Proteger la red de ordenadores de una empresa y no exponerla a amenazas, como el robo de datos a través de ingeniería social, es uno de los principales desafíos que enfrentan los gerentes de TI y los profesionales de seguridad informática actualmente.
En los ataques cibernéticos envolviendo ingeniería social, el ciberdelincuente obtiene la confianza de la víctima y lo engaña para extraer datos personales, sea por teléfono, mensaje SMS o correo electrónico.
Los Hackers, en este caso, explotan la única debilidad encontrada en todas las organizaciones: la psicología humana. Utilizan una variedad de medios, incluidas las llamadas telefónicas y las redes sociales, estos atacantes engañan a las personas induciéndolas a informar datos confidenciales.
Cada vez hay más piratas informáticos intentando obtener información sobre las víctimas y cometer actos criminales. Intentan copiar los detalles de la tarjeta de crédito, piratear ordenadores en la busca de datos a fin de obtener la mayor cantidad de información posible para llevar a cabo transacciones financieras en nombre de la víctima.
Mismo con las tecnologías más avanzadas, existe el riesgo de que un empleado sea engañado y transmita los datos de la empresa a través de la ingeniería social y, por lo tanto, pierda información importante para el mercado, como los datos de los clientes.
¿Cómo está en riesgo mi empresa?
La ingeniería social ha demostrado ser una forma muy exitosa para que un criminal ingrese a su empresa. Una vez que un ingeniero social tiene la contraseña de un empleado de confianza, simplemente puede iniciar sesión y buscar información confidencial. Con una tarjeta o código de acceso para ingresar físicamente a una instalación, el criminal puede acceder a datos, robar activos o incluso dañar a las personas.
Mientras los ataques tradicionales aprovechan las vulnerabilidades en los sistemas basados en tecnología, como los errores de software y las configuraciones incorrectas, los ataques de ingeniería social aprovechan las vulnerabilidades humanas. Utilizan el engaño para defraudar las víctimas, los cuales son indicados a tomar medidas dañinas.
La mayoría de estas estafas funcionan porque las víctimas creen que es verdad y luego entregan fácilmente información a los delincuentes. El principal objetivo del criminal, en este caso, es convencer a la víctima de que entregue voluntariamente su información en lugar de usar amenazas o intimidación forzada.
¿Cuáles son las tácticas más comunes de robo de datos a través de la ingeniería social?
Las tácticas de ingeniería social se basan esencialmente en la confianza. Todo lo que un delincuente necesita para empezar es un poco de información de conocimiento público o que la víctima pueda compartir inocentemente en su red social. Un delincuente puede necesitar nada más que una publicación de Facebook que identifica su ubicación y los miembros de su familia o una contraseña débil.
La ingeniería social ocurre cuando las personas confían demasiado o cuando no piensan en las consecuencias de ser descuidado con la información. Hay infinitas maneras para que un ladrón de identidad use la ingeniería social para robar su información personal. Las tácticas a continuación son solo una muestra de lo que pueden usar los delincuentes para robar datos a través de la ingeniería social. ¡Míralo a continuación!
Correos electrónicos falsos
Si un delincuente logra hackear o proyectar socialmente la contraseña de correo electrónico de una persona, tiene acceso a la lista de contactos de la víctima. Como la mayoría de las personas usan una misma contraseña en todas partes, probablemente también tengan acceso a los contactos de redes sociales de esa persona.
Una vez que el criminal tiene esta cuenta de correo electrónico bajo su control, envía correos electrónicos a todos los contactos de la persona, o envía mensajes en las páginas sociales de los amigos de la víctima. Una estafa muy recurrente que muchas personas caen es la estafa bancaria, en la que los piratas informáticos envían un correo electrónico con un enlace falso del banco de la víctima, engañando al usuario para que ingrese su número de cuenta y contraseña.
Otro ejemplo reciente fue un correo electrónico con una notificación de suspensión de cuenta falsa de Netflix. Estos correos electrónicos se envían a granel, pero funcionan porque hay un gran volumen de usuarios de este tipo de servicio.
Teléfono celular clonado
Hackear su correo electrónico o robar su teléfono físico no es la única forma en que alguien puede usar la ingeniería social para asegurar su identidad. Una práctica conocida como SIM Swaping ocurre cuando alguien obtiene suficiente información sobre usted de varias fuentes y luego se contacta con su proveedor de telefonía celular.
Fingiendo ser la víctima y usando una historia de teléfono roto, tienen su número de teléfono transferido a otro dispositivo. Cuando se complete la transferencia, iniciarán sesión en sus cuentas gracias a mensajes de texto que contienen los códigos necesarios para cambiar sus contraseñas para aplicaciones bancarias, de redes sociales, etc.
Aplicaciones falsas
El malware móvil obtuvo acceso a los iPhones engañando a los usuarios para que descarguen un paquete de software de administración de dispositivos móviles de código abierto
Una vez que tienen el control, los delincuentes no identificados pueden robar diversas formas de información confidencial de los dispositivos infectados, incluido el número de teléfono, el número de serie, la ubicación, los datos de contacto, las fotos de los usuarios, los mensajes SMS y WhatsApp.
Noticias falsas
Esta táctica se usa comúnmente cuando muere una celebridad. Generalmente son explorados videos de despedida o accidente. Puede aparecer un mensaje falso de phishing en Facebook invitando a los usuarios a hacer clic en un enlace y ver un video exclusivo.
Por supuesto, no hay video, y el enlace lleva a una página falsa que intenta engañar a los usuarios para que hagan clic en otros enlaces con búsquedas fraudulentas en línea. La ingeniería social también puede extenderse a solicitudes de negocios y amigos en LinkedIn y Facebook, respectivamente, con delincuentes que usan las redes sociales para ganar confianza y datos seguros. Muy a menudo, el resultado es extorsión o robo.
¿Cuáles son las precauciones contra los ataques de ingeniería social?
Primero, para evitar el robo de datos a través de la ingeniería social en su empresa, tenga cuidado y use el sentido común. Sigue algunos consejos que separamos:
- Educar a los empleados. Si las personas no están educadas sobre los tipos de ataques que se utilizan, entonces no pueden defenderse de ellos;
- Conocer la información que se transmite;
- Definir cuáles de sus activos son más valiosos para proteger;
- Elaborar una política de seguridad y realizar una buena formación de concientización;
- Mantenga su software actualizado, software antivirus. Ninguna solución antivirus puede defenderse de todas las amenazas que buscan comprometer la información de los usuarios, pero pueden ayudar a proteger contra algunas;
- Cuando se solicita información, intente comprender si la persona con la que está hablando realmente necesita la información solicitada;
- Preste atención a las preguntas que no se ajustan al contexto.
Y usted, ¿ha sufrido algún robo de datos a través de la ingeniería social? Manténgase informado sobre la seguridad de la información siguiendo nuestra página en LinkedIn o Facebook.
Suscríbete a nuestro boletín!
Reciba nuestro mejor contenido de seguridad de la información por correo electrónico.
[contact-form-7 id="3252" title="Newsletter"]
