¿Qué problemas puede generar un “Ingeniero Social” en tu empresa?

Los expertos señalan el 2014 como el año en el que los ciberdelincuentes empezaron a cometer sus delitos en el sector empresarial. Los ataques a mandos medios y altos ejecutivos de organizaciones se incrementaron de manera notable.

Es cierto que todos somos potenciales víctimas de la ingeniería social, pero no lo es menos que los piratas informáticos se centran cada vez más en atacar a grandes empresas y pymes para obtener información valiosa y datos confidenciales.

El uso fraudulento de esa información puede ocasionar graves consecuencias para las empresas, lo que destaca la importancia de tomar las medidas adecuadas para evitar ser víctimas de cualquiera de los tipos de ingeniería social que se pueden dar en la actualidad.

Conoce la definición de ingeniero social y descubre cuáles son los principales riesgos para una empresa, así como las medidas que se recomienda tomar para evitar fugas de seguridad que pueden tener consecuencias económicas y legales para la compañía.

¿Qué es la ingeniería social?

La definición de ingeniería social es algo compleja. Se conoce así a la práctica encaminada a obtener información confidencial a través de la manipulación de usuarios legítimos.

Se trata de una técnica que pueden utilizar ciertas personas para obtener información, acceso o permisos en sistemas de información que les permitan realizar daños a la persona u organismo comprometidos.

Son los ciberdelincuentes quienes usan la ingeniería social para engañar a los usuarios con el objetivo de que les envíen datos confidenciales o infectar sus ordenadores a través de malware o enlaces a páginas web infectadas.

Un ingeniero social estudia cómo es el consumo digital de los usuarios para crear un perfil de la víctima, aunque también investiga su comportamiento cotidiano fuera del entorno tecnológico, como pueden ser sus compras en centros comerciales, sus salidas a restaurantes o cualquier actividad que perciba como recurrente.

La ingeniería social  es una técnica que puede utilizar ciertas personas para obtener información, acceso o permisos en sistemas de información que les permitan realizar daños a la persona u organismo comprometidos

La ingeniería social es una modalidad a través de la cual este atacante (ingeniero social) hace un seguimiento detallado de su víctima para recopilar información fuera de los sistemas de seguridad informática.

La habilidad de este delincuente reside en la psicología humana y en obtener oportunidades de atacar gracias a los datos obtenidos, sabiendo que generarán curiosidad, miedo o sentido de urgencia en su víctima.

¿Qué ataques puede recibir una empresa de un ‘Ingeniero Social’?

Cuando navegamos por internet podemos ser víctimas de ataques que ponen en riesgo nuestro sistema. En la ingeniería social, además, los ciberdelincuentes perfeccionan sus técnicas para atacar a empresas de las que pueden obtener información confidencial muy valiosa.

Las organizaciones, en las que el uso de internet es habitual y constante, se exponen a amenazas que ponen en jaque su privacidad y la de sus clientes y proveedores. Por eso, es importante conocer qué ejemplos de ingeniería social son los más frecuentes, con el objetivo de poder evitarlos y minimizar los daños.

Spam

A estas alturas, todos sabemos lo que es el spam. Para recordarlo, diremos que el spam no solamente son los mensajes molestos en la bandeja de nuestro correo electrónico sino, en muchas ocasiones, también una forma de obtener nuestros datos personales con el objetivo de perpetrar una estafa.

Muchos servidores de correo electrónico revisan de manera automática los mensajes que recibimos y los clasifican como spam para evitar el peligro. Pero hay que tener cuidado porque este sistema no es perfecto y a veces se cuelan mensajes que pueden dañar nuestro sistema o apropiarse de datos confidenciales.

Phishing

El phishing es el ejemplo más frecuente de ingeniería social en la actualidad. Es una técnica antigua, pero cada vez más perfeccionada.

El phishing es el tipo más frecuente de ingeniería social en la actualidad y cada vez está más perfeccionado

Básicamente, consiste en un e-mail que recibimos en nuestro correo electrónico con el objetivo de iniciar sesión a través de un enlace o descargar algún archivo. Al hacerlo, estaremos proporcionando nuestros datos a un ciberdelincuente.

Puede tratarse de mensajes genéricos o personalizados, y estos últimos son los más peligrosos porque pueden hacer bajar la guardia baja a la víctima. Además, suelen parecer de una fuente fiable, lo que complica todavía más detectar el engaño a tiempo. Descubre cómo evitar el phishing.

Mensajería de texto

Aunque parezca que ya pocas personas leen los SMS, siguen existiendo ciberdelincuentes que utilizan esta vía para enviar enlaces en los que la víctima pincha al creer que proceden de una organización de confianza. El resultado es el robo de datos personales.

Un ejemplo de hacker de ingeniería social es el que, en épocas de muchas compras, como la Navidad, envía mensajes haciéndose pasar por empresas de paquetería. Eso nos hace creer que la información tiene que ver con alguno de nuestros pedidos y acabamos mordiendo el anzuelo.

El smishing es una forma de phishing en forma de mensajes de texto o SMS en la que se nos pide realizar alguna acción a través de vínculos maliciosos o números a los que llamar, generalmente con gran sensación de urgencia para que actuemos rápido y no nos demos cuenta del engaño.

Llamadas falsas

Otro método de engaño para robar nuestra información confidencial es a través de llamadas de voz en las que se nos alerta de problemas con tu banco, errores en nuestros equipos informáticos que debemos subsanar, etc. Generalmente, piden que realicemos una serie de pasos que van encaminados a conseguir nuestros datos y comprometer nuestra privacidad.

Con filtros de voz, los ciberdelincuentes realizan llamadas que nos invitan a realizar acciones urgentes que pueden resultar dañinas

En este sentido, podemos hablar del vishing o phishing por voz, en los que se suplanta un número de teléfono para que parezca fiable y se hacen pasar por compañeros de trabajo, informáticos o similar, con el fin de obtener información. Con filtros de voz, consiguen enmascarar su identidad para que nos resulte difícil saber quién nos llama.

Fake news

Cada vez más ciberdelincuentes se aprovechan de fake news o scams como gancho para engañar a los usuarios que pinchan en los enlaces de noticias falsas.

Sus formas pueden ser muy variadas: desde robar datos, descargar un software o pinchar directamente en un contenido malicioso.

Estafas en redes sociales

Las redes sociales también pueden ser un importante foco de ataques de ingeniería social. Normalmente, agregan a otros usuarios para ganarse su confianza y poder llevar a cabo sus ciberdelitos. Son difíciles de detectar porque se hacen pasar por usuarios legítimos u organizaciones confiables.

Baiting

En este caso, el ataque de ingeniería social no procede de internet sino de un dispositivo como una unidad USB. Este dispositivo estará infectado con malware y se colocará de manera que genere la curiosidad del usuario para que éste lo introduzca en su ordenador.

Quienes caen en este engaño suelen encontrarse ‘por casualidad’ con este tipo de dispositivos.

Encontrar ‘por casualidad’ un dispositivo como un pendrive puede esconder un ataque de ingeniería social

Productos gratis

Un regalo es el gancho para atraer a la víctima, ya sea en forma de software gratuito, un producto o algún beneficio en la compra de un servicio. Una vez que se cae en la trampa, el ciberdelincuente consigue información confidencial para perpetrar su delito.

Tailgating

El tailgating consiste en entrar a un área restringida. Un ejemplo es una empresa a la que se accede mediante el uso de una tarjeta. El delincuente espera a su víctima para entrar a ese lugar con la excusa de haber olvidado la tarjeta. Una vez dentro, tiene acceso a mucha información relevante.

Si para cualquier persona un ataque de ingeniería social puede provocar daños irreparables, cuánto más para una empresa que almacena importantes cantidades de información confidencial.

Ya no solamente se trata, en el caso de las organizaciones, de una cuestión interna, sino de cumplimiento de la normativa, ya que las compañías están obligadas a mantener la privacidad de los datos con los que operan en base a la legislación vigente. En el caso de España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

¿Cómo evitar los ataques de la ingeniería social?

Para una empresa, ser víctima de un ataque de ingeniería social puede constituir un problema realmente grave.

Por eso, es muy importante que las compañías se protejan y tomen medidas para evitar fugas de seguridad que expongan su información sensible y sus datos confidenciales a los ciberdelincuentes. ¿Cómo hacerlo?

• Concienciar a los empleados de que deben prestar atención porque un descuido sería fatal para la compañía. Invertir en las mejores herramientas de seguridad sirve de poco si los empleados no conocen los peligros a los que se exponen.
• Integrar la tecnología adecuada a los sistemas de la empresa para bloquear elementos maliciosos. Utiliza softwares de protección, sólidos sistemas de autenticación, sistemas de inteligencia artificial, etc.
• Aplicar una estrategia de gobernanza de datos bien definida, esto es, definir claramente los límites de cada empleado en el acceso a los datos de la compañía. Debe haber diferentes niveles en función de sus responsabilidades dentro de la organización.

Si una compañía quiere saber realmente cuál es su estado actual en materia de seguridad de sus datos, es importante que realice una consultoría de ciberseguridad para conocer en qué puede estar fallando y qué riesgos corre.

Además, los empleados pueden seguir una serie de consejos para evitar ser víctimas de ingeniería social que pongan en riesgo la información de la compañía e incluso la suya personal:

• No exponer tus datos. No hacer público tu e-mail en foros abiertos, redes sociales o páginas web.
• Proteger tu equipo. Instalar herramientas de seguridad como antivirus y parches actualizados.
• Tener cuidado al iniciar sesión. Procurar no exponer información al realizar este paso y hacerlo en redes y plataformas seguras. No olvidar cerrar sesión cuando utilizamos equipos ajenos.
• Usar contraseñas fuertes. Utilizar una combinación de letras mayúsculas y minúsculas, números y otros símbolos especiales de forma aleatoria para proteger al máximo el acceso a nuestros datos.

Aplicando todas estas recomendaciones, todos podemos protegernos ante el posible ataque de un ingeniero social. Es importante no bajar la guardia.

¿Cuáles son los riesgos a los que se enfrentan los directivos frente a la ingeniería social?

Los ciberdelincuentes utilizan la ingeniería social para cometer sus delitos. Es una forma muy frecuente de piratería informática con el fin de acceder a datos empresariales confidenciales.

El teletrabajo incrementa los riesgos de ataques de ingeniería social por el uso de equipos personales para tareas profesionales

El teletrabajo, además, ha hecho que muchos empleados tengan que utilizar sus propios equipos personales para realizar su trabajo, lo que también puede ser un peligro importante para una compañía, ya que si se produce un ataque de un ingeniero social, el trabajador no solamente expone en su ordenador sus datos personales sino también la información de la empresa para la que trabaja.

En este sentido, las organizaciones son más vulnerables si cabe, por lo que cada vez más empresas han tenido que recurrir a pólizas de ciberriesgos que cubran su responsabilidad civil y los daños propios que puedan sufrir.

Como mencionamos antes, las empresas no solamente ponen en peligro su funcionamiento, sino que podrían incurrir en un delito si no protegen de manera correcta su información.

Dependiendo de la actividad a la que se dedica la compañía, las consecuencias pueden alcanzar una magnitud más o menos grave. ¿Imaginas lo que supondría ser víctima de la ingeniería social en una entidad bancaria?