Toma conciencia para evitar los ataques de ingeniería social

18 0

lectures-613720_1280
¿Has oído hablar alguna vez de la ingeniería social? ¿Sabes realmente de que se trata? En este post vamos a intentar aclarar un poco este concepto tan importante para la seguridad de la información de nuestras empresas.

Así, con este término, nos referimos al uso de técnicas de manipulación psicológica para conseguir que las personas revelemos información sensible o realicemos acciones fraudulentas o no permitidas. Ante esto, la única defensa posible es la concienciación y la sensibilización.

Es decir los ataques de ingeniería social no son muy distintos de los clásicos timos. El ciberdelincuente sigue los mismos pasos que el timador «presencial» de toda la vida: reconocimiento, establecimiento, contacto y confianza, manipulación para obtener su objetivo y marcharse sin levantar sospechas.

El primer paso va a ser intentar reunir toda la información posible sobre la empresa que le pueda ser útil para conocer a su víctima, información como listados de empleados y teléfonos, departamentos, ubicación, proveedores,… ¡No os hacéis ni idea de la de información «gratuita» que mostramos!

A continuación seleccionará una víctima (generalmente un empleado o algún colaborador de la empresa) y tratará de establecer alguna relación que le permita ganarse su confianza utilizando la información obtenida: su banco de confianza, la empresa de mantenimiento informático, una situación particular, etc.

Una vez se ha ganado su confianza, manipula a su víctima para obtener la información que necesita (credenciales, información confidencial,…) o conseguir que realice alguna acción por él (instalar un programa, enviar algunos correos, hacer algún ingreso…).

Las técnicas para conseguir la confianza y manipular a la víctima son diversas y se aprovechan:

  • del respeto a la autoridad, cuando el atacante se hace pasar por un responsable o por un policía;
  • de la voluntad de ser útil, ayudar o colaborar que se aprecia en entornos laborales y comerciales;
  • del temor a perder algo como en los mensajes que tienes que hacer un ingreso para obtener un trabajo, una recompensa, un premio, etc.;
  • de la vanidad, cuando adulan a la víctima por sus conocimientos, su posición o sus influencias;
  • apelando al ego de los individuos al decirles que ha ganado un premio o ha conseguido algo y que para obtenerlo tienen que realizar una acción que en otro caso no harían;
  • creando situaciones de urgencia y consiguiendo los objetivos por pereza, desconocimiento o ingenuidad de la víctima.

Por último, tras conseguir su objetivo, tienen que apartarse sin levantar sospechas. En ocasiones destruyen las pruebas que puedan vincularles con alguna actividad delictiva posterior que ejecuten con la información obtenida (por ejemplo: accesos no autorizados si obtiene credenciales, publicación de información,…) ¡Así podrá seguir haciendo de las suyas sin ser descubierto en el futuro!

Ante esto, y aunque algunas protecciones de seguridad ayudan, la única defensa efectiva es la concienciación y la sensibilización. De esta forma evitaremos ser víctimas de uno de estos timos.

Estos tipos de timos toman diversas formas y tienen distintos objetivos, por ejemplo:

  • Robo de identidad cuando alguien nos suplanta (con nuestro DNI, tarjeta de crédito, cuenta del banco, etc.) generalmente para obtener un beneficio económico (abriendo cuentas o enviando correos en nuestro nombre, comprando, etc.)
  • Phishing mediante la utilización de un correo o una web que suplanta la personalidad o apariencia de una entidad o persona de confianza y nos incita a dar nuestras credenciales de acceso o información sensible, por ejemplo. Cuando se utiliza una llamada de teléfono en lugar de un mensaje de texto, se denomina vishing.

La ingeniería social no es nueva, es tan vieja como la humanidad. ¿Por qué van los cibercriminales a invertir tiempo en desarrollar sofisticados ataques tecnológicos cuando pueden obtener los mismos resultados con un timo de los de toda la vida?

 

El mayor error que podemos cometer es enfocarnos sólo en la infraestructura física y tecnológica, y descuidar a las personas. Por lógica, la sensibilización de los empleados no es opcional. Su «sistema operativo» necesita ponerse al día para no caer en engaños que puedan comprometer a toda la empresa.

Existen algunos signos que nos van a permitir distinguir los timos: el tono del mensaje (adulándonos, con urgencia,…), su origen (autoridad,…), etc. Por ello debemos estar atentos a los detalles. Si concienciamos a nuestro personal, serán más hábiles para captar cualquier indicio de ataque de ingeniería social y podrán avisar al responsable a la primera sospecha, evitando daños y pérdidas.

Aunque no existe una única solución para estar a salvo de los ataques de ingeniería social, la formación (aquí tienes un kit de concienciación) puede hacer que seamos más suspicaces ante cualquier intento.

 

 

Total 0 Votes
0

Tell us how can we improve this post?

+ = Verify Human or Spambot ?

About The Author

No hay comentarios on "Toma conciencia para evitar los ataques de ingeniería social"

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *