Ingeniería Social, poderosa estrategia de infección de cibercriminales

Por Redacción IT Business Solutions

ITBS-Ingeniaria-SocialLa seguridad informática no es sólo  un asunto que recae en la aplicación de tecnologías, lo cierto es que los usuarios tienen un alto grado de responsabilidad en el resguardo de la información. Un correo electrónico, mensaje en redes sociales, una llamada con información relevante al comportamiento digital una persona, es una oportunidad para los cibercriminales de infectar los equipos de cómputo de los usuarios.

La ingeniería social, de acuerdo con el Equipo de Respuesta ante Emergencias Informáticas en México (CERT, por sus siglas en inglés), es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas como obtener información, acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo). Además, se sustenta en un sencillo principio: “el usuario es el eslabón más débil”.

Hoy los datos críticos siguen moviéndose a la nube, el malware evoluciona constantemente y a pesar de las grandes inversiones que se hacen en tecnologías, los controles de seguridad tradicionales han demostrado ser ineficaces.

Los empleados siguen representando un eslabón débil en la seguridad de la empresa. Sin el entrenamiento y la conciencia adecuada, esta brecha puede volverse cada vez más grande, creando espacios abiertos a través de los cuales los hackers pueden explotar y vulnerar a la empresa.

Información pública

Facebook, YouTube, Google, Twitter y sitios web, son las principales de fuentes de información pública de los cibercriminales. Al establecer un objetivo en particular, los expertos realizan un exhaustivo análisis de la información y con ello idean todos los vectores de ataque  para infectar los sistemas.

Guía definitiva sobre Ciberseguridad

Diego Samuel Espitia, Chief Security Ambasador de ElevenPaths en Colombia, explica en un video el poder de OSINT (Open Source Intelligence), herramientas en la web con las  que cualquier persona puede ingresar para investigar todo lo relacionado con personas, empresas, direcciones de correo, ubicaciones de equipos de cómputo.

“Esa información pública, es la que usan los delincuentes para el envío de ingeniería social dirigida. Que no es más que un correo, un mensaje o un sitio web con información apegada a las preferencias y gustos de las personas y que sin duda caerá”, asegura Diego Espitia.

Es importante que los empleados reciban la información adecuada sobre las amenazas más recientes, así como las responsabilidades que tienen en la empresa como parte de la política de seguridad.

En el caso de empresas, al tratarse de ataques dirigidos, los cibercriminales se toman el tiempo para investigar si el tipo de información que buscan la pueden obtener accediendo a un área o departamento particular o a través de una sola persona.

Las técnicas o herramientas a utilizar se definirán con base en ello para entender a qué es susceptible el o las personas y diseñar técnicas de ingeniería social más o menos sofisticadas, según sea el caso.

De esta manera, los perímetros de la seguridad tradicionales se están difuminando y volviendo obsoletos. Por lo tanto, en lugar de concentrarse en levantar muros más grandes, la industria necesita tener mejor visibilidad. Entender cómo, cuándo y por qué la gente interactúa con los datos críticos, sin importar en qué lugar se encuentren estos,  es crucial.

Los ciberdelincuentes intentarán todo tipo de métodos para obtener sus datos y uno de los más exitosos es la ingeniería social ya que adopta muchas formas. Los especialistas estudian detenidamente a su objetivo para entenderlo y descubrir alguna vulnerabilidad o debilidad.

La diferencia entre los ataques que reciben las empresas y los usuarios es el nivel de complejidad en el armado de la ingeniería social. Sea siempre cauteloso al hacer clic en cualquier enlace de un mensaje de correo electrónico que no esperaba. Esto incluye mensajes de email de las personas que conoce, ya que pueden haber sido infectados y no se dan cuenta de que están enviando malware.

Verdaderos costos de la mala seguridad

Redacción IT Business Solutions

Escrito por Redacción IT Business Solutions

Somos un grupo de especialistas que busca ofrecer las mejores soluciones a los tomadores de decisiones del mundo de las TI empresariales, para los requerimientos más elementales.