Cómo protegerse de los ataques de ingeniería social
El nivel de seguridad que se puede alcanzar a nivel de software y de hardware es elevadísimo, y cada día se refuerza más esa seguridad y se generan nuevas protecciones. Sin embargo, nada de eso es efectivo ante un ataque de ingeniería social, por eso esta amenaza es tan peligrosa.
La ingeniería social no es otra cosa que una manipulación para obtener información confidencial. Esta manipulación se dirige hacia las personas, empleados de cualquier nivel que disponen de sus propias credenciales de acceso, con más o menos permisos. Sea cual sea el nivel de acceso o de permisos, al obtener esos datos se abre la puerta de la red empresarial y los equipos y servicios corporativos quedan expuestos.
Estos ciberataques pueden llegar a ser indetectables. Además, son altamente eficientes y se aprovechan de la falta de información, de formación, y también de la ingenuidad humana. Las personas pueden confiar abiertamente en sus compañeros, incluso si se trata de una nueva incorporación (hace poco hablamos de los test de penetración y de cómo se utiliza la ingeniería social en el proceso).manipulación para obtener información confidencialmanipulación para obtener información confidencialmanipulación para obtener información confidencial
Los ataques suelen comenzar ganándose la confianza del objetivo, empezando con una conversación, una llamada, un SMS o con un regalo tecnológico. Es, en realidad, como la historia del caballo de Troya, que no era otra cosa que un regalo con aires de buena voluntad que llevaba el peligro en su interior. Los troyanos lo introdujeron intramuros de la ciudad, y los soldados aqueos salieron por la noche para eliminar a los centinelas y abrir las puertas de la ciudad a sus ejércitos.
Por analogía, proteger nuestros sistemas con cortafuegos, antivirus y demás herramientas no va a ser suficiente si los usuarios no cumplen a rajatabla con todas las directrices de seguridad, o cometen deslices imperdonables.
La ingeniería social es rentable para los ciberdelincuentes
Da igual si el objetivo del ciberdelincuente es inyectar malware, robar credenciales, conseguir accesos… El caso es que es mucho más barato, por decirlo así, que cualquier otro método. Pensemos en una analogía sencilla, por ejemplo, tratar de entrar en un domicilio. ¿Qué es más costoso, utilizar herramientas para abrir la puerta y saltarse la alarma, o conseguir que el inquilino nos abra la puerta?
Los ataques de ingeniería social suelen pasar por cuatro fases:
- Recopilar información sobre la víctima. Esta información puede ser de cualquier tipo, pero el objetivo es saber todo lo que se puede saber sobre esa persona para poder establecer contacto sin levantar sospechas, de la manera más natural posible.
- Desarrollar una relación de confianza con la víctima a partir de la información recopilada. Así, se traza un plan de ataque basado en los intereses de la víctima. La única intención en este punto es la de ganarse la confianza de esa persona, de manera que cualquier mensaje o contacto posterior parezca legítimo.
- Abuso de confianza. Hecho el contacto y una vez se gana la confianza de la víctima, aprovechando la identidad falsa creada con anterioridad, el atacante va a pedir algo a la víctima: que le envíe credenciales de acceso bajo cualquier pretexto o que instale un software por algún motivo. De esta manera se establece la base para el ataque.
- Ejecución del ciberataque. Con las puertas abiertas, el atacante puede entrar en el sistema y hacer lo que pretendía desde el principio. Obtenida la información o cumplido su objetivo, el atacante se retirará tratando de eliminar cualquier rastro.
Así que, ¿cómo protejo mi empresa de los ataques de ingeniería social?
La clave está en la formación y concienciación de los empleados. Un equipo con la formación adecuada es la mejor medida de protección contra la ingeniería social. Por muy eficaz que sea la técnica empleada por los ciberdelincuentes, cuanto más informado está el equipo, más tiempo resistirá los ataques y más desconfianza sentirá ante peticiones que se salten los protocolos.
Por eso es fundamental, además de disponer de herramientas de seguridad avanzadas, que el personal conozca las técnicas más comunes para que las pueda anticipar y detectar a tiempo, ahorrando costes (y disgustos) a la empresa. Mantenerse al día en cuestiones de ciberamenazas es vital.
En Arsys tenemos una solución de Cloud Backup especial para ti, para que puedas incluir el backup más seguro en el día a día de la empresa y estar mejor preparado que nunca para recuperar tus datos en caso de que ocurra alguna eventualidad.