Los cibercriminales utilizan la ingeniería social para engañar usuarios incautos. Por ejemplo, en muchos casos atacantes usan la confianza y la unen con ataques como phishing, vishing, smishing, whailing, spear pshishing, baiting, entre otros.

En Colombia tenemos un caso histórico que algunos recuerdan y es el de Roberto Soto Prieto, un economista que robo con una llamada $13.5 millones de dólares del Chase Manhattan Bank en el año 1983.

El hurto fue muy sencillo Soto Prieto, envió un fax diciendo que necesitaba el dinero del Banco de la República, en donde aprovechó la confianza para extraer el dinero. Si uno mira el contexto del caso, ni siquiera existía el uso masivo de internet, pero el fraude uso tres elementos confianza, suplantación y mucha creatividad en su planeación.

Te puede interesar: ¡Cuidado! Este troyano en Android secuestra tu Facebook

Un caso muy mediático en estos días es el del ‘falso futbolista’ que fue detenido en Santa Marta. Bernio Verhagen, ha estafado a distintas personas en todas partes del mundo diciendo que es un futbolista profesional, esto lo ha llevado a firmar contratos con equipos como el Audax Italiano Chileno, el Cape Town City, entre otros. Al investigar algunas notas de prensa se puede ver como el supuesto futbolista ha usado todo tipo de técnicas para ganar confianza y estafar a sus victimas. Incluso se habla de que suplantó correos electrónicos de una importante agencia de talentos deportivos llamada Stellar Group.

Otro tipo de ataque que aprovecha la confianza, es el Baiting, un ataque en donde se deja una USB, o algún dispositivo y se espera que un usuario por curiosidad lo acceda a un sistema informático.

Todos estos ejemplos llevan a una conclusión importante: la mejor forma de genera una cultura en seguridad de la información es enseñar a las personas a tener una desconfianza sobre actividades que pueden ser sospechas y que pueden generar riesgos empresariales.

Te puede interesar: Con ingeniería social se hizo el secuestro masivo de cuentas de Twitter

La mayoría de sistemas informáticos no están preparados para enfrentar ataques de ingeniería social. Un solo momento de descuido puede permitir una fisura en la seguridad digital de su compañía. Y estas brechas pueden comenzar en primer lugar por la confianza, una distracción, el perfilamiento, el identificar el vector y la ejecución de un ataque que tenga como finalidad la extracción de la información o datos personales. Los antivirus, firewall, SOC, NOC, controles técnicos o de red, no sirven de nada ante ataques sociales y de confianza.

Muchos de los delitos informáticos que vemos en Colombia y que hemos investigado con Cloud Seguro tienen un común denominador, el ganar confianza de la victima. Un delito que es común en estos días es por medio de ingeniería social conocer a los proveedores de una empresa, y por medio de una técnica conocida como email spoofing enviar un mensaje como este “Estimado cliente le informo que la empresa ha cambiado su cuenta bancaria y que desde el próximo mes las facturas pendientes no la consignen a esta cuenta”

En este tipo de delitos siempre recomendamos que se realice pruebas de OSINT, o búsqueda de información en fuentes públicas para establecer riesgos que pueden conocer ciberdelincuentes. El mejor camino para la ciberseguridad es la anticipación y la desconfianza. La seguridad es también entender que la malicia de los atacantes no tiene limite.

Germán Realpe Delgado- Ceo de Cloud Seguro, columnista y parte de enter.co

Imágenes: Pete Linforth en Pixabay 

En 2020 la brecha de habilidades de ciberseguridad presenta una escasez de 3,12 millones de profesionales, un número menor que en 2019, pero aún queda mucho trabajo por realizar. Mientras se logra cerrar y prepararse ante las amenazas digitales, recomienda, por un lado, capacitar al talento no técnico en prácticas de seguridad cibernética; por otro, incentivar al personal con talento para especializarse en este tema. Especialmente, teniendo en cuenta que los colaboradores son los principales blancos de los cibercriminales para infiltrarse en las empresas y robar información sensible para después acceder a los servidores y sistemas y llevar a cabo diferentes ataques.

Fortinet, empresa de ciberseguridad, asegura que una de las formas de cerrar la brecha es con las capacitaciones y formación del personal interno en temas específicos de seguridad cibernética. Otra es incentivar al talento existente en un cambio de carrera. Pensando en esto, Fortinet, ha decidido ofrecer cuatro rutas de entrenamiento que enfatizan algunas de las áreas tecnológicas más críticas de la industria. Cada una está organizada para proporcionar instrucciones y aprendizaje en materia de las habilidades para distintas áreas de interés, que incluyen:

También te puede interesar: Cursos gratuitos de ciberseguridad de Fortinet.

• Operaciones de seguridad
• Redes basadas en la seguridad
• Seguridad dinámica en la nube
• Acceso de confianza cero (Zero Trust Access)

Además, tiene los cursos en temas de ciberseguridad que seguirán siendo de acceso gratuito durante el 2021.  Así mismo, anunció que seguirá trabajando a través de su programa de alianzas con instituciones educativas, Security Academy. Este programa apoya a más de 300 instituciones académicas en más de 80 países, de las cuales más de 70 están en América Latina.

Imagen: Starline (Vía Freepik).