La seguridad informática está en la vanguardia de las noticias empresariales en este momento, destacando lo vulnerables que son las empresas a los ataques de los hackers, más aún en estos tiempos de pandemia.

Los ciberataques crecieron más del 50% aprovechando que su seguridad se ha podido ver debilitada por la implantación del teletrabajo, según publicó la agencia Reuters.

Y anteriormente, Symantec informó que cinco de cada seis empresas sufrieron algún tipo de ataque el año anterior, mientras que la BBC hizo hincapié en un informe recopilado por Verizon que sugería que los cibercriminales tardan un promedio de 82 segundos en atrapar a la primera víctima de una campaña de phishing.

Teniendo esto en cuenta, y pensando en que la distancia con los equipos de IT se agrandó producto de la alta virtualización actual, conviene revisar una de las amenazas más comunes, la ingeniería social, en relación con los ciberataques y las filtraciones de datos.

¿Qué es la ingeniería social?

La ingeniería social tiene muchas definiciones pero, básicamente, implica el uso de trucos o tácticas para obtener información de los usuarios legítimos de un sistema con el fin de obtener un acceso no autorizado, sin necesidad de forzar la entrada. Esto podría implicar la obtención de las contraseñas de los usuarios y luego usarlas para acceder a los correos electrónicos o cuentas de la empresa. Aunque estos ataques no son nuevos, se han vuelto más sofisticados a lo largo de los años.

Originalmente los hackers enviaban correos electrónicos masivos de spam, esperando que al menos una persona respondiera con los detalles que solicitaban. Esto progresó hasta crear correos electrónicos falsos que parecían ser de su banco, solicitando la contraseña o información de la cuenta. Una vez que se hacía clic en el enlace del correo electrónico y se introducían los datos de acceso, simplemente se obtenía un mensaje de error y el hacker tenía acceso a sus datos.

Cuando se trata de atacar a empresas, los hackers se toman su tiempo. Primero investigando tanto a las empresas como a las personas clave dentro de ellas, y luego usando esa información para facilitar su plan. Ellos entienden que un ataque toma tiempo y no pedirán demasiada información a la vez, comparado con la primera ola de correos electrónicos de ingeniería social que pedían directamente todos tus datos bancarios e inmediatamente parecían «no del todo correctos». El ataque puede presentarse en diversos formatos, desde llamadas telefónicas e ingeniería en línea hasta suplantación de identidad y «dumpster diving», aunque el informe de Verizon (referenciado aquí) afirma que los correos electrónicos de phishing siguen siendo el vector de ataque preferido.

robarte
Imagen de Gordon Johnson en Pixabay.

¿Cuáles son los métodos de ataque?

Teléfono

Los hackers pueden llamar a los empleados objetivo fingiendo ser de un proveedor, de IT o de mantenimiento. Luego declaran que hay un problema y piden datos de acceso o detalles financieros. Como a menudo hay una amenaza subliminal (no habrá pedidos, se bloqueará la cuenta, etcétera) o como se trata de una solicitud común del servicio de asistencia técnica, los empleados suelen estar dispuestos a responder con sus datos, dándole acceso al hacker.

Online

Las ventanas emergentes pueden parecer del administrador de la red, pidiendo al usuario que vuelva a introducir sus datos de acceso para proceder. Esto tiende a tener menos éxito ya que la gente suele ser más consciente de los hackers en línea.

Correo electrónico

Los hackers pueden acceder a los correos electrónicos de las personas clave, o enviar correos electrónicos que parecen ser de la dirección de correo electrónico de esa persona. En esta posición de poder, pueden entonces pedir al destinatario que lleve a cabo ciertas tareas. Por ejemplo, pueden enviar un correo electrónico al Director Financiero, haciéndose pasar por el propietario de la empresa, y organizar una transferencia bancaria o el envío de documentos confidenciales por correo electrónico. Para el destinatario del correo electrónico, esto puede parecer una petición completamente normal del remitente y ellos cumplen.

Archivos adjuntos al correo electrónico

Estos pueden transportar virus, gusanos y caballos de Troya. Si el correo electrónico parece ser una persona de autenticidad, es más probable que los destinatarios abran los archivos adjuntos. Esto permite a los virus circunnavegar el cortafuegos y otras defensas perimetrales, lo que hace que esta ruta sea particularmente devastadora para las empresas no preparadas.

Suplantación de identidad

Algunas funciones comunes pueden incluir una persona de reparación, soporte informático, un gerente o un tercero de confianza. Esto puede tener lugar tanto por teléfono y correo electrónico, como en persona.

Ingeniería social inversa

El hacker crea una persona que parece estar en una posición de autoridad para que los usuarios acudan a ellos en busca de ayuda. Alternativamente, el hacker crea el problema en el sistema por sí mismo y luego llama para salvar el día. Por ejemplo, desmonta sus sistemas, luego llama fingiendo ser de IT y solicita acceso para arreglar el problema. Este es un tipo de ingeniería social mucho más avanzado. Sin embargo, con una gran planificación e investigación, puede dar al hacker una buena oportunidad de obtener información valiosa.

¿Cómo se puede proteger el negocio?

Una vez que los hackers tienen acceso a su sistema, pueden tener acceso a sus documentos confidenciales. Ya sea datos de contacto del cliente o prototipos de productos.

Así que cuando los hackers se dirigen específicamente a personas dentro de una organización, la tecnología y el departamento de Sistemas puede ayudar hasta cierto punto.

Hay que comenzar por probar el sistema actual para detectar vulnerabilidades y puntos débiles que podrían ser explotados. Además, asegurarse de que los sistemas están siendo monitorizados 24×7, en particular, de que la información más valiosa y sensible está protegida.

Los servicios contra el spam y los antivirus pueden ayudar a defender su red contra el phishing, el spoofing, los virus, el spyware y los ataques de denegación de servicio (DoS). Los registros de auditoría también pueden ayudarle a hacer un seguimiento del comportamiento de los usuarios en la red. Por ejemplo, cuando una persona intenta acceder a una sección no autorizada, el sistema lo registrará en la pista de auditoría.

Un elemento clave de protección, sin embargo, proviene de educar adecuadamente a los empleados. La ingeniería social se está desarrollando rápidamente y el elemento humano sigue siendo vulnerable porque esta técnica esencialmente manipula la confianza. La protección de la red requiere una política de seguridad integral. Debe cubrir aspectos como la solidez de las contraseñas, la divulgación de información confidencial y las medidas de seguridad física, entre otros. Hay que asegurarse de dar las políticas a todos los usuarios y les das formación para que entiendan por qué es necesario el cumplimiento. Una cultura de seguridad significa que las amenazas potenciales se harán notar entre los empleados. Podrán tomar la decisión correcta en materia de seguridad, incluso cuando la solicitud de información parezca muy realista.

También es necesario contar con procesos de negocio para que cuando se reciban solicitudes de información se sepa qué tipos deben dar señales de alerta. Después de todo, no todas las llamadas del servicio de asistencia de TI que soliciten tu información de acceso van a ser un hacking. Los procesos correctos son diferentes para cada empresa, pero deben contener múltiples rutas de autorización.

Imagen de portada de Pete Linforth en Pixabay