Estamos a punto de dejar atrás un año que como su antecesor ha estado plagado de ciberataques. La actividad de los ciberdelincuentes ha sido frenética dirigiendo sus ataques a empresas de todos los tamaños y a todo tipo de usuarios. Este panorama hace muy necesaria la toma de conciencia de la importancia que tiene prevenir un ciberataque, ya que tal y como apunta el informe de Verizon de 2021 el factor humano se encuentra involucrado en el 85% de las brechas de seguridad, siendo la ingeniería social el patrón que más se repite.
Términos como correo basura, o spam, suplantación de identidad o phishing ya son conocidos entre todos. Además, son ejemplos de cómo reacciones emocionales de los usuarios pueden usarse mal. El correo basura se envía normalmente en correos electrónicos, pero también se puede entregar a través de mensajes instantáneos, SMS y redes sociales. En el sentido estricto de la palabra, el correo basura no es un método de ingeniería social, pero puede incluir suplantación de identidad, phishing de objetivo definido, la suplantación telefónica del vishing y también métodos como el smishing, la suplantación por SMS, o divulgación de ficheros adjuntos o enlaces malintencionados.
En este sentido, desde ESET España, hemos preparado una serie de consejos e información útil para ayudar a que los usuarios y empresas estén preparados ante lo que llamamos “ingeniería social”, es decir, el factor humano que se encuentra involucrado en las brechas de seguridad.
El peligro del phishing
La suplantación de identidad, o phishing, es una de las formas de ingeniería social que se utilizan con más frecuencia. En este caso, el ciberdelincuente se hace pasar por una entidad de confianza que solicita información confidencial de la víctima. Pero hay mucho más que hay que vigilar e ir con cuidado.
El mundo de la ingeniería social es muy variado por ejemplo nos encontramos con el scareware es un software que utiliza varias técnicas para crear ansiedad y forzar a las víctimas a instalar código malintencionado en sus dispositivos, por ejemplo productos antivirus falsos, la sextorsión que intenta chantajear a las víctimas asegurando que tienen información comprometida o las estafas de asistencia técnica que son falsos servicios de asistencia técnica que se ofrecen a través de llamadas telefónicas o en un fraude en la web.
Cómo proteger a tu empresa contra la ingeniería social
Las empresas trabajan diariamente con Internet, que se ha convertido en una herramienta esencial. En este sentido, en ESET os contamos las principales claves para reconocer las técnicas de ingeniería social y evitar convertirnos en una de sus víctimas.
Algunas señales que nos pueden ayudar surgen al preguntarnos: ¿El texto contiene errores, mala ortografía y expresa mucha urgencia? ¿Hay algo raro en la dirección del remitente? ¿Es alguien a quien no conoces que te pide información personal tuya o tu contraseña? ¿Te da la sensación de que el mensaje intenta llevarte a actuar sin cuestionarte nada? ¿La oferta que se hace en el correo electrónico es demasiado buena para ser verdad?
Para hacer frente a los peligros en la red, la compañía experta en ciberseguridad ofrece varias sugerencias para ir siempre un paso por delante de los ciberdelincuentes:
1. Formar a los empleados
Como las técnicas de ingeniería social se basan en una baja concienciación sobre ciberseguridad en sus empresas objetivo, las formaciones periódicas en ciberseguridad son importantes para toda la empresa, tanto para el personal de TI o de alta dirección como de otros departamentos. Durante la formación, es importante que se intente incluir situaciones de la vida real. Así se pueden imaginar situaciones concretas y aprender de ellas. Además, es necesario que los empleados conozcan y entiendan la política de seguridad de la empresa y saber qué pasos hay que dar cuando se entra en contacto con la ingeniería social.
2. Mantén las contraseñas bajo control
Es imprescindible contar con una política de contraseñas potente. Buscar contraseñas fuertes y considerar también utilizar otra capa de seguridad mediante la implementación de una autentificación multifactor.
3. Utiliza soluciones de seguridad adecuadas
Otra manera de mejorar la seguridad puede ser la implementación de soluciones técnicas para atajar comunicaciones con estafas. En esos casos, se pueden detectar, poner en cuarentena, neutralizar y eliminar el correo basura o los mensajes de suplantación de identidad. Mejorar la protección y usar herramientas que permitan a los administradores de TI tener visibilidad total y la capacidad de detectar y mitigar amenazas potenciales en la red.