orm_icon

 

Gestión de riesgos operacionales

Identifica, mide, controla y monitorea fácilmente los riesgos operativos de tu organización →
isms-icon

 

Gestión
de seguridad de la información


Garantizar la confidencialidad, integridad y disponibilidad de tus activos de información →
compliance_icon-16

 

Cumplimiento
normativo


Lleva el control de todas las normativas y regulaciones que debe cumplir tu organización →
aml-17

 

Money laundering risk management

Easily identify, establish controls and monitor AML risks→
banner-Escuela-Pirani-orm-Megamenu

Próxima sesión: Principales metodologías para la gestión de riesgos Jueves 02 de febrero, 10:00 am GMT-5.

header_academy_v2

Ingeniería social, ciberataques más comunes y cómo prevenirlos

Por Mónica María Jiménez, en octubre 12, 2022

hacking-ciberdelincuencia-ingenieria-social

En un sentido más amplio, la ingeniería social consiste en el uso de técnicas psicológicas y habilidades sociales con el fin de manipular a una persona para que realice acciones específicas y lograr así una meta o beneficio. 

En el contexto de la seguridad de la información, la ingeniería social tiene que ver con las técnicas utilizadas por los ciberdelincuentes para engañar a los usuarios y obtener datos privados y confidenciales como fecha de nacimiento, dirección, contraseñas o información financiera, además, es usada para infectar los equipos informáticos con malware y otros virus que ponen en riesgo la información. 

Cualquier persona puede ser víctima de un ataque con ingeniería social, este puede materializarse a través de internet o por teléfono, basta con que el cibercriminal logre el engaño para que la víctima le dé datos de mucho valor. 

En este artículo te contamos más sobre cómo funciona la ingeniería social, cuáles son los ciberataques más comunes que se concretan con el uso de esta técnica y qué medidas tomar para prevenir ser víctima de los ingenieros sociales. 

politica-seguridad-de-la-informacion

¿Cómo funcionan los ciberataques con ingeniería social?

Generalmente, los ciberdelincuentes aprovechan las vulnerabilidades y sesgos cognitivos de las personas para concretar sus ataques, es decir, es muy común que estos delincuentes se hagan pasar por una persona o entidad de confianza y con autoridad para engañar y manipular a sus víctimas y de esta forma, acceder a información confidencial e infectar sus equipos. 

Algunos de los ciberataques más comunes que se materializan con el uso de esta técnica son:

1. Phishing

En este ataque, por lo general, la víctima recibe un correo electrónico procedente de una fuente aparentemente confiable, por ejemplo, del jefe o director de la empresa que solicita datos como el nombre de usuario y contraseña para ingresar a un determinado sistema. Como se está en un contexto laboral, es usual que se entregue la información solicitada sin antes verificar la identidad de la persona que envió el correo. 

Igualmente, el phishing es usado para suplir la identidad de organizaciones como bancos y transmitir mensajes de urgencia para que la víctima actúe rápido, sin sentarse a analizar la veracidad del mensaje. 

2. Spear phishing

Tiene relación con el anterior tipo de ataque, sin embargo, aquí los ciberdelincuentes se dirigen a empresas y personas específicas como gerentes, grandes empresarios o personas públicas y con poder para engañarlas a través del envío de correos electrónicos que incluyen enlaces maliciosos con los que instalan un malware para acceder a información de mucho valor y causar serios daños tanto a la persona como a la organización.

3. Vishing 

Es de la línea del phishing, pero en este ataque los cibercriminales utilizan llamadas y mensajes de voz para hacer caer a las víctimas: falsifican números de teléfono y se hacen pasar por una persona de confianza o con autoridad, por ejemplo, alguien del banco, un representante de otra empresa con la que se tenga un servicio o incluso, un compañero del área informática o de tecnología. 

Durante la llamada el delincuente le solicita a la víctima información o le hace algunas preguntas sobre su identidad con el pretexto de ofrecerle un mejor servicio o ayudarlo a resolver algún inconveniente.

4. Scareware

Es un malware con el que los cibercriminales asustan a los usuarios para que visiten un sitio web infectado. El scareware aparece principalmente en ventanas emergentes en las que se comunica cómo se puede eliminar un virus informático que aparentemente existe en el dispositivo. Cuando el usuario da clic en esta ventana, realmente lo dirige a un sitio infectado que propicia la instalación de malware sin notarlo. 

ingenieria-social-hacking-ciberdelincuencia

Otros ataques conocidos que se basan en las técnicas de la ingeniería social son el hacking de correo electrónico y el envío de mensajes de spam a los contactos, que buscan principalmente instalar software malicioso y enredar a los usuarios para que entreguen información privada.

¿Qué tienen en común estos ataques de ingeniería social? Los ciberdelincuentes llevan a cabo este tipo de ciberataques con el principal objetivo de obtener datos confidenciales y sensibles de las personas para, entre otras cosas, robar su identidad, extorsionarlos, afectar su reputación y buen nombre y afectar la operación y continuidad de los negocios. 

Medidas para prevenir ataques con ingeniería social

Dada la habilidad que tienen los ciberdelincuentes para manipular y engañar a las víctimas, así como para mejorar e innovar en sus técnicas de ataque, hay que ir un paso delante de ellos y para hacerlo, es necesario crear conciencia y educar a todos los empleados, llamados el “eslabón más débil de la cadena”, en temas de seguridad informática para que sean capaces de reconocer un ataque de estos y tomen las medidas adecuadas para protegerse. 

Algunas buenas prácticas a implementar son:

  • Tener cuidado con la información personal que se comparte. Nunca hacerlo con desconocidos o en equipos de uso público. 

  • Ajustar la configuración del correo electrónico para evitar recibir correos que son spam y que pueden incluir enlaces maliciosos que pongan en riesgo los equipos y la información. 

  • Tener una lista con los correos electrónicos legítimos de personas y organizaciones con las que se tiene relación, de esta forma, en caso de recibir un correo de parte de uno de ellos con una dirección diferente a la conocida, puede significar una señal de alarma.
     
  • Desconfiar y dudar de los correos electrónicos y mensajes de texto en los que ofrecen una gran recompensa por una pequeña inversión. 

  • Si hay duda de la veracidad de un mensaje o el remitente es desconocido, verificar la información con una búsqueda rápida en internet o llamando a la entidad que supuestamente se está contactando.

  • En una llamada sospechosa, solicitar al atacante que se identifique y sacarle la mayor información posible. 

  • Tener políticas de seguridad estrictas para minimizar los riesgos y las posibilidades de ser atacadas, por ejemplo, política de contraseñas seguras y manejo adecuado de los activos de información en todo momento. 

Adicional a estas buenas prácticas, vale la pena resaltar la importancia de contar con una herramienta tecnológica como Pirani y su sistema de gestión de seguridad de la información, ISMS, para prevenir y gestionar este tipo de riesgos en tu organización de una manera más simple, evitando así caer en manos de cibercriminales que pueden afectar la operación, la reputación y la continuidad del negocio. Crea tu cuenta ahora y conoce más. 

Nueva llamada a la acción

¿Qué otra buena práctica agregarías para evitar ser víctima de los ciberdelincuentes y la ingeniería social? Compártenos tus recomendaciones. 

CTA-comunidad-pirani-únete
Nueva llamada a la acción
Nueva llamada a la acción
Prueba Pirani por 15 días

Escribe tu comentario