Cuando hablamos de la seguridad de la información, aunque ningún sistema está a salvo de un ataque, las personas resultan más fáciles de engañar que las máquinas. Puesto que los atacantes buscan conseguir vulnerar la seguridad de una empresa de la manera más sencilla y con menor coste, las personas suelen ser su objetivo favorito. Este tipo de ataques se engloban dentro de la ingeniería social.
¿Cómo funciona?
La ingeniería social se sirve de técnicas de manipulación psicológica para obtener información confidencial de personas y empresas. Los ciberdelincuentes recopilan la información que compartimos en Internet, como son nuestros datos personales, la empresa para la que trabajamos o nuestras costumbres, para poder ganarse nuestra confianza y obtener lo que buscan.
Con esta información, podrán acceder a la infraestructura de una empresa y así comprometer la confidencialidad, integridad y disponibilidad de los datos de la misma. En la mayoría de los casos, su objetivo es obtener un beneficio económico.
Estos ataques son difíciles de detectar porque utilizan la suplantación de identidad de personas u organizaciones legítimas para establecer contacto con el usuario y ganarse su confianza.
Dependiendo del tipo de interacción que se requiere por parte del ciberatacante, se distinguen dos ramas:
– Hunting: Se trata de conseguir la información que se busca contactando una única vez con el usuario. La exposición por parte del ciberdelincuente es menor. Un ejemplo claro es el phishing.
– Farming: El engaño es mantenido a lo largo del tiempo para conseguir toda la información que sea posible. La comunicación con el usuario es mayor y más frecuente. Imagina que llevas un tiempo conociendo por chat a una persona y te pide hacerte socio de su nuevo negocio. ¡Huye! Es posible que esta persona esté intentando robarte información.
Entre las técnicas de ingeniería social de las que se valen los ciberdelincuentes se encuentra el llamado Phishing. Este tipo de ataque se sirve del correo electrónico y está diseñado para conseguir datos personales y financieros del usuario o infectar sus ordenadores con algún programa malicioso. Otros vectores de ataque muy comunes son los mensajes de texto, llamadas telefónicas o, incluso, las redes sociales.
Lo más preocupante es que puedes no darte cuenta de que has sido engañado, no hay una advertencia clara e inmediata. En la mayoría de ataques, el ciberdelincuente consigue los datos contactando con la persona una única vez y desaparece.
Se ha convertido en una amenaza tan real que se calcula que en 2020 los ataques de este tipo aumentaron un 34% respecto al año anterior. Y advierten que los métodos de engaño utilizados son cada vez más sofisticados.
¿Cómo podemos prevenir estos ataques?
Reconocer un intento de ataque no siempre es sencillo, pero se pueden tomar medidas para prevenirlos:
– Ejecuta un sistema de protección. Parece evidente, pero el primer paso es tener un buen sistema de protección. Y, por supuesto, recuerda mantenerlo actualizado.
– La concienciación de los empleados en materia de ciberseguridad es esencial. Si cuentan con los conocimientos necesarios sobre estos ataques y comprenden la importancia de sus datos, estarán preparados para prevenirlos y serán menos susceptibles a caer en ellos.
– En caso de duda, no des el paso. Si estás seguro de que la persona o entidad que solicita tus datos es legítima o no, no los facilites. Consulta el remitente de los correos electrónicos o mensajes que recibes y confirma con tu empresa o con la entidad la petición.
– Elabora un plan de recuperación. Incluye medidas preventivas y de detección de amenazas. Así como un plan para restaurar los datos que hayan sido robados.
En próximos artículos podrás conocer los tipos de ataques de ingeniería social más comunes que reciben las empresas y cómo evitarlos.
Nuestro equipo especializado en ciberseguridad, a través de una auditoría técnica, te ayudará a detectar posibles vulnerabilidades en tu entorno. Con nuestro servicio de monitorización de red e infraestructura conseguirás neutralizar cualquier amenaza, protegiendo tus datos y tu negocio. ¡No dudes en contactarnos!