Uno de los objetivos principales de la ingeniería social en el ámbito empresarial es acceder a a los sistemas de información de las compañías de forma clandestina. Los ciberdelincuentes se han marcado como objetivo a las personas que forman parte de las organizaciones, sin importar el puesto que ocupen en la misma. Por ello, es importante saber identificarlos y aplicar medidas para no caer en estos engaños y evitar así que nuestra empresa se vea involucrada, detectando el fraude.
Dentro del contexto de la ciberseguridad, el Instituto Nacional de Ciberseguridad (INCIBE) define la ingeniera social como la manipulación psicológica que tiene como finalidad que un usuario haga clic en un enlace que infecte su equipo y que releve información confidencial.
El principal método utilizado para llevar a cabo los ataques basados en ingeniería social es el correo electrónico, ya sea el corporativo o el personal. De esta forma, el INCIBE afirma que los ciberdelincuentes utilizan todo tipo de emails: desde Phishing (que trata de obtener los credenciales) o Spoofing (que su la identidad del remitente) hasta los que contienen enlaces a páginas falsas o aquellos que incitan a descargar un archivo malicioso.
Cada ciberataque de ingeniería social es único, pero comparten características que hacen que el ciclo de vida sea igual para todos. Este ciclo está formado por un total de cuatro fases:
- Recolección de información: esta fase también se conoce como footprinting. El ciberdelincuente acumula toda la información posible sobre la persona o personas que van a engañar para conocer así sus interacciones y relaciones. Se trata de una fase previa al engaño y se recopila la siguiente información:
- Listas de empleados, números de teléfono, correo
- Organigrama de la empresa
- Nombres de departamento, gabinetes, equipos de trabajo..etc.
- Proveedores de servicios tecnológicos, suministradores de material y otro tipo de proveedores como bancos
- Ubicación física
- Establecimiento de una relación de confianza: una vez recolectada la información, el atacante entablará una relación más cercana con la víctima.
- Manipulación: el ciberdelincuente ejercer la manipulación psicológica aprovechando la confianza ganada en la fase anterior. El objetivo será sonsacar todo tipo de información confidencial que será utilizada para entrar en el sistema. Otro de los objetivos es conseguir que se realice una determinada acción.
- Salida: una vez extraída la información, el atacante hará todo lo que esté en su mano para impedir que cualquier tipo de sospecha pudiera recaer sobre él. Para ello, se asegurará de no dejar pruebas que pudieran relacionarle. De esta forma, en un futuro podrá seguir entradas al sistema para continuar explotando su fuente de información.
¿Cómo luchar contra la ingenieria social?
Protege tu Empresa es el canal que INCIBE ha puesto en marcha para transmitir que la mejor forma de protegerse contra este tipo de engaños es a través de la formación y concienciación de los empleados. La ingeniería social no basa su engaño en aspectos tecnológicos sino en las personas, es decir, en los trabajadores de una organización.
La mejor manera de combatir este tipo de amenazas es la concienciación de todos los empleados de una empresa, con independencia de su responsabilidad o el cargo que ostente dentro de la empresa. Desde Protege tu Empresa, el INCIBE pone a disposición de las empresas diferentes iniciativas gratuitas para garantizar la seguridad de las compañías:
- Kit de conienciación: herramienta para lanzar un plan de concienciación inicial para empleados mediante recursos gráficos, elementos interactivos y ataques dirigidos para entrenarse contra este tipo de amenazas
- Hackend, se acabó el juego: serious game para aprender jugando, poniéndote en la piel de su protagonista, un empresario al que le suceden todo tipo de percances de ciberseguridad y al que ayudarás a descubrir al ciberdelincuente.
- Formación sectorial: en forma de cortos vídeos interactivos para empresas de sectores de la industria, construcción, salud, ocio, educación, comercio minorista y mayorista, logística, asociaciones y servicios profesionales. En ellos descubrirás todo tipo de amenazas y medidas preventivas para las situaciones de seguridad más comunes en las empresas de tu sector.
La formula adecuada para protegerse frente a un ataque basado en ingeniería social es saber cómo funcionan. Lo cierto es que los empleados de las empresas son la parte más importante de la cadena de ciberseguridad de una compañía.
La ingeniería social será uno de los temas que se tratarán en Plataforma de Negocio, el evento profesional que tendrá lugar en Barcelona los días 2 y 3 de junio en el CCIB. Ya puedes inscribirte de forma gratuita para formar parte de este cita única.