Cómo proteger tu negocio contra los ataques de ingeniería social

Una de las tácticas más efectivas utilizadas por los ciberdelincuentes no es técnica ni sofisticada en su naturaleza. Se trata de la ingeniería social, específicamente de cómo engañar y manipular a las personas para que revelen información sensible. Esta es la base de los ataques de phishing y otras campañas maliciosas que logran convencer a las personas de caer en una estafa. Un informe publicado el jueves por el proveedor de VPN empresarial NordVPN Teams examina tres tipos diferentes de ataques de ingeniería social y ofrece consejos sobre cómo combatirlos.

Según NordVPN Teams, los ataques de ingeniería social aumentaron durante la primera mitad de 2020. A principios de este año, el FBI informó que hasta el 28 de mayo había recibido casi la misma cantidad de denuncias sobre ataques de ingeniería social que en todo 2019. El Informe de Investigaciones sobre Violaciones de Datos de Verizon 2020 encontró que la ingeniería social ahora representa más de dos tercios de todos los ciberataques, con un 96% de ellos realizados a través de phishing.

En su informe, NordVPN Teams identificó tres vectores de ataque diferentes que involucran la ingeniería social.

Índice de Contenido
  1. Phishing
  2. Pretexto
  3. Ataques de cebo y quid pro quo
  4. Cómo proteger a tu empresa contra estos ataques

Phishing

El tipo más común de ataque de ingeniería social, las campañas de phishing utilizan correos electrónicos, mensajes de texto y sitios web para estafar a sus víctimas. Estos ataques funcionan al hacerse pasar por una referencia familiar o una fuente de confianza, engañando a alguien para que revele información personal sensible o entregue dinero. Estas campañas generalmente comienzan convenciendo al receptor de hacer clic en un enlace malicioso en el correo electrónico o mensaje.

"Los delincuentes pueden engañar a una persona haciéndose pasar por un negocio legítimo o una agencia gubernamental", dijo Juta Gurinaviciute, CTO de NordVPN Teams, en el informe. "Por ejemplo, podrías recibir un correo electrónico pidiendo donaciones que supuestamente proviene de una organización sin fines de lucro, o una llamada telefónica de tu banco solicitando tu número de seguridad social".

Pretexto

En este tipo de ataque, los ciberdelincuentes crean y utilizan una identidad falsa para convencer a las personas de proporcionar información privada. Como ejemplo, un atacante podría hacerse pasar por un proveedor de servicios de TI que solicita los detalles de la cuenta y las contraseñas de la persona para ayudarlos a resolver un problema técnico.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

"La realidad es que los ciberdelincuentes constantemente intentan manipular su camino hacia ubicaciones digitales seguras", dijo Gurinaviciute. "A menudo comienza con un amistoso 'Hola' y termina con empresas perdiendo miles, a veces millones, de dólares".

Ataques de cebo y quid pro quo

En un ataque de cebo, los ciberdelincuentes tentan a sus víctimas prometiendo algo, como una descarga gratuita o consejos sobre COVID-19. En realidad, la descarga es probablemente un archivo malicioso diseñado para infectar el sistema de la persona.

Un ataque de quid pro quo es similar. Pero en lugar de ofrecer algo de valor, el atacante promete realizar una cierta acción a cambio de una acción por parte de la víctima. Como ejemplo, el atacante podría llamar a diferentes extensiones en una organización haciéndose pasar por alguien que devuelve una llamada sobre soporte técnico.

"El ataque de quid pro quo más común ocurre cuando un hacker se hace pasar por un miembro del personal de TI en una gran organización y luego les ofrece algún tipo de actualización o instalación de software", dijo Gurinaviciute. "Fingen estar ayudando, pero instruyen a las víctimas a realizar acciones que comprometerán su máquina".

Cómo proteger a tu empresa contra estos ataques

Para proteger a tu organización contra los ataques de ingeniería social, NordVPN Teams ofrece varios consejos.

  • Conciencia de seguridad. Una forma de reducir la amenaza de los ataques de ingeniería social es colocar la conciencia de seguridad en la parte superior de tu agenda. Los datos confidenciales, la propiedad intelectual y los sistemas digitales son tan seguros como los usuarios más débiles de tu organización. Sin un programa de conciencia de seguridad, tus estrategias de gestión de riesgos no serán tan efectivas.
  • Autenticación multifactor (MFA). Incluso con medidas de seguridad como software antivirus, firewalls, tecnología de encriptación y pruebas regulares de vulnerabilidad, un atacante aún puede comprometer cuentas y datos si no tienes algún tipo de MFA en su lugar.
  • Privilegios de no tener una posición fija. Gartner recomienda adoptar privilegios de no tener una posición fija como parte de tu postura de seguridad. Con este método, a un usuario se le otorgan derechos de acceso a un sistema, archivo u otro activo solo para una tarea específica y solo durante el tiempo necesario para completar esa tarea. Después, esos derechos se revocan. Incluso si un ciberdelincuente compromete las credenciales del usuario, no obtendrán acceso a ningún activo sensible.

"La ingeniería social y el software sin parches seguirán siendo las dos causas principales de explotaciones exitosas, como lo han sido durante más de 30 años", dijo Gurinaviciute. "Los ciberdelincuentes aprovechan la inestabilidad, razón por la cual los ataques de ingeniería social están en aumento durante COVID-19".

Cómo proteger tu computadora de los virus: métodos y consejos

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo proteger tu negocio contra los ataques de ingeniería social , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.