La Ingeniería Social es el arte de explotar la psicología humana para obtener información. Un Ingeniero Social en lugar de buscar una vulnerabilidad en algún software, va a recurrir a engañar a las personas, tratando de conseguir toda la información que pueda, (accesos a sistemas, documentos, información de colaboradores, entre otros). La Ingeniería Social se ha manifestado en diferentes ámbitos de la vida, por lo que no es un tema nuevo o que solo sucede en el mundo digital.
Los estafadores de antaño, han migrado sus conocimientos y técnicas al mundo informático, aprovechándose del “eslabón débil” de cualquier organización, y, aun cuando estés consciente y tengas todas las alarmas respectivas de todas las técnicas que usan, si no te encuentras actualizado y asesorado en las últimas tecnologías y técnicas de seguridad, un ingeniero social muy preparado puede engañarte.
La ingeniería social ha demostrado ser una forma muy exitosa para que un delincuente "entre" en tu organización. Es común que los medios más vulnerables sean el correo electrónico, el teléfono o las redes sociales, pero todos los ataques tienen en común utilizar la naturaleza humana en su beneficio, aprovechando la autoridad, miedo, curiosidad e incluso nuestro deseo de ayudar a los demás.
Ejemplos de Ingeniería Social
Los delincuentes suelen tardar semanas o meses en conocer un lugar antes de entrar por la puerta o hacer una llamada telefónica. Su preparación puede incluir la búsqueda de una lista de teléfonos de la empresa o de su organigrama y la investigación de los empleados en distintas redes sociales.
Por teléfono: Un ingeniero social podría llamar y hacerse pasar por un compañero de trabajo o una autoridad externa de confianza (como las fuerzas del orden o un auditor).
En la oficina: "¿Puede sujetar la puerta por mí? No llevo mi llave/tarjeta de acceso". ¿Cuántas veces has escuchado esto en tu edificio? Aunque la persona que lo pide no parezca sospechosa, se trata de una táctica muy común utilizada por los ingenieros sociales.
Online: Las redes sociales han facilitado los ataques de ingeniería social. Los atacantes pueden acceder a medios digitales para encontrar a los colaboradores que trabajan en una empresa y reunir mucha información detallada que se puede utilizar para promover un ataque.
Los atacantes también personalizan los ataques de phishing para dirigirse a intereses conocidos (por ejemplo, artistas favoritos, actores, música, política, filantropía) que pueden ser aprovechados para atraer a los usuarios a hacer clic en archivos adjuntos con malware.
Acciones y actitudes de los ingenieros sociales
Una buena forma de hacerse una idea de las tácticas de ingeniería social a las que hay que prestar atención, es conociendo las que se han utilizado en el pasado.
Te ofrecen el premio Gordo: "Has ganado la lotería”, para reclamarla entréganos tus datos en esta página", ¿Les suena conocido?, así como esta, miles de estafas ofreciendo premios, celulares, ropa y dinero circulan en los correos de todo el mundo y personas que no están informadas son víctimas de ello.
Una mentira repetida mil veces se vuelve verdad: Varios estafadores son tan convincentes hablando y actuando que pueden engañar hasta a los más precavidos, pueden pasar por ti, por un colaborador o por un alto directivo o funcionario.
Actúan como si estuvieran a cargo: Como buenos ciudadanos fuimos educados para obedecer a la autoridad, esto es aprovechado por los estafadores para fingir que son parte de una autoridad y que requieren información importante.
¿Cómo evitamos ser víctimas de estos ataques?
En primer lugar, asegúrate de que dispones de un programa completo de formación en materia de seguridad que se actualiza periódicamente para hacer frente tanto a las amenazas generales de phishing como a las nuevas ciber amenazas dirigidas. Recuerda que no se trata solo de hacer clic en los enlaces.
Ofrece una sesión informativa detallada sobre las últimas técnicas de fraude en línea al personal, sí, incluya a los altos ejecutivos, pero no olvides a cualquiera que tenga autoridad para realizar transferencias u otras transacciones financieras. Recuerda que muchas de las historias reales de fraude ocurren con personal de nivel inferior que es engañado haciéndole creer que un ejecutivo le está pidiendo que lleve a cabo una acción urgente, normalmente saltándose los procedimientos y/o controles normales.
Revisa los procesos y procedimientos existentes y la separación de funciones para las transferencias financieras y otras transacciones importantes. Añade controles adicionales, si es necesario. Recuerda que la separación de funciones y otras protecciones pueden verse comprometidas en algún momento por las amenazas internas, por lo que puede ser necesario re-analizar las revisiones de riesgos dado el aumento de las amenazas.
Considera fortalecer y mejorar las políticas relacionadas con las transacciones "fuera de banda" o las solicitudes urgentes de los ejecutivos. Un correo electrónico procedente de la cuenta de Gmail del director general debería hacer saltar automáticamente la alarma entre el personal, pero éste debe comprender las últimas técnicas desplegadas por el lado oscuro. Necesitas procedimientos de emergencia autorizados que sean bien comprendidos por todos.
Revisa, perfecciona y prueba los sistemas de gestión de incidentes y de notificación de phishing. Realiza un ejercicio de simulación con la dirección y con el personal clave de forma regular. Prueba controles y haz ingeniería inversa de las posibles áreas de vulnerabilidad.
Y sobre todo…
La mejor defensa contra los ataques de ingeniería social es la educación y sensibilización de los usuarios y las capas de defensas tecnológicas para detectar y responder mejor frente a las amenazas. Recuerda que es muy importante concienciar a los colaboradores en seguridad y lograr una transformación cultural para detener a los ingenieros sociales que buscan nuestra información.
Comments