La ingeniería social ataca al empleado

En este artículo te hablaremos acerca de una de las formas de ciberdelincuencia más conocidas: la ingeniería social.

Nos parece interesante escribir sobre este tipo de ataque, puesto que resulta peculiarmente amenazante porque se origina en descuidos humanos en lugar de ser la consecuencia de debilidades informáticas y sistemas operativos.

Los fallos cometidos por usuarios humanos son muchos más impredecibles y, como resultado, más difíciles de reconocer y contrarrestar que los causados por software.

Por esta razón, a medida que este género de ciberataques se hace cada vez más común, comentaremos en profundidad sus técnicas y prevenciones.

Descarga ahora el ebook gratuito ”Tendencias en ciberseguridad para 2023″

¿Qué es la ingeniería social?

El término de “ingenierías social” se utiliza para identificar una gran variedad de actividades maliciosas realizadas por medio de interacciones humanas.

Estas prácticas se basan en la manipulación psicológica para lograr que los usuarios cometan errores de seguridad o entreguen datos confidenciales.

Los ataques se llevan a cabo en uno o más pasos. Primero, el ciberdelincuente se informa sobre la víctima, recolectando información como posibles entradas de vulnerabilidad y protocolos de seguridad débiles para continuar con el ataque.

Después, el hacker trata de ganarse la confianza de la víctima para persuadirla a realizar acciones que vayan en contra de los protocolos de seguridad, tales como entregar información privada o dar acceso a recursos de la organización.

Diferentes tipos de ataque de ingeniería social

Los incidentes de ingeniería social pueden presentarse de varias maneras y pueden suceder en cualquier ámbito donde exista interacción entre personas.

Las cinco maneras habituales de agresiones de ingeniería social incluyen:

BAITING

Los ataques de baiting, se sirven de una oferta ilusoria para lograr provocar curiosidad en la víctima y generar el deseo de ganancia.

Estos cebos llevan a los usuarios a un engaño que roba sus datos privados o introduce malware a sus dispositivos.

Un ejemplo de tal acción sería los cibercriminales dejando un troyano dentro de un USB en ubicaciones que las víctimas fácilmente descubren (baños, elevadores, estacionamientos de empresas).

Los empleados, víctimas del ciberataque, cogen el dispositivo por interés o curiosidad, y lo exploran en un ordenador o dispositivo de la empresa, lo que resulta en una instalación inmediata de la amenaza existente en él.

Estos esquemas no tienen que ser necesariamente ejecutados con hardware, sino que también pueden ser anuncios tentadores que llevan a sitios maliciosos o los usuarios descargan aplicaciones infectadas con malware.

SCAREWARE

La amenaza de scareware implica que el objetivo sea bombardeado con falsas notificaciones y advertencias ficticias.

Los usuarios son engañados para creer que su dispositivo ha sido infectado con malware, lo que los motiva a descargar un programa sin ninguna utilidad real, excepto para el hacker, ya que se trata de malware en sí mismo.

Una forma común de scareware son los mensajes emergentes con apariencia legítima que aparecen en la pantalla mientras se navega por internet, con un texto como: “Su dispositivo puede estar infectado con malware dañino”. Ofreciendo la instalación de la herramienta (normalmente infectada con malware) o llevarlo a un sitio web malicioso donde los dispositivos quedarán infectados.

Además, el scareware también se difunde a través de correos electrónicos no deseados que contienen falsas advertencias, o que ofrecen servicios innecesarios o nocivos para que los usuarios los compren.

PRETEXTING

En el pretexting, un invasor adquiere información a través de engaños.

El ciberataque a menudo se inicia por un pirata informático que se hace pasar por alguien que necesita datos privados de la víctima para completar una labor.

Normalmente, el ciberdelincuente empieza creando una relación de confianza con su víctima, fingiendo ser compañeros de trabajo, policías, empleados bancarios y fiscales, o cualquier otra persona con derecho a conocer la información secreta.

El hacker hace preguntas para verificar la identidad de la víctima y recopilar información relevante. Con esta estafa, se consigue todo tipo de registros e información, como números de la seguridad social, direcciones personales y teléfonos, historial telefónico, fechas de vacaciones de personal, historiales bancarios e incluso información de seguridad vinculada a una instalación física.

PHISHING

Es una de las técnicas de ingeniería social más conocidas dentro de los problemas de ciberseguridad existentes.

Este tipo de ciberamenazas, normalmente son campañas de emailing dirigidos a generar preocupación, interés o temor en los usuarios.

Tienen el objetivo de exponer información personal, hacer clic en vínculos a sitios web maliciosos o abrir archivos adjuntos que llevan algún tipo de malware.

Uno de los ejemplos más comunes, es un emailig enviado a usuarios determinados que alerta sobre un incumplimiento de la política que requiere una acción inmediata, como la modificación de la contraseña.

Asimismo, contiene un enlace a un sitio web falso, similar en apariencia al correo electrónico oficial, que pide al usuario ingresar sus credenciales actuales y una nueva clave.

Tras enviar el formulario, la información es enviada al atacante.

Este tipo de mensajes son bastantes parecidos, es importante informarse sobre ellos para detectarlos y evitar estos ciberataques.

SPEAR PHISWHING

Se trata de una variación más detallada de la estafa de phishing, puesto que el agresor elige a personas u organizaciones específicas.

Adaptan sus emails según las peculiaridades de los empleados, para conseguir una mayor veracidad.

Esta técnica requiere más esfuerzo por parte del hacker y puede tardar semanas y meses en completarse. Son mucho más difíciles de encontrar y de detectar, y tienen mejores tasas de éxito, puesto que la preparación es mayor.

Un escenario de spear phishing podría implicar a un agresor que, actuando como el experto en TI de una compañía, envía un correo electrónico a uno o más trabajadores.

Este email estaría redactado cuidadosamente, como si realmente lo hiciese la persona encargada de ello, lo cual, engaña a los destinatarios para que crean que es un correo electrónico auténtico.

Estos mensajes suelen pedir a los destinatarios que modifiquen su contraseña y les ofrece un enlace que los deriva a una web maliciosa.

Prevención de la ingeniería social

Los estrategas cibernéticos alteran las capacidades cerebrales de las personas, así como sus emociones, como la curiosidad o el miedo. Lo hacen para poder ejecutar sus ciberataques y atraer a las víctimas a sus trampas,

Por ello, es importante tener precaución cada vez que veas una advertencia por un correo electrónico o en una oferta mostrada en un portal de internet.

Aumentar la vigilancia puede ayudar a defenderse contra la mayoría de las técnicas de ingeniería social desarrolladas.

Además, los siguientes consejos mejorarán la defensa contra los ataques de estrategia cibernética:

  • No abras correos electrónicos ni archivos adjuntos de fuentes sospechosas.

En caso de que sospeches del remitente, verifica la información de otras fuentes, como llamando por teléfono o visitando su sitio web.

Recuerda que los remitentes de correo electrónico se pueden falsificar. Incluso un mensaje que supuestamente proviene de una fuente fiable puede ser generado por un ciberdelincuente.

  • Utiliza la autenticación multifactorial.

Emplea la autenticación multifactorial. Uno de los datos más preciados buscados por los agresores son las credenciales del usuario. La utilización de autenticación multifactorial asegura tu cuenta en caso de que el sistema sea vulnerado.

También es importante mantener una buena estrategia de contraseñas, por ello, un software en gestión de contraseñas puede ser de gran utilidad.

  • ¡Ojo con las ofertas tentadoras!

Si una propuesta es demasiado atractiva, reflexiona antes de asumirla como verdadera. Buscar más información puede contribuir a distinguir si se trata de un ofrecimiento legítimo o de una estafa.

  • Mantén actualizados los softwares del dispositivo.

Comprueba que las actualizaciones automáticas estén disponibles y que se realizan adecuadamente.

Revísalo regularmente para asegurarte de que se hayan implementado dichas actualizaciones correctamente, y controla tu sistema por si hubiera alguna infección.

Sin duda alguna, para realizar esta serie de tareas, aconsejamos un software RMM que permita la monitorización de los dispositivos.

Como conclusión, señalar que, como se ha visto a lo largo del artículo, uno de los focos más vulnerables dentro de una empresa son los propios empleados.

Por ello, desde ADM Cloud & Services, ofrecemos herramientas de formación que simulan ataques cibernéticos a través de emailing, formando al empleado de la manera más real posible.

Si te interesa o necesitas más información acerca de cómo combatir este tipo de prácticas fraudulentas, ¡no dudes en ponerte en contacto con nosotros!

Noticias
relacionadas

¿Por qué ofrecer Backup de Microsoft 365?

¿Por qué ofrecer Backup de Microsoft 365? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ CONTENIDO DEL ARTÍCULO Necesidad de protección en caso de eliminación accidental de los datos Necesidad de protección contra amenazas internas Eliminar los excesos de privilegio  A medida que la tecnología avanza, esta toma un papel cada…

Importancia de la automatización de sistemas en su discurso de ventas

Importancia de la automatización de sistemas en su discurso de ventas Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ CONTENIDO DEL ARTÍCULO Informar a los clientes sobre la automatización no devaluará su oferta Por qué los servicios automatizados aún valen la pena    Cuando hablamos con los distribuidores de informática, nos…

¿Qué es el Phishing?

¿Qué es el Phishing? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ ¿Qué es el Phishing? ¿En qué consiste el Phishing? Peligros del Phishing Ejemplos de Phishing Correos de Phishing Cómo protegerse del Phishing Las comunicaciones de hoy en día están regidas por el internet: correos electrónicos, videollamadas, aplicaciones de mensajería y…

¿Cómo conseguir que mi cliente se comprometa con la ciberseguridad?

¿Cómo conseguir que mi cliente se comprometa con la ciberseguridad? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ CONTENIDO DEL ARTÍCULO El impacto más amplio de una infracción en ciberseguridad Rompiendo la negación de amenazas Por qué se necesita una estrategia de seguridad completa  La seguridad de TI está ahora firmemente…

Razones para un backup en nube

Razones para un backup en nube ¿Qué es un backup en nube?¿Qué problemas tiene un backup local?¿Cuáles son las razones para tener un backup en nube? Para una empresa o persona en particular, perder información muy valiosa, puede ser una verdadera tragedia. En este artículo, veremos las razones para tener un backup en nube, una de las múltiples soluciones…

Diferencias entre RPO y RTO

Diferencias entre RPO y RTO Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ <a> href="https://sp.depositphotos.com/stock-photos/medicine-health.html">Computer hacker or Cyber attack concept background - sp.depositphotos.com</a ¿Qué es RPO? ¿Cómo calcular un RPO? ¿Cómo calcular el RPO? ¿Qué es un RTO? ¿Cómo calcular un RTO? ¿Cuándo falla un RTO? Los 4 tipos de pérdidas más…

¿Te has visto afectad@ por la DANA?

Si tu empresa ha sido afectada por la DANA y necesitas ayuda haz click en el siguiente botón y te ayudaremos lo antes posible. 
Más información