Ciberataques

¿Qué es la ingeniería social?

En cualquier cadena de seguridad, los humanos son generalmente el eslabón más débil. Aunque las máquinas también puedan ser engañadas, las personas son muy susceptibles de ser víctimas de tácticas manipuladoras. A estas prácticas se las conoce como ingeniería social.

Los ciberdelincuentes han desarrollado muchos tipos de ingeniería social para tener acceso a información confidencial y robar datos, dinero y otros bienes.

En este vídeo se explica que es la ingeniería social y las técnicas para evitarla.

¿Cómo funciona?

Al tratar de engañar a las personas para que actúen en contra de los intereses de ciberseguridad de su organización, los ciberdelincuentes suelen utilizar estrategias como las siguientes:

  • Simpatía: Parecer fiable o simpático para generar confianza.
  • Reciprocidad: Ofrecer valor, como gangas o consejos que crean una sensación de obligación.
  • Compromiso/urgencia: Hacer que las personas asuman un compromiso antes de que los riesgos sean evidentes.
  • Pruebas sociales: Simular que los amigos de la víctima avalen la actividad para generar confianza.
  • Autoridad: Fingir ser alguien con poder para intimidar a una persona para que haga una acción.

La finalidad

  • La finalidad de los ciberdelincuentes es extender una trampa a las personas por:
  • Obtener datos confidenciales tales como contraseñas o datos personales.
  • Obtener datos financieros como números de cuentas, tarjetas de crédito o firmas electrónicas bancarias.
  • Infectar ordenadores y tomar su control para pedir un rescate económico.

Cómo evitarlos

1.- Analizar el origen del correo electrónico o de la llamada telefónica.

  • Verificar la fuente del correo a través de la web del cliente o proveedor.
  • Contrastar el correo con otros correos recibidos del propio remitente.
  • Ver si el número de teléfono desde el que llaman es del cliente o proveedor.

2.- Sospechar de correos electrónicos urgentes donde nos soliciten.

  • Que abramos un archivo adjunto (facturas, albaranes, .exe. zip. etc.).
  • Que hacemos clic sobre un enlace.
  • Que facilitemos datos bancarios o personales.
  • El pago urgente de facturas.
  • El cambio de número de cuentas para que paguemos las facturas en otros bancos y cuentas distintas de las autorizadas.

3.- Sospechar de llamadas telefónicas donde nos digan que han hablado con el responsable de la empresa y que éste autoriza verbalmente.

  • El pago en otra cuenta bancaria.
  • El envío de información confidencial.

4.- No tener prisa a la hora de contestar.

5.- Si algo parece demasiado bueno para ser cierto, seguramente sea falso.

6.- Nunca abra los correos electrónicos de este tipo y no conteste nunca por correo electrónico.

  • Es muy posible que el ciberdellicente esté leyendo los correos que enviamos y recibimos.

7.- Llamar de forma inmediata por teléfono al remitente.

  • Si tenemos un correo enviado por nuestro banco, debemos llamar por teléfono para preguntar al responsable sobre la realidad de la información y que nos envíe la confirmación a otra cuenta de correo diferente.
  • Si algún proveedor nos pide un cambio de la cuenta de pago de una factura, es necesario llamar por teléfono para confirmar la información y que nos envié la respuesta a otra cuenta de correo diferente.

8.- Tener el antivirus y el software del ordenador actualizado.

9.- Llamar al responsable de informática y explicarle lo ocurrido.

10.- Tener activado el doble factor de autenticación.

11.- Cambiar la contraseña con frecuencia.

12.- Contrastar la información de forma verbal.

  • Ante cualquier sospecha, antes de actuar debe contrastarse verbalmente con el responsable, muchos de estos ataques se aprovechan de que la persona que recibe el correo actúa sin hablar previamente con el responsable.

¡SENTIDO COMÚN!