Algunas de las filtraciones de datos más tristemente famosas en tiempos recientes, fueron resultado directo de la ingeniería social, un tipo de ataque en que los perpetradores se ganan la confianza de una víctima para convencerla de que les suministre información delicada o confidencial.
Los ataques de ingeniería social son muy peligrosos, porque se basan en el vector más vulnerable de toda empresa: las personas.
Los ingenieros sociales persiguen el mismo objetivo que los hackers, pero se enfocan en engañar a las personas en vez de hackear redes. Con frecuencia, la manera más sencilla que tienen estos criminales para obtener información es simplemente pedirla.
Existen tres principales métodos de ingeniería social que los cibercriminales usan para comprometer a las organizaciones. Para conocer más acerca de cómo evitarlos, deles un vistazo a nuestros materiales de concienciación acerca de la ingeniería social aquí.
1) EN LÍNEA Y POR TELÉFONO
Las estafas de phishing y smishing (mensajes falsos de SMS/texto) buscan engañar a los usuarios, tanto en internet como por teléfono, para que divulguen información confidencial o envíen dinero.
El fraude de correo electrónico es particularmente peligroso, porque estos ataques de ingeniería social son difíciles de detectar en comparación con los ciberataques convencionales. Muchos no incluyen contenido (también conocido como "Payload", literalmente: "Carga"), así que no hay un archivo adjunto o URL que las herramientas de seguridad puedan detectar, analizar y poner en cuarentena.
Además, muchos se basan en técnicas de ingeniería social como el catfishing (perfiles falsos) o el spoofing (falsificación) de dominios para frenar cualquier intento de autenticar correos electrónicos y verificar la identidad del remitente. Algunos dominios similares podrían intercambiar caracteres, como por ejemplo el numeral "0" por la letra "O", una "i" mayúscula por una "L" minúscula, o una "V" por una "U". Otros podrían insertar caracteres adicionales, como una "S" al final del nombre de dominio, que un ojo inexperto no notará con facilidad.
Existen innumerables combinaciones que los perpetradores de fraude utilizan para falsificar dominios confiables de correo electrónico. Y, a menos que su organización los haya registrado todos, las autenticaciones de correo electrónico no serán suficientes para detenerlos. Para enterarse de lo que hace falta para implementar una defensa integral, descargue aquí nuestra guía para evitar el fraude por correo electrónico.
2) INTERACIÓN HUMANA
No todos los ataques ocurren en línea. Algunos criminales prefieren otros métodos de ingeniería social como lanzar sus ataques en persona, visitando una ubicación usando una identidad falsa, como un contratista o incluso hasta un empleado.
Estos ataques de interacción humana procuran obtener acceso a archivos, la red u otras infraestructuras delicadas.
El ingeniero social podría ganarse la confianza de un empleado y obtener acceso al lugar de trabajo presentándose en un lugar de reunión de los empleados o aproximándose a un empleado afirmando que se ha dejado su identificación en el escritorio, o seguir a otro empleado para obtener acceso al edificio.
3) ATAQUES PASIVOS
Los ataques pasivos ocurren cuando los ingenieros sociales aguardan y observan. Esta técnica pasiva se conoce como "shoulder surfing" ("mirar por encima del hombro").
Pueden ver cómo introduce su PIN en un cajero automático, ver el número de su tarjeta de crédito en una cafetería o memorizar nombres de usuario, contraseñas y otra información sensible para obtener acceso posteriormente.
Un criminal puede descubrir mucha información con simples técnicas de ingeniería social como revisar los contenedores de basura en la parte trasera de su lugar de trabajo. Es posible encontrar información delicada tal como facturas, directorios telefónicos, documentos confidenciales, correos electrónicos impresos y mucho más. También pueden encontrar y usar ordenadores o dispositivos móviles que se hayan desechado para recuperar información confidencial.
SU MEJOR DEFENSA
La formación de concienciación ante la ingeniería social para los empleados es la mejor defensa contra los ataques de ingeniería social. Proofpoint ofrece recursos gratis para ayudarle tanto a usted como a su equipo a luchar contra esto. Regístrese aquí para obtenerlos.