La ingeniería social ataca al empleado

En este artículo te hablaremos acerca de una de las formas de ciberdelincuencia más conocidas: la ingeniería social.

Nos parece interesante escribir sobre este tipo de ataque, puesto que resulta peculiarmente amenazante porque se origina en descuidos humanos en lugar de ser la consecuencia de debilidades informáticas y sistemas operativos.

Los fallos cometidos por usuarios humanos son muchos más impredecibles y, como resultado, más difíciles de reconocer y contrarrestar que los causados por software.

Por esta razón, a medida que este género de ciberataques se hace cada vez más común, comentaremos en profundidad sus técnicas y prevenciones.

Descarga ahora el ebook gratuito ”Tendencias en ciberseguridad para 2023″

¿Qué es la ingeniería social?

El término de “ingenierías social” se utiliza para identificar una gran variedad de actividades maliciosas realizadas por medio de interacciones humanas.

Estas prácticas se basan en la manipulación psicológica para lograr que los usuarios cometan errores de seguridad o entreguen datos confidenciales.

Los ataques se llevan a cabo en uno o más pasos. Primero, el ciberdelincuente se informa sobre la víctima, recolectando información como posibles entradas de vulnerabilidad y protocolos de seguridad débiles para continuar con el ataque.

Después, el hacker trata de ganarse la confianza de la víctima para persuadirla a realizar acciones que vayan en contra de los protocolos de seguridad, tales como entregar información privada o dar acceso a recursos de la organización.

Diferentes tipos de ataque de ingeniería social

Los incidentes de ingeniería social pueden presentarse de varias maneras y pueden suceder en cualquier ámbito donde exista interacción entre personas.

Las cinco maneras habituales de agresiones de ingeniería social incluyen:

BAITING

Los ataques de baiting, se sirven de una oferta ilusoria para lograr provocar curiosidad en la víctima y generar el deseo de ganancia.

Estos cebos llevan a los usuarios a un engaño que roba sus datos privados o introduce malware a sus dispositivos.

Un ejemplo de tal acción sería los cibercriminales dejando un troyano dentro de un USB en ubicaciones que las víctimas fácilmente descubren (baños, elevadores, estacionamientos de empresas).

Los empleados, víctimas del ciberataque, cogen el dispositivo por interés o curiosidad, y lo exploran en un ordenador o dispositivo de la empresa, lo que resulta en una instalación inmediata de la amenaza existente en él.

Estos esquemas no tienen que ser necesariamente ejecutados con hardware, sino que también pueden ser anuncios tentadores que llevan a sitios maliciosos o los usuarios descargan aplicaciones infectadas con malware.

SCAREWARE

La amenaza de scareware implica que el objetivo sea bombardeado con falsas notificaciones y advertencias ficticias.

Los usuarios son engañados para creer que su dispositivo ha sido infectado con malware, lo que los motiva a descargar un programa sin ninguna utilidad real, excepto para el hacker, ya que se trata de malware en sí mismo.

Una forma común de scareware son los mensajes emergentes con apariencia legítima que aparecen en la pantalla mientras se navega por internet, con un texto como: “Su dispositivo puede estar infectado con malware dañino”. Ofreciendo la instalación de la herramienta (normalmente infectada con malware) o llevarlo a un sitio web malicioso donde los dispositivos quedarán infectados.

Además, el scareware también se difunde a través de correos electrónicos no deseados que contienen falsas advertencias, o que ofrecen servicios innecesarios o nocivos para que los usuarios los compren.

PRETEXTING

En el pretexting, un invasor adquiere información a través de engaños.

El ciberataque a menudo se inicia por un pirata informático que se hace pasar por alguien que necesita datos privados de la víctima para completar una labor.

Normalmente, el ciberdelincuente empieza creando una relación de confianza con su víctima, fingiendo ser compañeros de trabajo, policías, empleados bancarios y fiscales, o cualquier otra persona con derecho a conocer la información secreta.

El hacker hace preguntas para verificar la identidad de la víctima y recopilar información relevante. Con esta estafa, se consigue todo tipo de registros e información, como números de la seguridad social, direcciones personales y teléfonos, historial telefónico, fechas de vacaciones de personal, historiales bancarios e incluso información de seguridad vinculada a una instalación física.

PHISHING

Es una de las técnicas de ingeniería social más conocidas dentro de los problemas de ciberseguridad existentes.

Este tipo de ciberamenazas, normalmente son campañas de emailing dirigidos a generar preocupación, interés o temor en los usuarios.

Tienen el objetivo de exponer información personal, hacer clic en vínculos a sitios web maliciosos o abrir archivos adjuntos que llevan algún tipo de malware.

Uno de los ejemplos más comunes, es un emailig enviado a usuarios determinados que alerta sobre un incumplimiento de la política que requiere una acción inmediata, como la modificación de la contraseña.

Asimismo, contiene un enlace a un sitio web falso, similar en apariencia al correo electrónico oficial, que pide al usuario ingresar sus credenciales actuales y una nueva clave.

Tras enviar el formulario, la información es enviada al atacante.

Este tipo de mensajes son bastantes parecidos, es importante informarse sobre ellos para detectarlos y evitar estos ciberataques.

SPEAR PHISWHING

Se trata de una variación más detallada de la estafa de phishing, puesto que el agresor elige a personas u organizaciones específicas.

Adaptan sus emails según las peculiaridades de los empleados, para conseguir una mayor veracidad.

Esta técnica requiere más esfuerzo por parte del hacker y puede tardar semanas y meses en completarse. Son mucho más difíciles de encontrar y de detectar, y tienen mejores tasas de éxito, puesto que la preparación es mayor.

Un escenario de spear phishing podría implicar a un agresor que, actuando como el experto en TI de una compañía, envía un correo electrónico a uno o más trabajadores.

Este email estaría redactado cuidadosamente, como si realmente lo hiciese la persona encargada de ello, lo cual, engaña a los destinatarios para que crean que es un correo electrónico auténtico.

Estos mensajes suelen pedir a los destinatarios que modifiquen su contraseña y les ofrece un enlace que los deriva a una web maliciosa.

Prevención de la ingeniería social

Los estrategas cibernéticos alteran las capacidades cerebrales de las personas, así como sus emociones, como la curiosidad o el miedo. Lo hacen para poder ejecutar sus ciberataques y atraer a las víctimas a sus trampas,

Por ello, es importante tener precaución cada vez que veas una advertencia por un correo electrónico o en una oferta mostrada en un portal de internet.

Aumentar la vigilancia puede ayudar a defenderse contra la mayoría de las técnicas de ingeniería social desarrolladas.

Además, los siguientes consejos mejorarán la defensa contra los ataques de estrategia cibernética:

  • No abras correos electrónicos ni archivos adjuntos de fuentes sospechosas.

En caso de que sospeches del remitente, verifica la información de otras fuentes, como llamando por teléfono o visitando su sitio web.

Recuerda que los remitentes de correo electrónico se pueden falsificar. Incluso un mensaje que supuestamente proviene de una fuente fiable puede ser generado por un ciberdelincuente.

  • Utiliza la autenticación multifactorial.

Emplea la autenticación multifactorial. Uno de los datos más preciados buscados por los agresores son las credenciales del usuario. La utilización de autenticación multifactorial asegura tu cuenta en caso de que el sistema sea vulnerado.

También es importante mantener una buena estrategia de contraseñas, por ello, un software en gestión de contraseñas puede ser de gran utilidad.

  • ¡Ojo con las ofertas tentadoras!

Si una propuesta es demasiado atractiva, reflexiona antes de asumirla como verdadera. Buscar más información puede contribuir a distinguir si se trata de un ofrecimiento legítimo o de una estafa.

  • Mantén actualizados los softwares del dispositivo.

Comprueba que las actualizaciones automáticas estén disponibles y que se realizan adecuadamente.

Revísalo regularmente para asegurarte de que se hayan implementado dichas actualizaciones correctamente, y controla tu sistema por si hubiera alguna infección.

Sin duda alguna, para realizar esta serie de tareas, aconsejamos un software RMM que permita la monitorización de los dispositivos.

Como conclusión, señalar que, como se ha visto a lo largo del artículo, uno de los focos más vulnerables dentro de una empresa son los propios empleados.

Por ello, desde ADM Cloud & Services, ofrecemos herramientas de formación que simulan ataques cibernéticos a través de emailing, formando al empleado de la manera más real posible.

Si te interesa o necesitas más información acerca de cómo combatir este tipo de prácticas fraudulentas, ¡no dudes en ponerte en contacto con nosotros!

Noticias
relacionadas

Malwarebytes, nueva anexión a nuestro catálogo

Malwarebytes nueva anexión a nuestro catálogo Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ COMUNICADO DE PRENSA ADM Cloud & Services anuncia la incorporación a su catálogo de Malwarebytes, fabricante de software especializado contra los ataques de malware a nivel mundial.La nueva entrada de este fabricante al catálogo de ADM Cloud…

Cifrado simétrico: qué es y cómo funciona

La historia de la criptografía se remonta miles de años atrás. En el siglo V a. C se datan los primeros mensajes cifrados conocidos, y desde entonces, se han utilizado diferentes métodos de criptografía para enviar y recibir mensajes entre personas. En la actualidad, con el enorme desarrollo de la tecnología, se han conseguido técnicas…

Autentificación Multifactorial como defensa inquebrantable

La Autentificación Multifactorial como defensa inquebrantable

En la era digital, donde la información es un activo invaluable y las amenazas cibernéticas son omnipresentes, la seguridad de los datos se ha convertido en una prioridad primordial para las empresas de todos los tamaños y sectores. En este contexto, la autenticación multifactorial (MFA) emerge como un escudo esencial para proteger los activos digitales…

Las claves para pasar al siguiente nivel como MSP

Varios estudios estiman que los ingresos por servicios gestionados en el canal crecerán al menos un 12% en 2024, impulsados por la demanda de gestión de la ciberseguridad, infraestructura en la nube, desarrollo de aplicaciones, consultoría de soluciones de IA y requisitos de cumplimiento de los clientes. Si bien el término MSP existe desde hace…

¿Qué es el Phishing?

¿Qué es el Phishing? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ ¿Qué es el Phishing? ¿En qué consiste el Phishing? Peligros del Phishing Ejemplos de Phishing Correos de Phishing Cómo protegerse del Phishing Las comunicaciones de hoy en día están regidas por el internet: correos electrónicos, videollamadas, aplicaciones de mensajería y…

Software de webinar ¿Cuál elegir?

Software de webinar ¿Cuál elegir? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ ¿Qué es un webinar?¿Dónde hacer webinars?¿Qué es un software de webinar?4 consejos para elegir el mejor software de webinar.Las 5 mejores plataformas de webinars del mercadoEntonces, ¿cuál es la mejor plataforma para hacer webinars? Los webinars son una de…