Prevención de la ingeniería social

01.07.2020

Volver

Enfocarse en el problema real

No importa cuántos miles de dólares gasten las empresas en firewalls para asegurarse que sus sistemas no puedan ser penetrados desde afuera, muchas empresas no abordan adecuadamente la cuestión más crítica. Cuando los ciberdelincuentes atacan a las organizaciones, normalmente su objetivo son las personas, porque estas pueden ser manipuladas. Entre el 70 y el 90 por ciento de las filtraciones de datos se producen como resultado de la ingeniería social. La ingeniería social es la práctica que los ciberdelincuentes utilizan para simular ser otra persona con el objetivo de obtener información o acceso a una persona, empresa o sistema informático para que las personas hagan cosas que de otro modo no harían. Si un intento de ingeniería social tiene éxito, todo el dinero que una empresa gastó en los firewalls podría ser en vano. 

¿Es el phishing un ataque de ingeniería social?

Como parte de la ingeniería social, el phishing es un conjunto de técnicas de engaño utilizado para defraudar a los empleados o usuarios cuando el delincuente se hace pasar por una persona de mayor rango que él en la empresa o por una organización de reconocida autoridad y le pide que introduzca sus credenciales de inicio de sesión o que le proporcione información confidencial de la empresa. El phishing en los correos electrónicos no son lo único que hay que tener en cuenta. Tal vez las personas de más de 35 años de edad, prefieran el correo electrónico para sus comunicaciones, pero los más jóvenes prefieren utilizar sus teléfonos. Los estafadores se han adaptado a esto y ahora las estafas utilizando el phishing también llegan a los teléfonos personales. Los empleados pueden ser engañados por un mensaje de texto o un correo electrónico afirmando que han ganado una tarjeta de regalo de iTunes o por una suplantación de identidad del área de facturación de Microsoft afirmando que experimentarán una interrupción en el servicio si no actualizan sus datos, incluyendo la contraseña. 

Otras estafas de ingeniería social

Otro paso adelante del phishing ordinario es el spear phishing. ¿Es el spear phishing un ataque de ingeniería social? ¡Lo has adivinado!. Este tipo de ataque apunta a un individuo en particular. En este caso, el atacante sabe quién es la persona y se hace pasar por alguien en particular que esa persona conoce. Comúnmente puede pedirle su información bancaria o su nombre de usuario y contraseña. Es así como les han robado sus fotos personales a varias celebridades, tal es el caso de Jennifer Lawrence. Estafas similares incluyen un otro tipo de la ingeniería social, el Pretexting es otra forma de ingeniería social donde los atacantes se centran en crear una buena excusa, o un escenario inventado, que usan para tratar de robar la información personal de sus víctimas. También pueden pretender pasar por una entidad reconocida como la FAFSA (organismo estadounidense que otorga becas) escribiéndole a un estudiante para que confirme algunos datos relacionados con su proceso de solicitud de ayuda financiera. Otro tipo de la ingeniería social es tailgating. En el caso de los tailgating, una persona puede seguir a un empleado hasta las instalaciones de una empresa, haciéndose pasar por un repartidor y pidiéndole que sostenga la puerta de una habitación que solo está autorizada para personal de alto nivel. Si logra entrar en el área sensible, podrá descargar información confidencial en un pendrive.

Cómo prevenir el phishing y la ingeniería social

Al igual que otros riesgos que las empresas tienen que enfrentar, una de las primeras decisiones que una empresa debe considerar es contratar una cobertura de seguros que contemple a la ingeniería social. Debido a que estas estafas se hacen con el consentimiento de los empleados, las empresas necesitan que su seguro cuente con una cláusula especifica que respalde su política de fidelidad y que cubra los daños producidos por un ciberataque, lo cual puede estar sujeto a un límite limitado. La mejor forma de asegurarse que los empleados puedan detectar un correo electrónico de phishing es entrenarlos para que no hagan clic en enlaces maliciosos, especialmente en los que no conducen a algo relacionado con la empresa. Muchos filtros de spam impiden que estos lleguen a la bandeja de entrada. Mientras más se mantenga una empresa al día sobre las últimas tendencias de estafa, más fácil será la detección de phishing.