Ingeniería Social: Tus Empleados Pueden Ser Tu Mayor Riesgo Para La Seguridad
La ingeniería social es un método de hackeo en el que los ciberdelincuentes se aprovechan de la naturaleza humana, la psicología, la curiosidad y la ignorancia para manipular a personas desprevenidas para que hagan clic en algo peligroso. Una vez que se tiende la trampa y el usuario abre un documento con código malicioso o introduce las credenciales de acceso a la cuenta bancaria de la empresa, el daño es casi imposible de detener. Un virus se propaga por la red. Se vacía una cuenta financiera. Toda la organización se paraliza debido a un ransomware. No importa cómo se manifieste la ciberamenaza, siempre es una muy-muy mala noticia. Y, en la mayoría de los casos, una que podría haberse evitado con un mayor compromiso con la formación en concienciación sobre seguridad y una cultura de ciberseguridad.
Profundizar en la Ingeniería Social
Los ciberdelincuentes emplean un arsenal de tácticas de ingeniería social, como el pretexto, el phishing, el engaño y el tailgating, para engañar a los usuarios a fin de que proporcionen información confidencial o concedan acceso no autorizado. Estos ataques a menudo aprovechan la manipulación psicológica, la explotación de la autoridad y las atracciones emocionales para engañar a objetivos desprevenidos como tus empleados.
La ingeniería social es una amenaza peligrosa y creciente para las PYMES. Los malos agentes asumen que las pequeñas empresas son objetivos más fáciles que las grandes corporaciones, presumiblemente debido a sus menores recursos informáticos o a una falta general de seguridad. Por no mencionar que una empresa puede tener todos los cortafuegos y antivirus disponibles, pero si se manipula a un empleado para que comparta su nombre de usuario y contraseña con un grupo de piratas informáticos al otro lado del mundo, la cosa cambia.
Según estadísticas recientes sobre ciberseguridad citadas por StrongDM:
- Los empleados de las pequeñas empresas sufren un 350% más de ataques de ingeniería social que los de las grandes empresas.
- Solo el 17% de las pequeñas empresas cifran sus datos.
- Mientras que el 80% de todos los incidentes de hacking en 2020 involucraron credenciales o contraseñas comprometidas, apenas el 20% de las pequeñas empresas han implementado la autenticación multifactor.
Está claro que una seguridad técnica sólida en tu empresa y en todos tus sistemas es esencial, pero educar a tus empleados en las señales de alarma de la ingeniería social y el phishing es igual de importante.
¿Qué es el Phishing?
El phishing es una de las formas más comunes de ingeniería social. Se produce cuando un pirata informático (también conocido como “bad actor”) inicia una comunicación haciéndose pasar por un banco u otra entidad de confianza. Intentan manipular al usuario para que facilite sus credenciales de inicio de sesión con el fin de obtener acceso a cuentas financieras o sistemas internos. Los intentos de phishing suelen producirse a través de correos electrónicos, mensajes de texto o llamadas telefónicas fraudulentas. Aunque los piratas informáticos tienen cada vez más talento para crear correos electrónicos de aspecto muy realista y mensajes bien elaborados (en gran parte gracias a la inteligencia artificial), sigue habiendo señales de alarma comunes, en particular un nivel de urgencia exagerado en relación con la acción solicitada por el pirata informático.
El Insidioso Arte del Pretexto y el Cebo
Los piratas informáticos utilizan pretextos para inventar historias con el fin de engañar a los empleados para que revelen información confidencial o lleven a cabo determinadas acciones. Pueden hacerse pasar por directivos de la empresa, personal de TI, RH o incluso proveedores para explotar la confianza y manipular a los empleados para que compartan información sensible o transfieran dinero a cuentas fraudulentas bajo el pretexto de un pago atrasado o una cuenta en mora.
El cebo se produce cuando los hackers intentan atraer a los usuarios con ofertas u oportunidades fabulosas. Una vez que la víctima muerde el anzuelo interactuando con el contenido malicioso, sus acciones comprometen inmediatamente la seguridad de la red y de los datos.
Cómo Luchar contra la Ingeniería Social
Es importante que todas las empresas, independientemente de su tamaño, cuenten con una estrategia de ciberseguridad integral que incluya, en particular, formación en materia de concienciación sobre seguridad para todos los miembros de la empresa.
Tanto si optas por un programa de formación de concienciación en seguridad de terceros como si simplemente quieres reforzar las mejores prácticas de ciberseguridad, las siguientes son tácticas inteligentes pero sencillas para mitigar los peligros que la naturaleza humana supone para la postura de seguridad general de tu empresa:
- Educa a los empleados sobre las tácticas de ingeniería social y las señales de alarma que deben tener en cuenta.
- Inculca la importancia del escepticismo y la verificación interna cuando se te pida algo fuera de lo normal.
- Implementa la autenticación multifactor (MFA) para reducir el riesgo de acceso no autorizado.
- Aplica una política estricta de contraseñas, que incluya cambios periódicos y requisitos de complejidad.
- Desarrolla un plan de respuesta a incidentes que establezca los pasos esenciales para la contención y recuperación en caso de ataque de ingeniería social.
- Implementa una solución de supervisión de la red o un servicio de terceros para detectar y responder a actividades sospechosas.
Mientras sigue creando una cultura de ciberseguridad en tu empresa, recuerda que el conocimiento no sólo es poder, sino también la primera línea de defensa para mantener tus sistemas, datos y toda la empresa lo más seguros posible.