¿Qué son los ataques de ingeniería social y cómo puede prevenirlos?

Publicado: 2019-11-14

Si compra algo a través de nuestros enlaces, podemos ganar dinero de nuestros socios afiliados. Aprende más.

¿Sabes qué es un ataque de ingeniería social? Si dice que no le preocupa porque tiene una solución antivirus/malware potente, no le ayudará en absoluto.

Este video muestra cuán fáciles y aterradores son los ataques de ingeniería social.

Esto se debe a que la ingeniería social explota el comportamiento humano y no las vulnerabilidades de su software o hardware. Y es por eso que su estrategia de ciberseguridad tiene que cambiar y adaptarse para abordar las diferentes formas en que los ciberdelincuentes lanzan ataques.

Según un nuevo informe de GetApp, solo el 27% de las empresas brindan capacitación en ingeniería social a sus empleados. Teniendo en cuenta que octubre fue el Mes Nacional de la Seguridad Cibernética, los datos de GetApp son oportunos y reveladores.

El título del informe es "10 estadísticas de ciberseguridad que toda empresa debe conocer". Y según el informe, las complejidades del panorama de seguridad de TI requieren, “… una variedad de capacitación sobre muchos temas. Desafortunadamente, las empresas a menudo brindan capacitación en seguridad solo sobre una parte de estas preocupaciones, mientras que dejan a los empleados a oscuras sobre otras”.

¿Qué es un ataque de ingeniería social?

El FBI dice que la ingeniería social está diseñada para que bajes la guardia. Continúa diciendo que es una técnica común que utilizan los delincuentes, adversarios, competidores y espías para explotar a las personas y las redes informáticas. Por qué, porque no requiere habilidades técnicas.

Los ataques de ingeniería social utilizan el engaño para manipular el comportamiento de las personas. El objetivo es convencer a la persona para que divulgue información confidencial, personal y protegida. Cuando obtienen esta información, los estafadores la usan para perseguir a su objetivo final. Y el objetivo final puede ser cualquier cosa, desde datos confidenciales hasta hacer comentarios despectivos sobre una persona, un candidato político o incluso una marca.

En el pasado, estos mismos delincuentes podrían haber sido llamados estafadores/estafadores, pero la premisa es la misma: ganarse la confianza de la persona que está siendo estafada.

Tipo de ataques de ingeniería social

Lo único que debe saber sobre los ataques de ingeniería social es que siempre están evolucionando. Por esta razón, debe capacitar a sus empleados regularmente. Porque nunca se sabe cuál será la próxima forma de ataque.

Algunos de los tipos de ataques que utilizan los delincuentes son:

Pretextos : los atacantes pretenden necesitar información personal o financiera para confirmar la identidad del destinatario.

Water-holing : los atacantes infectan un sitio web para comprometer a las personas que visitan ese sitio con frecuencia para obtener acceso a la red.

Robo de desvío : los estafadores engañan a las empresas de entrega o mensajería para que dejen un paquete en una dirección incorrecta al interceptar la transacción.

Quid Pro Quo : como su nombre lo indica, los atacantes prometen algo a la víctima a cambio de información o ayuda.

Phishing y SMishing : los ataques de phishing usan correo electrónico y SMishing usa mensajes de texto para que el usuario final haga clic en un enlace o descarga maliciosa. Teniendo en cuenta que el 91 % de los ataques exitosos comienzan como un correo electrónico de phishing, es especialmente importante aumentar la conciencia sobre este tipo de ataques.

Honey Trap : los atacantes fingen ser una persona atractiva y comienzan una relación en línea falsa para obtener información confidencial.

Cebo : los atacantes dejan un dispositivo infectado con malware, como una unidad flash, en un lugar donde se puede encontrar fácilmente. Cuando la unidad se conecta a una computadora, instala el malware.

Estos son solo algunos de los ataques de ingeniería social que utilizan los estafadores, pero hay otros y, sin duda, los delincuentes están creando nuevos en este mismo momento.

Protéjase contra un ataque de ingeniería social

La conciencia es clave para proteger su negocio contra todas las formas de ataque, ya sea en el mundo físico o digital. Por el contrario, los ataques de ingeniería social se basan en la complacencia de las personas a las que se dirigen.

Con eso en mente, debe eliminar los comportamientos que son responsables de cualquier complacencia en su organización. Y esto significa ir en contra de los rasgos innatos que tienen las personas, como la confianza y la voluntad de ayudar a los demás. Teniendo en cuenta estos puntos, debe insistir en que sus empleados verifiquen, verifiquen, verifiquen.

El sistema de tres pasos para verificar una solicitud de Kevin D. Mitnick proviene de un pirata informático de la vida real y su libro, "El arte del engaño: control del elemento humano de la seguridad".

A primera vista, esto puede parecer simplista. Sin embargo, si alguien que no conoces está solicitando información, sabrás quién es si sigues los pasos.

  1. Cuando alguien solicite alguna información, dígales a sus empleados que verifiquen que la persona es quien dice ser.
  2. Asegúrese de que estén trabajando actualmente en la empresa o que tengan una afiliación necesaria con la organización.
  3. Antes de dar la información, asegúrese de que estén autorizados para realizar dicha solicitud.

Con estos tres simples pasos, sus datos nunca serán entregados a la persona equivocada. Vale la pena repetirlo, sus empleados no pueden ser negligentes al seguir estos pasos o realizar cambios en ellos.

Formas adicionales de proteger su negocio

Algunas de las otras formas en que usted y sus empleados pueden protegerse a sí mismos y al negocio incluyen:

  • Tus datos pueden ser usados ​​en tu contra, así que deja de revelar hechos sobre tu vida personal y la del negocio a extraños. Tenga especial cuidado en los canales de las redes sociales.
  • Examine todas las solicitudes de correo electrónico hasta que esté seguro de quién es el remitente. Recuerde, incluso los correos electrónicos que recibe de amigos y asociados pueden ser falsos.
  • Si sospecha que la persona que está tratando de obtener información es un estafador, no dude en ser severo o grosero si es necesario.
  • Aumente la conciencia en su organización con sesiones frecuentes de capacitación en seguridad cibernética y aprenda sobre las últimas estafas.
  • Revisar continuamente los procesos y procedimientos para transacciones importantes.
  • No reutilice sus contraseñas e implemente una política de cambio de contraseña en toda la organización.

Los delincuentes le van a tirar todo a sus empleados por pasar por alto un paso, y en el segundo lo hacen; sus datos están en peligro.

Una gobernanza fuerte y estricta con rendición de cuentas puede hacer que esto funcione. Lo mejor de todo es que no te costará nada.

Califica para descuentos, ofertas especiales y más con una cuenta Business Prime de Amazon. Puede crear una cuenta GRATUITA para comenzar hoy.

Imagen: Depositphotos.com