La ingeniería social: el ataque informático más peligroso

'Phishing' es una de las técnicas más comunes para hacer ingeniería social.

.CO + Enter-lleva-tu-negocio-a-internet

Sabías que, según Digital Guardian, el 97% de los ataques informáticos no aprovechan una falla en el software, sino que usan técnicas de ingeniería social para conseguir las credenciales necesarias para vulnerar la seguridad informática. Por eso, a veces poco importan las medidas de seguridad tecnológicas que implementes si las personas están mandando su clave por correo electrónico. Como parte de la estrategia de seguridad de tu compañía, tienes que hacer un gigantesco esfuerzo para evitar que los criminales informáticos implementen técnicas de ingeniería social para entrar a tus sistemas.

La ingeniería social es la práctica de manipular psicológicamente a las personas para que compartan información confidencial o hagan acciones inseguras. La mayoría de veces, los ataques se realizar por medio de correo electrónico o por teléfono. Los atacantes se hacen pasar por otra persona y convencen a la víctima para entregar información sensible de la organización o sus contraseñas. Como es un tema más humano, las herramientas tecnológicas que implementan las compañías no pueden prevenir los ataques. Por eso, los atacantes recurren a este tipo de tácticas para vulnerar sistemas muy seguros y complejos.

En una casa puedes tener 20 seguros y candados, todas las ventanas con un sistema de alertas y cámaras por todos lados, pero si dejas entrar a la persona que entrega la pizza sin verificar sus credenciales, toda la seguridad queda inerte.

Es más, el conocido hacker de sombrero blanco Kevin Mitnick dijo que no tenía mucho sentido invertir recursos en tratar de romper la seguridad de los sistemas. Es más rentable realizar ataques de ingeniería social para tener acceso al sistema. Esto es más válido hoy, con cifrados de 256 bits que son prácticamente imposibles de quebrar.

La ingeniería social es la práctica de manipular psicológicamente a las personas para que compartan información confidencial o hagan acciones inseguras

Al montar toda tu estrategia digital, es fundamental que tengas la seguridad informática entre tus prioridades. Además de registrar tu dominio en www.cointernet.com.co, diseñar tu página e implementar técnicas de SEO, es fundamental proteger toda la información de tu negocio. A continuación te vamos a contar sobre las técnicas más comunes de ingeniería social y las formas para prevenirlas. Eso sí, siempre hay que tener en cuenta que “para un atacante resulta, en primera instancia, más sencillo y rápido buscar y encontrar vulnerabilidades y debilidades en los seres humanos que en las herramientas tecnológicas”, como nos contó Gonzalo Romero, director de seguridad informática de .CO Internet.

‘Phishing’

'Phishing' es una de las técnicas más comunes para hacer ingeniería social.
‘Phishing’ es una de las técnicas más comunes para hacer ingeniería social.

El ‘phishing’ viene del término en inglés de pescar. Los criminales informáticos tiran correos con ‘anzuelos’ para ver si alguien cae en la trampa. Con mucha inteligencia, los atacantes se hacen pasar por un miembro del equipo de TI o algún ejecutivo para pedir las credenciales de acceso al sistema a una víctima desconcertada. Por ejemplo, alguien crea una cuenta con la dirección de correo muy similar a la del presidente de la compañía (reemplazando la l con I) y pide le información a diferentes subalternos.

Lo normal es que le respondan y, aunque no manden la contraseña, el atacante ya tiene la información suficiente para hacer una llamada y hacerse pasar por el presidente de una manera más convincente. La complejidad de la ingeniería social está en que los criminales usan varios ataques al mismo tiempo que se van complementando para poder engañar fácilmente a sus objetivos. “Entre las muy diversas formas en que se ejecuta la ingeniería social, la más común y efectiva es aprovechar la información que su objetivo divulga (voluntaria o involuntariamente) en internet (redes sociales) y de lo que él se puede averiguar o conocer en la red, para establecer contacto (telefónico, personal, o no presencial) con él para ejecutar su ataque”, explicó Romero.

Para prevenir el ‘phishing’ es necesario educar a los empleados. Según el ejecutivo de .CO Internet, se puede mitigar el riesgo “gestionando planes de acción claros de concientización a todo el personal así como incidentes relativos a este flagelo en particular”. No podemos asumir que todos los empleados conozcas las técnicas de ‘phishing’ y aun así, no sobra reforzar los conocimientos con cierta periodicidad.

Acceso no autorizado

Los atacantes son tan atrevidos que muchos se ponen una corbata y crean una identificación falsa para entrar a las instalaciones de la compañía como un ejecutivo más. Como bastantes empresas implementan tarjetas de seguridad, los atacantes saben que las convenciones sociales son más importantes que la seguridad y esperan que algún empleado legítimo le ‘tenga la puerta’ para poder entrar sin pasar por los controles de seguridad.

Este ataque ha sido ampliamente usados para robar información, dejar dispositivos como ‘keyloggers’ o troyanos y hacer reconocimiento para realizar un ataque más especializado. Aunque suene un poco descortés, no hay que dejarle la puerta abierta a nadie o por lo menos verificar que la otra persona ponga su tarjeta para que verifique su identidad. Las personas que están en las recepciones tienen que estar muy pendientes de que todo el mundo realice adecuadamente el proceso de entrada.

La USB tentadora

La curiosidad casi siempre mata al gato.
La curiosidad casi siempre mata al gato.

Otra de las técnicas más conocidas y efectivas es dejar una USB en el parqueadero o en un sitio cercano a la oficina (como un café o un restaurante) para que algún empleado la lleve y la conecte a su computador. La USB, en principio, parece inofensiva, pero en realidad está cargada con malware que puede poner en peligro todo el sistema corporativo. Muchas compañías han deshabilitado los puertos USB de sus computadores, pero eso lo quita bastante funcionamiento al equipo.

Es mucho mejor educar a los empleados y hacerles caer en cuentas las consecuencias que puede tener una vulnerabilidad informática.

Entonces, ¿qué debemos hacer? Primero que todo, hay que tener en regla la tecnología. Los dominios .com.co son de los más seguros del mundo y cuentan con la confianza de los empresarios, emprendedores e inversionistas. Por eso, para tener esa cuota de confianza en internet, te recomendamos registrar tu dominio en www.cointernet.com.co. Debes tener un ‘firewall’ de primera línea, todos los equipos deben tener el antivirus actualizado y contar con un antispam dinámico e inteligente.

Después, hay que hacer unas sesiones educativas con todos los empleados de la empresa. Los atacantes siempre van a buscar a la persona más débil para que los ayude con su objetivo. Por eso, no puedes dejar a un lado a la asistente administrativa, al diseñador o cualquier otra persona que tenga acceso a los sistemas de la organización.

Hay que hacer unas sesiones educativas con todos los empleados de la empresa

Romero recomienda hablar con los empleados para explicarles el tema y darles ejemplos de posibles ataques. También debe haber un manual por escrito que deje claramente las mejores prácticas para prevenir la ingeniería social. No abrir enlaces de correos electrónicos desconocidos; devolver la llamada si crees que están suplantando la identidad de alguien y revisar bien las identificaciones de las personas caminando por las instalaciones de la organización son unas buenas prácticas que puedes implementar inmediatamente para reducir el riesgo de ingeniería social.

Imágenes: weerapatkiatdumrongCzgur (vía iStockphoto).

boton



Lleva tu negocio a internet es una categoría especial en alianza con .CO Internet. El dominio .CO es un patrimonio de todos los colombianos que se ha posicionado como los dominios más importantes a nivel global.

ENTER.CO

ENTER.CO

Somos periodistas, blogueros y personas de distintas profesiones con una enfermedad crónica en común: estamos obsesionados con la tecnología y la cultura digital y queremos contagiar a toda Latinoamérica con nuestra fiebre. Vivimos día y noche metidos en este mundo, con el único objetivo de traerles las noticias y novedades más recientes.

Ver todos los posts

3 comentarios

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

  • Nada como ver que se este hablando sobre memorias USBs y de repente se cambie el tema de las USBs para vender dominios diciendo que son los mas «seguros», podrian explicar que rayos tiene que ver la memoria USB con que los dominios . co sean supuestamente mas «seguros»? Se sabe que esto es una nota patrocinada para vender servicios pero al menos respeten los temas que se supone son informativos y pongan los «servicios» al final. Eso fue peor que cuando uno va navegando por una pagina y meten un baner en el medio del contenido porque al menos con los baners se sabe que es publicidad aqui le meten un texto que ni concuerda de lo que se esta hablando en la seccion «La USB tentadora».

    Que falta de respeto mas grande este articulo con eso que hicieron siento que perdi el tiempo leyendo esto solo por poner eso.

    Y aun asi se atreven a ofrecer consejos de como diseñar paginas, de seguro fueron quienes ascesoraron a paginas como Softonic a como meter spam en todo lado.

    Si nunca se me ha ocurrido comprar un dominio .co menos ahora con eso ¬¬

  • Es decir que si me encuentro una USB, antes de usarla debo comprarme un Dominio(?)… Jajajaja…

    PD. ponganle sentido a lo que escriben….

Archivos