Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Elisa Sánchez, Responsable del Departamento de Formación de Áudea Seguridad de la Información

¿Conoces las nuevas técnicas de ataques de los ciberdelincuentes?

La ingeniería social se basa en la interacción humana y está impulsada por personas que usan el engaño con el fin de violar los procedimientos de seguridad que normalmente deberían haber seguido en su empresa o en su vida personal. La finalidad es siempre la misma: robar información y usarla en su contra.

Como todos sabemos, la información es el activo más importante tanto para una empresa como para una persona, por lo que una vez que un ciberdelincuente ha conseguido acceder a la misma y la tiene en su poder, es imposible cuantificar las pérdidas económicas o el daño reputacional que puede causar.

Ataques comunes

A continuación se muestran los ataques más comunes destinados al eslabón más débil: las personas.

  • Phishing: el envío de correos electrónicos es la forma más habitual de realizar un ataque de ingeniería social. Un empleado recibe un email, lo abre e interactúa con él, pinchando en los iconos o enlaces incluidos en el mismo. En la actualidad se utilizan emails en los que se incluye un fichero adjunto con un malware denominado ransomware. En estos casos, el usuario descarga el fichero adjunto y se ejecuta un código malicioso que cifra todos los archivos del ordenador, produciéndose una pérdida total de los datos (en el caso de no poseer una copia de seguridad). En otras ocasiones los emails no contienen ficheros dañinos y lo que buscan es que las víctimas introduzcan datos privados como contraseñas o números de tarjetas bancarias.
  • Smishing: son pruebas con mensajería instantánea o SMS que están cobrando cada vez más relevancia debido a la popularización de este tipo de comunicaciones. Los cibercriminales han decidido adaptar los métodos utilizados en los emails mandando direcciones URL acortadas a través de aplicaciones de mensajería instantánea como WhatsApp o Skype. En la mayoría de los casos, los mensajes utilizados suelen pertenecer a sorteos o distribuyen un bulo para ganarse la confianza de la víctima.
  • Distribución de memorias USB: este ataque consiste en el abandono intencionado de un dispositivo de almacenamiento USB, en lugares fáciles de encontrar por la víctima,con un fichero malicioso para la recolección de datos privados. Este método utiliza dos de las mayores debilidades del ser humano: la curiosidad y la codicia. Y una vez que la víctima abre el fichero contenido en el dispositivo, se recoge información privada o se infecta el dispositivo con un malware.
  • Código QR malicioso: este ataque consiste en el escaneo de un código QR, ya que la víctima no sabe a dónde le lleva el mismo. Es posible que la víctima sea redirigida a una página maliciosa o bien provocar una instalación de una aplicación fraudulenta en el dispositivo móvil.
  • Rogue AP WiFi: este ataque consiste en crear puntos de acceso falsos con mensajes atrayentes para las víctimas como "WiFi gratis"o con el nombre similar al de una red legítima de todos aquellos usuarios que se conecten a la Red, pudiendo interceptar toda la navegación/datos de la víctima.
  • Vishing: esta táctica consiste en una llamada telefónica. Por ejemplo,dependiendo del puesto que ocupe la víctima en una compañía, el ciberdelincuente intentará conseguir información más o menos confidencial. Este tipo de ataques también se da mucho en el entorno personal, por ejemplo, simulando ser un empleado de una entidad bancaria o de una compañía telefónica para así obtener información privada de los usuarios.
  • Test de intrusión física: esta forma de ataque consiste en aprovecharla cortesía de la mayoría de las personas en una situación que, a priori, puede parecer inofensiva. Por ejemplo, sujetar una puerta puede provocar que un atacante acceda a una zona restringida. El objetivo principal es el acceso físico a un edificio de una compañía para conocer las distintas ubicaciones del mismo o bien observar detalles como los pósits con contraseñas que suelen pegarse en los monitores.

Tal y como se ha descrito, existen multitud de formas de ser víctima de un ataque de ingeniería social, bien como usuario particular o bien como empleado de una compañía. Por dicho motivo es muy importante conocer cada una de las posibilidades que existen para evitar ser afectados por un atacante.

Concienciación

Y además de tener esta alerta y mil ojos, ¿qué podemos hacer? Estamos en la era de las tecnologías,todo avanza muy deprisa y debemos prepararnos para reducir riesgos y minimizar los incidentes de seguridad. Por ello, cada vez cobra más importancia la concienciación en ciberseguridad.

¿Sabías que más del 80 por ciento de los ciberataques podría evitarse? Estos ataques son debidos al agujero más grande, el eslabón más débil de la cadena de la ciberseguridad: el usuario/empleado.

Los departamentos de TI invierten gran parte del presupuesto en implementar soluciones de seguridad. Estas son necesarias, pero para minimizar los riesgos es preciso generar una cultura de ciberseguridad entre los trabajadores. Y para lograrlo no podemos conformarnos con instalar un antivirus; necesitamos establecer un plan estratégico de concienciación adaptado totalmente a las necesidades de cada compañía.

Este plan debe ser continuado en el tiempo, puesto que con una acción es muy complicado generar una cultura de ciberseguridad. Y también deben adaptarse los contenidos a los diferentes roles que se identifiquen dentro de una compañía,utilizar diferentes recursos consiguiendo llamar la atención del usuario y, por supuesto, establecer controles de efectividad para mejorarlo a lo largo del tiempo.

El poco tiempo, la falta de disponibilidad de los empleados para realizar formaciones presenciales y el presupuesto son algunos de los problemas a los que muchas empresas se enfrentan cuando deciden realizar concienciaciones masivas. Pero hoy en día, estos no deben ser motivos para no llevar a cabo un plan.

Existen muchos y muy diversos recursos que solventan dichos inconvenientes, como por ejemplo:

  • E-learning: cursos, píldoras, gamificación,etc., focalizados en temáticas concretas.
  • Pruebas de ingeniería social en las que, a través de técnicas de engaño controladas, se lanzan campañas simulando las acciones de un auténtico ciberdelincuente, consiguiendo un impacto directo y generando entre los empleados una mayor predisposición para la concienciación.
  • Material digitalizado: salvapantallas,noticias relacionadas con el mundo de la seguridad, infografías, vídeos, descargables con viñetas, etc.
  • Live Hacking: taller en el que se realizan ataques en directo demostrando lo vulnerables que somos cuando utilizamos diferentes sistemas tecnológicos en el día a día, así como los riesgos a los que expone a la compañía si no se aplican buenasprácticas en seguridad.
  • Security Day: dedicar un día a la ciberseguridad en el que se realicen talleres, juegos, etc.
  • Otros recursos: cartelería, dípticos,decálogos, guías de buenas prácticas, merchandising con recomendaciones, etc.

Desde Áudea ofrecemos nuestro apoyo para bloquear y levantar una barrera frente los ciberdelincuentes y reducir las posibilidades de ser víctima de un ataque.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual