Los humanos somos seres emocionales, y la ingeniería social es una manera muy eficaz de aprovechar esas emociones. Además, los ataques de ingeniería social normalmente no requieren aptitudes técnicas demasiado específicas de parte del atacante. Hasta ahora se ha demostrado que es más bien fácil lograr que miles de usuarios entreguen información confidencial o que lleven a cabo acciones perjudiciales. No te engañes: incluso si tu empresa es muy pequeña, todavía puedes ser un objetivo.
Probablemente has oído hablar del correo basura, o spam, y de la suplantación de identidad, o phishing, dos ejemplos de cómo reacciones emocionales de los usuarios pueden usarse mal. El correo basura se envía normalmente en correos electrónicos, pero también se puede entregar a través de mensajes instantáneos, SMS y redes sociales. En el sentido estricto de la palabra, el correo basura no es un método de ingeniería social, pero puede incluir suplantación de identidad, phishing de objetivo definido, la suplantación telefónica del vishing y también métodos como el smishing, la suplantación por SMS, o divulgar ficheros adjuntos o enlaces malintencionados.
La suplantación de identidad, o phishing, es una de las formas de ingeniería social que se utilizan con más frecuencia. En este caso, el atacante se hace pasar por una entidad de confianza que solicita información confidencial de la víctima. Pero hay mucho más que hay que vigilar e ir con cuidado. El mundo de la ingeniería social es muy variado: vamos a echar un vistazo a otros tipos de ataques.
Phishing dirigido
Vishing
Smishing
Scareware
Suplantación
Estafas de asistencia técnica
Sextorsión
(Ciber) estafas
Cómo proteger a tu empresa contra la ingeniería social
Ahora que ya conoces las técnicas de ingeniería social, ¿cómo puedes reconocerlas? Hay algunas señales que te ayudarán. ¿El texto contiene errores, mala ortografía y expresa mucha urgencia? ¿Hay algo raro en la dirección del remitente? ¿Es alguien a quien no conoces que te pide información personal tuya o tu contraseña? ¿Te da la sensación de que el mensaje intenta llevarte a actuar sin cuestionarte nada? ¿La oferta que se hace en el correo electrónico suena demasiado bien para ser verdad? Porque probablemente no es verdad. Recuerda, cualquier solicitud de datos confidenciales es sospechosa.
De todos modos, puedes hacer mucho más para proteger a tu empresa contra la ingeniería social. Aquí hay varias sugerencias para ir siempre un paso por delante de los atacantes.
1. Forma a tus empleados
Como las técnicas de ingeniería social se basan en una baja concienciación sobre ciberseguridad en sus empresas objetivo, las formaciones periódicas en ciberseguridad son importantes para toda la empresa, tanto para el personal de TI o de alta dirección como de otros departamentos. Durante la formación, intenta incluir situaciones de la vida real. Solo así pueden imaginar tus empleados situaciones concretas y aprender de ellas. Tus empleados deben conocer una política de seguridad comprensible y saber qué pasos hay que dar cuando entran en contacto con la ingeniería social.
2. Mantén tus contraseñas bajo control
Es imprescindible contar con una política de contraseñas potente. Busca contraseñas poco seguras a las que los atacantes podrían dar un mal uso. Considera también utilizar otra capa de seguridad mediante la implementación de una autentificación multifactor.
3. Utiliza soluciones de seguridad adecuadas
Otra manera de mejorar tu seguridad puede ser la implementación de soluciones técnicas para atajar comunicaciones con estafas. En esos casos, se pueden detectar, poner en cuarentena, neutralizar y eliminar el correo basura o los mensajes de suplantación de identidad. Mejora tu protección y usa herramientas que permitan a los administradores de TI tener visibilidad total y la capacidad de detectar y mitigar amenazas potenciales en la red.
Ten en cuenta que cuanto más sabes sobre ciberriesgos, más consciente eres de la prevención necesaria. Gracias a todo esto, tus datos estarán protegidos y también lo estará tu empresa.
