La ingeniería social ataca al empleado

En este artículo te hablaremos acerca de una de las formas de ciberdelincuencia más conocidas: la ingeniería social.

Nos parece interesante escribir sobre este tipo de ataque, puesto que resulta peculiarmente amenazante porque se origina en descuidos humanos en lugar de ser la consecuencia de debilidades informáticas y sistemas operativos.

Los fallos cometidos por usuarios humanos son muchos más impredecibles y, como resultado, más difíciles de reconocer y contrarrestar que los causados por software.

Por esta razón, a medida que este género de ciberataques se hace cada vez más común, comentaremos en profundidad sus técnicas y prevenciones.

Descarga ahora el ebook gratuito ”Tendencias en ciberseguridad para 2023″

¿Qué es la ingeniería social?

El término de “ingenierías social” se utiliza para identificar una gran variedad de actividades maliciosas realizadas por medio de interacciones humanas.

Estas prácticas se basan en la manipulación psicológica para lograr que los usuarios cometan errores de seguridad o entreguen datos confidenciales.

Los ataques se llevan a cabo en uno o más pasos. Primero, el ciberdelincuente se informa sobre la víctima, recolectando información como posibles entradas de vulnerabilidad y protocolos de seguridad débiles para continuar con el ataque.

Después, el hacker trata de ganarse la confianza de la víctima para persuadirla a realizar acciones que vayan en contra de los protocolos de seguridad, tales como entregar información privada o dar acceso a recursos de la organización.

Diferentes tipos de ataque de ingeniería social

Los incidentes de ingeniería social pueden presentarse de varias maneras y pueden suceder en cualquier ámbito donde exista interacción entre personas.

Las cinco maneras habituales de agresiones de ingeniería social incluyen:

BAITING

Los ataques de baiting, se sirven de una oferta ilusoria para lograr provocar curiosidad en la víctima y generar el deseo de ganancia.

Estos cebos llevan a los usuarios a un engaño que roba sus datos privados o introduce malware a sus dispositivos.

Un ejemplo de tal acción sería los cibercriminales dejando un troyano dentro de un USB en ubicaciones que las víctimas fácilmente descubren (baños, elevadores, estacionamientos de empresas).

Los empleados, víctimas del ciberataque, cogen el dispositivo por interés o curiosidad, y lo exploran en un ordenador o dispositivo de la empresa, lo que resulta en una instalación inmediata de la amenaza existente en él.

Estos esquemas no tienen que ser necesariamente ejecutados con hardware, sino que también pueden ser anuncios tentadores que llevan a sitios maliciosos o los usuarios descargan aplicaciones infectadas con malware.

SCAREWARE

La amenaza de scareware implica que el objetivo sea bombardeado con falsas notificaciones y advertencias ficticias.

Los usuarios son engañados para creer que su dispositivo ha sido infectado con malware, lo que los motiva a descargar un programa sin ninguna utilidad real, excepto para el hacker, ya que se trata de malware en sí mismo.

Una forma común de scareware son los mensajes emergentes con apariencia legítima que aparecen en la pantalla mientras se navega por internet, con un texto como: “Su dispositivo puede estar infectado con malware dañino”. Ofreciendo la instalación de la herramienta (normalmente infectada con malware) o llevarlo a un sitio web malicioso donde los dispositivos quedarán infectados.

Además, el scareware también se difunde a través de correos electrónicos no deseados que contienen falsas advertencias, o que ofrecen servicios innecesarios o nocivos para que los usuarios los compren.

PRETEXTING

En el pretexting, un invasor adquiere información a través de engaños.

El ciberataque a menudo se inicia por un pirata informático que se hace pasar por alguien que necesita datos privados de la víctima para completar una labor.

Normalmente, el ciberdelincuente empieza creando una relación de confianza con su víctima, fingiendo ser compañeros de trabajo, policías, empleados bancarios y fiscales, o cualquier otra persona con derecho a conocer la información secreta.

El hacker hace preguntas para verificar la identidad de la víctima y recopilar información relevante. Con esta estafa, se consigue todo tipo de registros e información, como números de la seguridad social, direcciones personales y teléfonos, historial telefónico, fechas de vacaciones de personal, historiales bancarios e incluso información de seguridad vinculada a una instalación física.

PHISHING

Es una de las técnicas de ingeniería social más conocidas dentro de los problemas de ciberseguridad existentes.

Este tipo de ciberamenazas, normalmente son campañas de emailing dirigidos a generar preocupación, interés o temor en los usuarios.

Tienen el objetivo de exponer información personal, hacer clic en vínculos a sitios web maliciosos o abrir archivos adjuntos que llevan algún tipo de malware.

Uno de los ejemplos más comunes, es un emailig enviado a usuarios determinados que alerta sobre un incumplimiento de la política que requiere una acción inmediata, como la modificación de la contraseña.

Asimismo, contiene un enlace a un sitio web falso, similar en apariencia al correo electrónico oficial, que pide al usuario ingresar sus credenciales actuales y una nueva clave.

Tras enviar el formulario, la información es enviada al atacante.

Este tipo de mensajes son bastantes parecidos, es importante informarse sobre ellos para detectarlos y evitar estos ciberataques.

SPEAR PHISWHING

Se trata de una variación más detallada de la estafa de phishing, puesto que el agresor elige a personas u organizaciones específicas.

Adaptan sus emails según las peculiaridades de los empleados, para conseguir una mayor veracidad.

Esta técnica requiere más esfuerzo por parte del hacker y puede tardar semanas y meses en completarse. Son mucho más difíciles de encontrar y de detectar, y tienen mejores tasas de éxito, puesto que la preparación es mayor.

Un escenario de spear phishing podría implicar a un agresor que, actuando como el experto en TI de una compañía, envía un correo electrónico a uno o más trabajadores.

Este email estaría redactado cuidadosamente, como si realmente lo hiciese la persona encargada de ello, lo cual, engaña a los destinatarios para que crean que es un correo electrónico auténtico.

Estos mensajes suelen pedir a los destinatarios que modifiquen su contraseña y les ofrece un enlace que los deriva a una web maliciosa.

Prevención de la ingeniería social

Los estrategas cibernéticos alteran las capacidades cerebrales de las personas, así como sus emociones, como la curiosidad o el miedo. Lo hacen para poder ejecutar sus ciberataques y atraer a las víctimas a sus trampas,

Por ello, es importante tener precaución cada vez que veas una advertencia por un correo electrónico o en una oferta mostrada en un portal de internet.

Aumentar la vigilancia puede ayudar a defenderse contra la mayoría de las técnicas de ingeniería social desarrolladas.

Además, los siguientes consejos mejorarán la defensa contra los ataques de estrategia cibernética:

  • No abras correos electrónicos ni archivos adjuntos de fuentes sospechosas.

En caso de que sospeches del remitente, verifica la información de otras fuentes, como llamando por teléfono o visitando su sitio web.

Recuerda que los remitentes de correo electrónico se pueden falsificar. Incluso un mensaje que supuestamente proviene de una fuente fiable puede ser generado por un ciberdelincuente.

  • Utiliza la autenticación multifactorial.

Emplea la autenticación multifactorial. Uno de los datos más preciados buscados por los agresores son las credenciales del usuario. La utilización de autenticación multifactorial asegura tu cuenta en caso de que el sistema sea vulnerado.

También es importante mantener una buena estrategia de contraseñas, por ello, un software en gestión de contraseñas puede ser de gran utilidad.

  • ¡Ojo con las ofertas tentadoras!

Si una propuesta es demasiado atractiva, reflexiona antes de asumirla como verdadera. Buscar más información puede contribuir a distinguir si se trata de un ofrecimiento legítimo o de una estafa.

  • Mantén actualizados los softwares del dispositivo.

Comprueba que las actualizaciones automáticas estén disponibles y que se realizan adecuadamente.

Revísalo regularmente para asegurarte de que se hayan implementado dichas actualizaciones correctamente, y controla tu sistema por si hubiera alguna infección.

Sin duda alguna, para realizar esta serie de tareas, aconsejamos un software RMM que permita la monitorización de los dispositivos.

Como conclusión, señalar que, como se ha visto a lo largo del artículo, uno de los focos más vulnerables dentro de una empresa son los propios empleados.

Por ello, desde ADM Cloud & Services, ofrecemos herramientas de formación que simulan ataques cibernéticos a través de emailing, formando al empleado de la manera más real posible.

Si te interesa o necesitas más información acerca de cómo combatir este tipo de prácticas fraudulentas, ¡no dudes en ponerte en contacto con nosotros!

Noticias
relacionadas

Autentificación Multifactorial como defensa inquebrantable

La Autentificación Multifactorial como defensa inquebrantable

En la era digital, donde la información es un activo invaluable y las amenazas cibernéticas son omnipresentes, la seguridad de los datos se ha convertido en una prioridad primordial para las empresas de todos los tamaños y sectores. En este contexto, la autenticación multifactorial (MFA) emerge como un escudo esencial para proteger los activos digitales…

¿Qué es la seguridad por capas?

¿Por qué usar sistemas de seguridad por capas?Protección y eficacia de los sistemas contra amenazas.La solución para garantizar la seguridad de tus sistemasDetalles del funcionamiento de seguridad por capas.Beneficios de la seguridad por capasDebilidades de los sistemas de seguridad multicapa La seguridad por capas, es la solución cuando existen posibles amenazas de ciberataques, pues confiar en sistemas…

¿Por qué es necesaria la ciberseguridad en empresas?

¿Por qué es necesaria la ciberseguridad en empresas? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ A mayor negocio, mayor necesidad de soluciones de ciberseguridad.Sin seguridad informática, una mina de oro para los ciberdelincuentes.Gran aumento en el número de ciberataques. En este artículo conoceremos el atractivo que tienen las pymes para los…

¿Qué es el SEM? ¿qué es el SIM? y ¿qué es el SIEM?

¿Qué es el SEM? ¿qué es el SIM? y ¿qué es el SIEM? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ Los ciberataques son cada vez más recurrentes y poderosos y es algo a tener muy en cuenta, ya que la información siempre ha sido un elemento extremadamente valioso.Cualquiera de tus…

Firma de correo electrónico en la nube

Firma de correo electrónico en la nube Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ ¿Qué es una firma de correo electrónico? ¿Por qué es importante la firma de correo electrónico? ¿Qué incluir en la firma de correo electrónico? ¡Te presentamos a Exclaimer! ¡Las firmas de correo electrónico son una gran…

¿Qué es la encriptación del correo electrónico?

¿Qué es la encriptación de correo electrónico? Conoce las principales tendencias en ciberseguridad para 2023 con este ebook. DESCARGAR AQUÍ ¿Cómo funciona la encriptación del email?¿Qué información de correo electrónico debería ser encriptada?¿De qué tipos de ataques protege el cifrado de correo electrónico?¿Cómo haces para cifrar el correo electrónico?¿Por qué es importante el cifrado de…

¿Te has visto afectad@ por la DANA?

Si tu empresa ha sido afectada por la DANA y necesitas ayuda haz click en el siguiente botón y te ayudaremos lo antes posible. 
Más información