La ingeniería social ataca al empleado

En este artículo te hablaremos acerca de una de las formas de ciberdelincuencia más conocidas: la ingeniería social.

Nos parece interesante escribir sobre este tipo de ataque, puesto que resulta peculiarmente amenazante porque se origina en descuidos humanos en lugar de ser la consecuencia de debilidades informáticas y sistemas operativos.

Los fallos cometidos por usuarios humanos son muchos más impredecibles y, como resultado, más difíciles de reconocer y contrarrestar que los causados por software.

Por esta razón, a medida que este género de ciberataques se hace cada vez más común, comentaremos en profundidad sus técnicas y prevenciones.

Descarga ahora el ebook gratuito ”Tendencias en ciberseguridad para 2023″

¿Qué es la ingeniería social?

El término de “ingenierías social” se utiliza para identificar una gran variedad de actividades maliciosas realizadas por medio de interacciones humanas.

Estas prácticas se basan en la manipulación psicológica para lograr que los usuarios cometan errores de seguridad o entreguen datos confidenciales.

Los ataques se llevan a cabo en uno o más pasos. Primero, el ciberdelincuente se informa sobre la víctima, recolectando información como posibles entradas de vulnerabilidad y protocolos de seguridad débiles para continuar con el ataque.

Después, el hacker trata de ganarse la confianza de la víctima para persuadirla a realizar acciones que vayan en contra de los protocolos de seguridad, tales como entregar información privada o dar acceso a recursos de la organización.

Diferentes tipos de ataque de ingeniería social

Los incidentes de ingeniería social pueden presentarse de varias maneras y pueden suceder en cualquier ámbito donde exista interacción entre personas.

Las cinco maneras habituales de agresiones de ingeniería social incluyen:

BAITING

Los ataques de baiting, se sirven de una oferta ilusoria para lograr provocar curiosidad en la víctima y generar el deseo de ganancia.

Estos cebos llevan a los usuarios a un engaño que roba sus datos privados o introduce malware a sus dispositivos.

Un ejemplo de tal acción sería los cibercriminales dejando un troyano dentro de un USB en ubicaciones que las víctimas fácilmente descubren (baños, elevadores, estacionamientos de empresas).

Los empleados, víctimas del ciberataque, cogen el dispositivo por interés o curiosidad, y lo exploran en un ordenador o dispositivo de la empresa, lo que resulta en una instalación inmediata de la amenaza existente en él.

Estos esquemas no tienen que ser necesariamente ejecutados con hardware, sino que también pueden ser anuncios tentadores que llevan a sitios maliciosos o los usuarios descargan aplicaciones infectadas con malware.

SCAREWARE

La amenaza de scareware implica que el objetivo sea bombardeado con falsas notificaciones y advertencias ficticias.

Los usuarios son engañados para creer que su dispositivo ha sido infectado con malware, lo que los motiva a descargar un programa sin ninguna utilidad real, excepto para el hacker, ya que se trata de malware en sí mismo.

Una forma común de scareware son los mensajes emergentes con apariencia legítima que aparecen en la pantalla mientras se navega por internet, con un texto como: “Su dispositivo puede estar infectado con malware dañino”. Ofreciendo la instalación de la herramienta (normalmente infectada con malware) o llevarlo a un sitio web malicioso donde los dispositivos quedarán infectados.

Además, el scareware también se difunde a través de correos electrónicos no deseados que contienen falsas advertencias, o que ofrecen servicios innecesarios o nocivos para que los usuarios los compren.

PRETEXTING

En el pretexting, un invasor adquiere información a través de engaños.

El ciberataque a menudo se inicia por un pirata informático que se hace pasar por alguien que necesita datos privados de la víctima para completar una labor.

Normalmente, el ciberdelincuente empieza creando una relación de confianza con su víctima, fingiendo ser compañeros de trabajo, policías, empleados bancarios y fiscales, o cualquier otra persona con derecho a conocer la información secreta.

El hacker hace preguntas para verificar la identidad de la víctima y recopilar información relevante. Con esta estafa, se consigue todo tipo de registros e información, como números de la seguridad social, direcciones personales y teléfonos, historial telefónico, fechas de vacaciones de personal, historiales bancarios e incluso información de seguridad vinculada a una instalación física.

PHISHING

Es una de las técnicas de ingeniería social más conocidas dentro de los problemas de ciberseguridad existentes.

Este tipo de ciberamenazas, normalmente son campañas de emailing dirigidos a generar preocupación, interés o temor en los usuarios.

Tienen el objetivo de exponer información personal, hacer clic en vínculos a sitios web maliciosos o abrir archivos adjuntos que llevan algún tipo de malware.

Uno de los ejemplos más comunes, es un emailig enviado a usuarios determinados que alerta sobre un incumplimiento de la política que requiere una acción inmediata, como la modificación de la contraseña.

Asimismo, contiene un enlace a un sitio web falso, similar en apariencia al correo electrónico oficial, que pide al usuario ingresar sus credenciales actuales y una nueva clave.

Tras enviar el formulario, la información es enviada al atacante.

Este tipo de mensajes son bastantes parecidos, es importante informarse sobre ellos para detectarlos y evitar estos ciberataques.

SPEAR PHISWHING

Se trata de una variación más detallada de la estafa de phishing, puesto que el agresor elige a personas u organizaciones específicas.

Adaptan sus emails según las peculiaridades de los empleados, para conseguir una mayor veracidad.

Esta técnica requiere más esfuerzo por parte del hacker y puede tardar semanas y meses en completarse. Son mucho más difíciles de encontrar y de detectar, y tienen mejores tasas de éxito, puesto que la preparación es mayor.

Un escenario de spear phishing podría implicar a un agresor que, actuando como el experto en TI de una compañía, envía un correo electrónico a uno o más trabajadores.

Este email estaría redactado cuidadosamente, como si realmente lo hiciese la persona encargada de ello, lo cual, engaña a los destinatarios para que crean que es un correo electrónico auténtico.

Estos mensajes suelen pedir a los destinatarios que modifiquen su contraseña y les ofrece un enlace que los deriva a una web maliciosa.

Prevención de la ingeniería social

Los estrategas cibernéticos alteran las capacidades cerebrales de las personas, así como sus emociones, como la curiosidad o el miedo. Lo hacen para poder ejecutar sus ciberataques y atraer a las víctimas a sus trampas,

Por ello, es importante tener precaución cada vez que veas una advertencia por un correo electrónico o en una oferta mostrada en un portal de internet.

Aumentar la vigilancia puede ayudar a defenderse contra la mayoría de las técnicas de ingeniería social desarrolladas.

Además, los siguientes consejos mejorarán la defensa contra los ataques de estrategia cibernética:

  • No abras correos electrónicos ni archivos adjuntos de fuentes sospechosas.

En caso de que sospeches del remitente, verifica la información de otras fuentes, como llamando por teléfono o visitando su sitio web.

Recuerda que los remitentes de correo electrónico se pueden falsificar. Incluso un mensaje que supuestamente proviene de una fuente fiable puede ser generado por un ciberdelincuente.

  • Utiliza la autenticación multifactorial.

Emplea la autenticación multifactorial. Uno de los datos más preciados buscados por los agresores son las credenciales del usuario. La utilización de autenticación multifactorial asegura tu cuenta en caso de que el sistema sea vulnerado.

También es importante mantener una buena estrategia de contraseñas, por ello, un software en gestión de contraseñas puede ser de gran utilidad.

  • ¡Ojo con las ofertas tentadoras!

Si una propuesta es demasiado atractiva, reflexiona antes de asumirla como verdadera. Buscar más información puede contribuir a distinguir si se trata de un ofrecimiento legítimo o de una estafa.

  • Mantén actualizados los softwares del dispositivo.

Comprueba que las actualizaciones automáticas estén disponibles y que se realizan adecuadamente.

Revísalo regularmente para asegurarte de que se hayan implementado dichas actualizaciones correctamente, y controla tu sistema por si hubiera alguna infección.

Sin duda alguna, para realizar esta serie de tareas, aconsejamos un software RMM que permita la monitorización de los dispositivos.

Como conclusión, señalar que, como se ha visto a lo largo del artículo, uno de los focos más vulnerables dentro de una empresa son los propios empleados.

Por ello, desde ADM Cloud & Services, ofrecemos herramientas de formación que simulan ataques cibernéticos a través de emailing, formando al empleado de la manera más real posible.

Si te interesa o necesitas más información acerca de cómo combatir este tipo de prácticas fraudulentas, ¡no dudes en ponerte en contacto con nosotros!

Noticias
relacionadas

Kaspersky, nueva anexión en ciberseguridad

Kaspersky, nueva anexión en ciberseguridad Conoce las principales herramientas para la ciberseguridad con este ebook DESCARGAR AQUÍ COMUNICADO DE PRENSA ADM Cloud & Services anuncia la incorporación a su catálogo del fabricante Kaspersky, empresa dedicada a la seguridad informática con presencia en más de 195 países en todo el mundo.No cabe duda, que, como consecuencia de la…

¿Qué es el DLP? Prevención de la perdida de datos

¿Qué es el DLP? Prevención de la pérdida de datos. Conoce las principales tendencias en ciberseguridad para 2023 con este ebook. DESCARGAR AQUÍ ¿Qué es la prevención de pérdida de datos?¿Qué tipo de amenazas puede frenar la prevención de pérdida de datos?Estrategias y tecnología para prevenir la pérdida de datos¿Cómo detecta una solución DLP los datos confidenciales?¿Qué…

¿Cómo hacer un análisis de ciberseguridad a nuestro cliente?

¿Cómo hacer un análisis de ciberseguridad a nuestro cliente? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ Consejos de seguridad cibernética para empresas. La seguridad cibernética es una prioridad absoluta. ¡Aumenta la resiliencia cibernética! Protege las ''Joyas de la Corona'' Haz una copia de seguridad de tus datos. Capacita a tus…

Consola web de CurrentWare

Consola web de CurrentWare Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ CONTENIDO DEL ARTÍCULO  La consola web ofrece nuevas e interesantes funciones:Acceso remoto sin problemas a CurrentWare desde cualquier computadoraDisfrute de una nueva interfaz de usuario con navegación simplificadaEsté atento a las funciones exclusivas disponibles solo en la consola webAcceso…

Informe de consecuencias comerciales COVID-19.

Informe de consecuencias comerciales COVID-19. CONTENIDO DEL ARTÍCULO La compañía SolarWinds realizó una encuesta global a sus socios en todo el mundo, solicitando opiniones sobre cómo Covid-19 afectó a sus negocios y sobre qué planes y objetivos tenían para el año siguiente. Descargue ahora el ebook gratuito ''Herramientas para la ciberseguridad'' Se realizaron 500 encuestas completas,…

Otro centro de almacenamiento de datos incendiado, WebNX

Otro centro de almacenamiento de datos incendiado, WebNX Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ CONTENIDO DEL ARTÍCULO Incendio en un generador de WebNX Los servidores no afectados ya están online   El incendio de OVH hace un mes supuso una gran cantidad de problemas para miles de usuarios en toda Europa,…