Ataques de ingeniería social que amenazan a los empleadosEscrito por Redacción TNI el 11/04/2023 a las 15:44:501900
Los ataques de ingeniería social utilizan la naturaleza humana en su beneficio, aprovechándose de nuestra confianza, codicia, miedo, curiosidad e incluso de nuestro deseo de ayudar a los demás. Un estudio muestra que el 75% de los encuestados cree que los ataques de ingeniería social y phishing son el mayor peligro para la ciberseguridad en su empresa. Las amenazas a la ciberseguridad están evolucionando y, aunque la incidencia de los ataques tradicionales puede disminuir, los más sofisticados prosperarán. Mantenerse alerta e informarse son las claves para estar a salvo.
Carlos Salas, director de ingeniería de NordLayer, comparte 10 técnicas de ingeniería social que los hackers pueden utilizar para atacar tanto a individuos como a organizaciones. Según Salas, "la ingeniería social es una de las formas más fáciles de acceder a datos confidenciales, especialmente cuando los empleados no han recibido formación sobre cómo reconocerla y combatirla. Dado que cada miembro de la organización es un objetivo potencial, con una formación interactiva e informativa se pueden detener estos ataques." A continuación, comparte sus conocimientos sobre cómo evitar posibles pérdidas y ejemplos de este tipo de ataques.
Los ataques de cebo utilizan una falsa promesa para despertar la codicia o la curiosidad de la víctima. Los ingenieros sociales utilizan cebos para atraer a los usuarios a una trampa que roba su información personal o infecta sus sistemas con malware. Por ejemplo, se dejan memorias USB infectadas en aparcamientos u oficinas, intentando convencer a la gente para que vean lo que contienen. No intentes nunca comprobar qué hay dentro de los dispositivos USB desatendidos, y asegúrate de informar al equipo de seguridad si los ves tirados por ahí.
Un atacante utiliza un escenario inventado (un pretexto) para provocar que un empleado revele información sensible, por ejemplo, datos de acceso a sistemas informáticos o información personal sobre otros empleados. A menudo es necesario investigar el objetivo antes del ataque para que el escenario sea verosímil y ganarse la confianza de la víctima. Si esto ocurre, lo más importante es verificar la identidad, evitar compartir datos personales e informar del incidente al equipo de IT.
En un ataque watering-hole, el atacante infecta un sitio web existente o crea un sitio web falso que imita un sitio web existente utilizado a menudo por un determinado grupo de personas, por ejemplo, los empleados de una empresa. El objetivo es infectar el ordenador de un usuario objetivo y obtener acceso, por ejemplo, a la red del lugar de trabajo del objetivo. Para protegerte, accede únicamente a sitios web que tengan HTTPS en el código URL, actualiza su software y utiliza herramientas de detección de malware.
Los ataques quid pro quo se basan en el sentido de reciprocidad de las personas. Los atacantes ofrecen servicios, asistencia u otros beneficios a cambio de información. Por ejemplo, alguien que se haga pasar por un experto en IT podría pedirte las credenciales de inicio de sesión de tu dispositivo para que, en teoría, funcione más rápido. Para evitar la pérdida de información, verifica la identidad del técnico informático, cuestiona los métodos y herramientas y utiliza software antimalware.
El scareware es una forma de software malicioso, normalmente una ventana emergente que advierte de que su software de seguridad no está actualizado o de que se ha detectado software malicioso en su equipo. Engaña a las víctimas para que visiten sitios web maliciosos o compren software antivirus inútil. Utiliza un bloqueador de anuncios y un antivirus de confianza y evita hacer clic en las ventanas emergentes.
En los casos de "tailgating" y "piggybacking", un atacante accede a una zona segura o restringida. Por ejemplo, una persona podría seguir a un empleado hasta la oficina, alegando que ha perdido su tarjeta de acceso, haciéndose pasar por un técnico de reparaciones o sosteniendo tazas de café en ambas manos y pidiéndote ayuda con la puerta.
El vishing, también conocido como "phishing de voz", es una práctica que consiste en obtener información o intentar influir en alguien a través del teléfono. Solo en 2021, TrueCaller informó de que los estadounidenses perdieron 29.800.000 dólares por estafas telefónicas. Evita responder a correos electrónicos o mensajes en redes sociales que te pidan tu número de teléfono. Recuerda que tus compañeros nunca te llamarán a casa para pedirte que transfieras fondos o cualquier otra información sensible.
El "shoulder surfing" consiste en que el delincuente observa a su víctima desprevenida mientras introduce contraseñas y otros datos confidenciales. Pero esta técnica no tiene por qué utilizarse a corta distancia, mirando literalmente por encima del hombro. El hacker puede emplearla a distancia si utiliza prismáticos o cámaras ocultas, por ejemplo. Para eliminar el riesgo de ser espiado de esta forma, asegúrate de utilizar contraseñas seguras de inicio de sesión único, biometría y autenticación de 2 factores.
Los atacantes rebuscan en la basura de su empresa en busca de documentos que contengan información sensible o confidencial. Utiliza siempre una destructora de archivos para evitar fugas de información..
Los deepfakes ("deep learning" + "fake") son medios sintéticos en los que una persona de una imagen, audio o vídeo existente se sustituye por la semejanza de otra. Es posible detectar deepfakes. Asegúrese de comprobar si aparecen sombras en la cara, fíjese si los ojos parpadean e intente detectar arrugas. Tenga cuidado con las grabaciones de llamadas telefónicas de mala calidad y preste atención a cómo se pronuncian letras como f, s, v y z: el software tiene problemas para diferenciarlas del ruido. |