Ingeniería social: cómo atajar el origen de la mayoría de ciberataques

Ingeniería social: cómo atajar el origen de la mayoría de ciberataques

publicado en: Ciberseguridad | 0

Tendemos a imaginarnos a los hackers como personas ocultas en salas oscuras en rincones alejados del mundo. Y pensamos en los ciberataques como grandes operaciones orquestadas con potentes ordenadores para tirar abajo complejas ciberdefensas. Nada más lejos de la realidad si atendemos a las estadísticas. La mayor parte de ciberataques tienen su origen en la ingeniería social. Son, básicamente, engaños para conseguir información confidencial.

SUSCRÍBETE

En la primera mitad de 2018, los robos de datos han batido todos los récords. Según los datos del Breach Level Index de Gemalto, más de 18 millones de registros de datos se pierden o son robados en el mundo cada día. Eso supone que casi 13.000 brechas en la ciberseguridad global tienen lugar cada minuto.

“Y el denominador común entre los cuatro patrones principales de incidentes de ciberseguridad, origen de casi el 90% de los incidentes, es el factor humano”, puntualiza Gamelah Palagonia, Senior Vice President for Network Security, Data Privacy and Technology Errors & Omissions en Willis Towers Watson.

 

Ingeniería social: phishing, vishing y smishing

Las técnicas de ingeniería social son variadas. Todas tienen en común que el hacker usa la interacción humana para obtener información que posteriormente utiliza con un objetivo fraudulento. Es decir, utiliza el engaño para acceder, por ejemplo, a un dispositivo de una red privada o a una contraseña que luego le permite infiltrarse en una organización. Las cuatro técnicas más usadas son phishing, spear-phising, vishing y smishing.

Phishing

A través de una web o un email falso, el hacker suplanta la identidad de una organización respetada. Puede ser una ONG, un banco o una institución académica, por ejemplo. Esta técnica se usa para solicitar información confidencial que después se utiliza para perpetrar el ataque.

Spear-phising

“Las tácticas y técnicas de ingeniería social son componentes de muchos de los ciberataques y el canal principal a través del cual se inician los ataques”

Esta versión del phishing se dirige a un objetivo concreto dentro de una organización. Haciéndose pasar por otro empleado o directivo de la misma empresa. Haciéndose valer de una posición de autoridad, solicitan información identificativa, contraseñas o envíos de dinero.

Vishing

Mediante esta técnica, los hackers utilizan una llamada telefónica fraudulenta siempre haciéndose pasar por una entidad respetable y con el objetivo de obtener información confidencial.

Smishing

Es cualquier tipo de ataque de phishing llevado a cabo mediante SMS o mensajes a dispositivos móviles. Puede tener que ver con la solicitud directa de información o con la incitación a descargar software malicioso.

“Aunque los ciberataques combinan una amplia variedad de tácticas, está claro que hay un denominador de riesgo muy común: las personas, los usuarios. Las tácticas y técnicas de ingeniería social son componentes de muchos de los ciberataques y el canal principal a través del cual se inician los ataques”, señala Gamelah Palagonia.

 

Formación y conocimiento, la mejor ciberdefensa

Si la mayoría de los ataques tienen su origen en la interacción entre personas, tiene sentido pensar que es allí donde debe levantarse la primera gran barrera de defensa. Una plantilla consciente de los riesgos y con conocimiento sobre los tipos más importante de ataque reduce mucho los ciber riesgos de la compañía.

“La simulación de ataques de ingeniería social puede ser una herramienta útil para evaluar de forma rápida y eficaz la susceptibilidad de los empleados a los ataques de phishing

De hecho, según el estudio The Cost of Phishing & Value of Employee Training del Ponemon Institute, las organizaciones que invierten en formación en ciberseguridad para sus empleados reducen entre el 26% y el 99% el impacto de los ataques de phishing. Partir de estos cinco consejos es una buena manera de empezar a construir una ciberdefensa sólida.

  • Sospecha de llamadas, emails o visitas no solicitadas que tengan como objetivo conseguir información privada de la compañía o de los empleados.
  • Nunca entregues información de la compañía a terceras personas, a no ser que hayas sido autorizado para ello.
  • No reveles información personal o financiera por email, aunque sea como respuesta a un mensaje que parece serio.
  • Nunca introduzcas información confidencial o privada en una web hasta que no te hayas asegurado de que es segura.
  • Instala herramientas como antivirus y firewalls. La mayoría de ellos muestran una advertencia si el usuario realiza alguna de estas prácticas de riesgo.

“La simulación de ataques de ingeniería social puede ser una herramienta útil para evaluar de forma rápida y eficaz la susceptibilidad de los empleados a los ataques de phishing. Esto permite a los equipos de seguridad saber qué usuarios representan un riesgo y, por lo tanto, tomar medidas para proporcionar capacitación adicional para reducir estos riesgos”, concluye Gamelah Palagonia.

 

New Call-to-action

 

Comparte

Dejar una opinión