos si se produjera una infracción.

La planificación de la continuidad del negocio se refiere a un proceso más completo que incluye la planificación de la recuperación ante desastres, la evaluación de todos los flujos de trabajo del negocio y el establecimiento de objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO) aceptables para varias funciones.

Mientras preparas un plan sólido para defender a tu organización contra tales ataques, ten en cuenta que una solución segura de copia de seguridad y restauración es una forma comprobada de acelerar la recuperación y garantizar una continuidad empresarial sin problemas.

Avatar

About author
Licenciada en derecho por la Universidad de Oviedo, Máster de Propiedad Industrial, Propiedad Intelectual, Competencia y Nuevas Tecnologías por la Fundación PONS y la Universidad Rey Juan Carlos. Experiencia en la gestión y tramitación de Patente, Modelos de Utilidad y Diseños industriales a nivel Internacional. Abogada especializada en materia de protección de datos, realizando adaptación, seguimiento y auditorías, así como desempeñando la función de Delegado de Protección de Datos. Experta en el registro de Marcas a nivel nacional y europeo.
Articles
Related posts
Ciberseguridad

¿Qué es el flaming en Internet?

8 Mins read
Dentro de la investigación del comportamiento en Internet, existen múltiples formas de acoso en la red. Dentro de estos tipos de acoso…
CiberseguridadInternet

Todo sobre TOR o The Onion Router

9 Mins read
En el actual clima de recopilación de datos y preocupaciones de privacidad, el navegador Tor se ha convertido en tema de discusión…
Ciberseguridad

¿Qué son los stalkers de Internet?

11 Mins read
El stalker en Internet o ciberacoso es un problema creciente en todo el mundo. El acecho siempre ha sido un problema serio,…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.