Lo que toda empresa debe saber sobre la ingeniería social, el phishing y las contraseñas
Hay varios tipos de ciberataques, y muchos de ellos son muy sofisticados, en general, por la tecnología que se usa. Pero con mayor frecuencia, el tipo de ataque que afecta en mayor medida a sus víctimas, emocional y psicológicamente, es el que la tecnología no controla necesariamente, y suele aparentar ser bastante benevolente. Estos son los ataques impulsados por la ingeniería social.
La ingeniería social puede ser devastadora no solo en términos de daño a las finanzas y a la reputación de una marca, sino también en términos de la sensación de manipulación que experimenta la organización y la duda que surge en cuanto a su capacidad para detectar y prevenir dichos intentos de ataque.
Entonces, ¿qué es la ingeniería social y por qué puede ser tan preocupante? Echemos un vistazo.
Una breve introducción a la ingeniería social
“Ingeniería social” es una frase que se usa para una amplia variedad de actividades de ciberdelincuencia que se hacen principalmente a través de interacciones humanas, en vez de mediante la tecnología únicamente.
También se la conoce como “hackeo humano” e implica el uso de la manipulación psicológica. En estos ataques, el hacker aprovecha la tendencia de las personas a cometer errores e incita a usuarios desprevenidos a exponer datos, propagar malware (software malicioso) o dar acceso a datos restringidos, aplicaciones y sistemas de manera involuntaria.
El ciberdelincuente primero investiga a la víctima prevista, reúne antecedentes y realiza determinadas acciones convincentes para ganarse la confianza del blanco. Una vez que el atacante comprende qué hay detrás de las decisiones y los comportamientos de un usuario, puede ser muy eficiente a la hora de engañar, lo que causa que el blanco infrinja prácticas de seguridad y revele información delicada.
Por ejemplo, en vez de buscar una vulnerabilidad en los límites de seguridad de la organización, el ciberdelincuente se contactará con un empleado haciéndose pasar por un ingeniero de soporte de TI. Luego, conociendo los procesos y los sistemas de la organización, el hacker engañará al empleado para que divulgue su contraseña a través de un sistema importante que contiene datos delicados.
Otra arma poderosa en el arsenal del ingeniero social es el hecho de que los usuarios blancos suelen no conocer el repertorio de ingeniería social y, por lo tanto, no saben cómo detectar un intento de ataque.
Lo que necesita saber sobre el phishing y cómo prevenirlo
Uno de los tipos de ataques de ingeniería social más frecuentes es el phishing (suplantación de identidad). De hecho, el reciente Informe de filtración de datos de la empresa Verizon ha observado que más del 30 % de las filtraciones ocurre en pequeñas organizaciones.
El phishing implica esencialmente engañar a usuarios para que realicen una de dos acciones principales. Lo primero que hay que hacer es enviar credenciales a los hackers de manera involuntaria para que accedan a datos delicados o de carácter privado. Lo segundo es instalar software malicioso para que el hacker pueda infiltrarse en la red de la organización.
El método
Esto suele lograrse al hacer que la premisa del ataque aparente ser un suceso legítimo. Por ejemplo, puede tratarse de un correo electrónico (fraudulentamente) urgente del banco de la organización, que alerta por una supuesta filtración. Para remediar la situación, el autor del correo electrónico le indica al usuario que haga clic en un enlace para verificar las credenciales, lo que pone en marcha el delito.
Entonces, ¿por qué el phishing debería estar bajo el radar de todos? Porque los ciberdelincuentes saben que es bastante frecuente que:
- La ciberprotección no siempre es tan sólida como quiere la organización.
- Los recursos para enseñar y capacitar a los usuarios en conciencia y prevención pueden ser limitados.
- Siempre hay al menos algunos empleados que tienen menos experiencia en cuanto a poder identificar intentos de phishing.
- No siempre hay conocimiento a nivel interno sobre qué medidas deben tomarse para defenderse de dichos ataques.
Cómo proteger a su empresa del phishing
1.Crear conciencia
Para evitar ser víctima de un ataque de phishing, el primer paso es crear conciencia en toda la organización sobre el tipo de ataque, cómo funciona y cómo prevenirlo.
También se recomienda transmitirles a los empleados la siguiente serie de preguntas, que deben hacerse de manera regular:
- ¿Provenía el correo electrónico o la llamada de una parte legítima que pudiera probar su identidad?
- ¿Tiene el sitio web una URL irregular, mala calidad de imagen, errores de tipeo u otros elementos que generalmente hacen suponer que el sitio web es fraudulento?
- ¿Es legítimo el documento adjunto o el enlace incluido?
Deben saber que siempre que tengan duda, deben desentenderse de la situación. Y siempre que haya una actividad sospechosa, el usuario debe siempre notificarlo al equipo de seguridad de la organización.
2. Cómo ser proactivo
Además, los usuarios deben saber que nunca deben:
- Hacer clic en enlaces sospechosos de correos electrónicos.
- Permitir que personal no autorizado se conecte a la red de la organización.
- Dejar dispositivos sin supervisión en lugares públicos.
- Mantener el software sin actualizar.
Se recomienda crear una “hoja de referencia” de conciencia en ciberseguridad con las recomendaciones de las dos secciones anteriores y hacerla circular entre todos los empleados y en toda la organización.
Énfasis en la protección de contraseñas
Además de los pasos que se indicaron anteriormente, la seguridad de contraseñas sólida es otra medida de prevención importante. Con un 80% de infitraciones de ciberseguridad causadas por contraseñas protegidas de manera deficiente, uno puede comprender el motivo con certeza.
- Autenticación de dos factoresAparte de elegir una contraseña larga, compleja e impredecible, una práctica conveniente para cualquier organización es implementar una autenticación de dos factores (two-factor authentication, 2FA), que agrega otra capa de seguridad. Esto significa que hay que usar una combinación de al menos dos de las medidas de seguridad que se indican a continuación:
- Contraseña
- Número PIN
- Un código que pueda enviarse a un dispositivo móvil
- Una huella digital
- Patrón de reconocimiento de voz
- Herramientas del gestor de contraseñas
- Longitud y singularidad
Defender este punto de infracción vulnerable requiere un entendimiento básico de cómo pueden ponerse en peligro las contraseñas poco seguras rápida y fácilmente. A modo de ejemplo, lleva:
- Diez segundos hackear una contraseña de 5 caracteres.
- Diez mil segundos hackear una contraseña de 6 caracteres.
- Un día hackear una contraseña de 7 caracteres.
- Tres mil años hackear una contraseña de 10 caracteres.
Cuanto más larga sea la contraseña y cuantos más caracteres únicos tenga, más les costará a los hackers descifrarla.
Conclusión
La ingeniería social es frecuente y puede ser muy dañina cuando tiene éxito. Además, muchas organizaciones no tienen los conocimientos y las herramientas suficientes y, por lo tanto, son el blanco principal de los ciberdelincuentes, que usan este mecanismo para sus ataques.
En consecuencia, es fundamental que se aseguren de que todos los empleados sepan qué es la ingeniería social, conozcan los métodos que usan los ingenieros sociales y sepan cómo pueden prevenir el ataque. La clave es la conciencia y la educación, además de prácticas de seguridad sólidas, especialmente cuando se trata de contraseñas.
Para obtener más información sobre cómo proteger a su organización contra los ataques de ingeniería social, y específicamente de phishing, lo invitamos a que visite nuestro sitio web: www.cyrebro.io.