La seguridad informática es el conjunto de medidas que previenen, corrigen, detectan el uso no autorizado de un sistema informático para proteger la confidencialidad, la integridad y la disponibilidad de la información de dicho sistema. La seguridad de la información no sólo debe entenderse como un conjunto de elementos técnicos y físicos, sino como un proceso cultural de personas y organizaciones.

En el marco de la seguridad informática, blindar sistemas informáticos no lo es todo, es importante resaltar la ingeniería social, tomando en cuenta que omite el dominio de las cuestiones técnicas y se basa en el aprovechamiento del eslabón más débil, el usuario.

La ingeniería social no es una amenaza nueva, esta una mezcla de ciencia psicología y arte ha existido desde hace mucho tiempo, sin embargo, solía ser fácilmente identificada. Los «avisos» podrían ser obvios, como la mala ortografía de los correos electrónicos de suplantación de identidad. Pero las tácticas de ingeniería social han evolucionado haciéndonos más susceptibles a sus ataques, debido a la masificación de las comunicaciones y a la poca o casi nula capacitación en cuanto a ella. Sus estrategias son más convincentes y refinadas, haciéndolos más exitosos en la manipulación de los trabajadores de una empresa y en el robo de sus datos confidenciales. En este complejo escenario resulta indispensable establecer rigurosas medidas de protección o de seguridad informática para enfrentarse a amenazas que no sólo crecen de forma exponencial, sino que además nos siguen sorprendiendo con nuevos ataques cada vez más dañinos cada vez más sofisticadas.

 

Ingeniería Social

La Ingeniería Social es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas. El Ingeniero Social intenta convencer a otras personas para obtener, entre otras cosas: información confidencial, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo). Para lograr su objetivo él se apoya en el deseo natural de las personas por colaborar, su tendencia a cumplir las órdenes de una autoridad y la confianza que algunas entidades brindan. Se sustenta en un sencillo principio: “el usuario es el eslabón más débil”. Dado que no hay un solo sistema en el mundo que no dependa de un ser humano, la Ingeniería Social es una vulnerabilidad universal e independiente de la plataforma tecnológica.

Básicamente, se conocen dos tipos de ingeniería social. La primera basa sus técnicas en la interacción humana para aprovechar debilidades y obtener a través de ella la información deseada. La segunda se basa en los dispositivos, computadoras y el uso del Internet e intenta obtener información a través de programas informáticos.

 

Formas de ataque de la ingeniería social a la seguridad informática

Por lo general, los riesgos y amenazas de la ingeniería social generalmente inician en un contacto casual, inocente, vía redes sociales o Internet; pero terminan por atentar contra la seguridad digital de las compañías. Las dos formas más usadas a nivel físico son:

Ataque por teléfono. En ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose pasar por alguien más (spoofing), como un técnico de soporte o un empleado de la misma organización, o simulando ser alguien que precisa su ayuda (pretexting). La mejor estrategia para empezar es con nombres reales y pequeñas peticiones al personal

de la organización (mucha gente está dispuesta a hacer pequeñas tareas que no sean percibidas como algo sospechoso). Una vez establecido el contacto el atacante puede pedir algo más sustancial, buscando apropiarse de información confidencial, personal o financiera, como números de identificación y las claves de cuentas bancarias. Es un modo muy efectivo, pues las expresiones del rostro no son reveladas y lo único que se requiere es un teléfono.

Ataque vía Internet. Los ataques más comunes son vía correo electrónico (obteniendo información a través de un phishing o infectando el equipo de la víctima con malware), web (haciendo llenar a la persona objetivo un formulario falso) o inclusive conversando con personas específicas en salas de chat, servicios de mensajería o foros. Aprovechando la excesiva confianza o distracción de algunos usuarios tecnológicos. Y cuando de encontrar potenciales víctimas se habla, las redes sociales son un escenario conveniente para los cibercriminales, debido a la gran cantidad de personas que las utilizan día a día en todo el mundo.

 

Áreas claves en las medidas de seguridad informática

Es importante que tanto las personas como las empresas se pregunten ¿existen defensas efectivas en contra de la ingeniería social? La respuesta es sí, pero todos los mecanismos se basan en la cultura informática y no solo en cuestiones técnicas. Es decir que, dada la prevalencia y la naturaleza avanzada de las amenazas de ingeniería social a la seguridad informática, sus medidas para contrarrestarla deberían centrarse en tres áreas claves: personas, procesos y tecnología.

  1.  Personas: La mejor manera de enfrentar el problema, es concientizar a las personas al respecto. Educarles sobre seguridad y fomentar la adopción de medidas preventivas. Proporcionar capacitación continua sobre las amenazas de ingeniería social y los procedimientos para prevenirlas o responderlas. Las empresas deben asegurarse de que haya un claro entendimiento acerca de quién es responsable de administrar las amenazas de ingeniería social. Cualquier malentendido entre las partes puede llevar a brechas de seguridad y una falta de responsabilidad si ocurre un ataque.
  2.  Procesos: las políticas que alientan a los trabajadores a no hacer clic en enlaces sospechosos o proporcionar información a organizaciones externas son obvias. Pero, en el caso de las empresas, estas deben asegurarse de contar con procedimientos para que los trabajadores le brinden detalles sobre los intentos de ataque. Esto puede ayudarles a investigar correos electrónicos sospechosos, direcciones URL y números de teléfono, y comprender mejor sus vulnerabilidades. Siempre apuntando a la simplicidad, los procesos demasiado complejos son difíciles para que los trabajadores los recuerden. En términos más técnicos, repeler las amenazas de la ingeniería social demanda el uso de ingeniería inversa. Tal como el enunciado lo explica, no es más que seguir el camino reverso para descubrir las fases de un proceso, es conveniente recalcar: En toda guerra, la mejor arma es el soldado. Como empresa arma a tus soldados con estas buenas prácticas:
  •  Pertinencia. Ninguna empresa seria solicita contraseñas, nombres de usuario, números de la Seguridad Social u otros datos similares.
  • Urgencia. Los mensajes del tipo “Perderá la información de su cuenta si no responde en un plazo de X horas “generalmente pretenden desestabilizar al usuario con el fin de que revele datos sensibles.
  • Personalización. Los proveedores de servicios de las empresas conocen su nombre y el de sus empleados, por lo tanto, un correo sin personalizar es altamente sospechoso.
  • Control. Capacite a los empleados de la empresa para que eviten ceder a impulsos y emociones. Sentimientos como la cooperación; alabanza; intimidación; persuasión; congraciamiento o similares serán a los que apelarán para obtener lo que necesitan de la empresa o de sus empleados.

3.  Tecnologías: Además de los controles de seguridad del perímetro, se deben usar herramientas de inteligencia de seguridad para comprender los riesgos potenciales que enfrente. Todas las pantallas de computadoras portátiles y dispositivos móviles deben estar equipadas con todas las medidas de seguridad física y lógica para ayudar a los trabajadores a proteger los datos de negocio, los cuales representan un activo vital para las operaciones del negocio y por ende deben ser tratados con la severidad que amerita.

En conclusión, La solución más eficaz para repeler a tiempo las amenazas de la ingeniería social sobre tus activos y data sensible; es combinando herramientas automatizadas y buenas prácticas que te ayuden a entrenar a tu personal en la detección temprana de amenazas. La moraleja es bien sencilla: no importa la tecnología de la que se dispone o cuán cara es esta, mientras intervenga el factor humano, el sistema sigue siendo vulnerable.

Protege la información de tu empresa con nuestras soluciones en seguridad informática

Contáctenos

Somos especialistas en diseño de soluciones en TI

Deja tu mensaje
Te responderemos en menos de 24h!

Consultas por Whatsapp
Enviar por WhatsApp

Suscríbete a nuestro boletín informativo de Transformación Digital

Unéte a nuestra lista de correo para recibir información sobre las nuevas tecnologías del mercado peruano que harán revolucionar tu empresa con la Transformación Digital.

Gracias por suscribirte!