Los ataques de ingeniería social siguen siendo una de las principales preocupaciones de organizaciones y particulares de todo el mundo en el panorama en constante evolución de las amenazas a la ciberseguridad. Para los departamentos de TI, es crucial ser conscientes de los diferentes tipos de desafíos y ayudar a los empleados a comprender y prevenir cualquier riesgo. He aquí algunos consejos para mejorar tu infraestructura de seguridad digital.
El elemento humano
Aunque la tecnología desempeña un papel importante en la seguridad digital, el elemento humano sigue siendo un factor crítico. Según el informe Verizon 2023 Data Breach Investigations Report, en el 74% de las infracciones intervino el elemento humano, que incluye ataques de ingeniería social, errores y usos indebidos. Esta estadística subraya la importancia de educar a los empleados sobre los distintos tipos de ataques y métodos de protección.
Probablemente todos en tu empresa hayan oído hablar ya del phishing, pero no por ello es menos peligroso. Al contrario, los correos electrónicos de phishing siguen siendo una de las técnicas de ciberdelincuencia más prolíficas, en las que los atacantes intentan engañar a las personas para que revelen información confidencial, como contraseñas, datos de tarjetas de crédito o identificación personal, haciéndose pasar por entidades dignas de confianza. Suelen utilizar tácticas engañosas, como correos electrónicos falsos con enlaces a sitios web que imitan a organizaciones o personas legítimas. Como muchos podrían pensar, el correo electrónico no es el único vehículo para realizar una estafa y, últimamente, no ha sido el más eficaz. Veamos otras formas de phishing.
Vishing
El vishing, abreviatura de "phishing de voz", consiste en que los estafadores utilizan llamadas telefónicas o mensajes de voz para engañar a las personas y conseguir que divulguen información confidencial o realicen pagos fraudulentos. La sofisticación de estos ataques va desde la suplantación de la identidad humana hasta las llamadas automáticas. Algunos estafadores incluso emplean la suplantación de llamadas, utilizando números de teléfono legítimos para mejorar su engaño. La última versión del vishing incluye llamadas deepfake, que pueden simular la voz de una persona concreta utilizando herramientas de IA, para hacerlas aún más convincentes.
Smishing
El smishing, o "phishing por SMS", consiste en enviar mensajes fraudulentos a través de aplicaciones de texto o mensajería para manipular a las víctimas con el fin de que realicen acciones específicas. Los mensajes suelen contener enlaces que dirigen a los destinatarios a sitios web, páginas de inicio de sesión o aplicaciones maliciosas. Una vez que se accede a ellos, estos canales pueden extraer información personal, incluidos los datos de la tarjeta de pago, o infectar el dispositivo de la víctima con malware.
Normas básicas para los empleados
Existen varias buenas prácticas que los empleados pueden adoptar para protegerse contra los distintos tipos de ingeniería social:
- Pausa, piensa y actúa: Los estafadores se basan en la urgencia para manipular a las víctimas. Tómate tu tiempo para evaluar las solicitudes y evita las acciones precipitadas. Evita hacer clic en los enlaces de los mensajes de texto y visita el sitio web oficial de la organización para verificar la legitimidad de la comunicación.
- Desconfía de los números desconocidos: Verifica las llamadas o mensajes de texto de números desconocidos o sospechosos. Evita revelar información personal o hacer clic en enlaces desconocidos de los mensajes. Esto te ayudará a minimizar las posibilidades de ser víctima de este tipo de estafas.
- Manten la privacidad de la información personal: Nunca reveles información confidencial como números de cuenta, números de la Seguridad Social, contraseñas o códigos de autenticación multifactor (MFA) a desconocidos por teléfono o en un mensaje. Las organizaciones legítimas no solicitan estos datos a través de llamadas o mensajes no solicitados.
- Verifica la identidad: Si recibes un mensaje de alguien que dice representar a una empresa o agencia gubernamental, evita interactuar directamente. En su lugar, verifica su autenticidad de forma independiente poniéndote en contacto con la organización utilizando la información de contacto oficial disponible en su sitio web.
- Adopta medidas de seguridad estrictas: Utiliza contraseñas fuertes y únicas para proteger tus cuentas. Considera la posibilidad de utilizar generadores y gestores de contraseñas para crear contraseñas o frases de contraseña largas y complejas, y guárdalas de forma segura. Utiliza la autenticación multifactor (MFA) siempre que esté disponible para añadir una capa adicional de protección.