¿Qué es la ingeniería social y qué deben tener en cuenta las empresas?
¿Qué es la ingeniería social y qué deben tener en cuenta las empresas? La ingeniería social es un método en el que los estafadores utilizan técnicas de manipulación psicológica. Pretenden persuadir a las personas para que les revelen información confidencial o lleven a cabo determinadas acciones. Para ello, suelen aprovecharse de la disposición natural de los empleados a ayudar o de su confianza en la autoridad. Los atacantes se disfrazan de personas de confianza, como directivos, colegas o representantes de empresas reputadas. Incluso entre amigos y conocidos, existe el riesgo de que datos sensibles caigan en las manos equivocadas. En un chat de las redes sociales, puede crearse rápidamente una base de confianza sobre la que compartir información confidencial de forma descuidada.
Los métodos de ingeniería social son diversos y van desde correos electrónicos de phishing, sitios web falsos hasta llamadas telefónicas o contacto personal directo. Los autores intentan engañar a sus víctimas para que revelen contraseñas, información bancaria u otros datos confidenciales. También existe el peligro de instalar software malicioso.
Los ataques suelen ser furtivos y se planifican y ejecutan cuidadosamente durante un largo periodo de tiempo. Un ejemplo de esta estrategia de ingeniería social a largo plazo es el ataque «fuera de la oficina»: en una empresa se identificó inicialmente a personas clave. Cuando un empleado estaba de vacaciones, se le pidió por teléfono que abriera un determinado documento. El documento contenía un software malicioso que infectó el ordenador. A lo largo de varios meses, se infectaron sucesivamente otros ordenadores y se manipularon copias de seguridad, que se ejecutaron pero no guardaron ningún dato. El ataque final de ransomware fue un éxito total desde el punto de vista de los atacantes.
Nuestra guía para las empresas:
- Crear conciencia: Los empleados deben ser conscientes de los distintos métodos de ingeniería social. Entre ellos se incluyen el phishing, el pretexto, el señuelo y el ataque quid pro quo. Ejemplo: Un empleado recibe un correo electrónico que parece proceder del departamento de informática y le pide que actualice su contraseña. La concienciación sobre el phishing les ayuda a reconocer que el correo electrónico contiene una URL falsa.
- Ofrezca formación: La formación periódica puede ayudar a concienciar sobre las tácticas de ingeniería social y a preparar a los empleados sobre cómo responder. En una sesión de formación, se lleva a cabo un juego de rol. Un empleado aprende cómo responder a las llamadas telefónicas cuando se le solicita información confidencial, como datos bancarios.
- Establezca directrices de seguridad: Es esencial contar con políticas y procedimientos claros para el manejo de la información confidencial y el acceso a los sistemas de la empresa. Solución sugerida: La empresa introduce una política. Los documentos confidenciales sólo se comparten a través de canales seguros y no se envían por correo electrónico a direcciones externas.
- Introduzca procesos de verificación: Se debe instruir a los empleados para que verifiquen las identidades antes de compartir información o conceder acceso. Un proceso sencillo puede hacer maravillas. Se instruye a un empleado para que devuelva siempre la llamada si recibe una llamada solicitando información sensible. Esto permite confirmar la identidad de la persona que llama a través de un número oficial conocido.
- Refuerce la seguridad física: Medidas como llevar insignias y asegurar los puntos de acceso pueden ayudar a evitar accesos no autorizados. Si se instala un escáner de código de barras o de código QR en la entrada de los edificios de oficinas, sólo se permitirá la entrada a las personas que dispongan del código de acceso adecuado.
- Utilice medidas técnicas de protección: Los cortafuegos, los programas antivirus y las actualizaciones periódicas pueden evitar los ataques técnicos que a menudo implican ingeniería social.
Es importante que su organización dé prioridad a los métodos de prevención de la ingeniería social como componente central de su plan de ciberseguridad. Combinando medidas de seguridad técnicas y humanas, su organización también puede reducir su vulnerabilidad a este tipo de ataques. La Oficina Federal Alemana de Seguridad de la Información ofrece más información al respecto: Social Engineering – the «Human Factor»