¿Cómo combatir la ingeniería social?

Cuando hablamos de ingeniería social realmente hablamos de persuasión, de la capacidad de valerse de la buena voluntad y de la falta de precaución de la víctima.

¿Cuál es su objetivo?

Obtener información: contraseñas, cuentas bancarias, o cualquier dato privado que pudiera ser de interés. En algunas ocasiones esta información es utilizada posteriormente para realizar otro tipo de ataques más sofisticados, en otras ocasiones se vende al mejor postor.

¿Cómo lo hacen?

Suelen hacerse pasar por algún responsable, persona o empresa conocida, para ganarse la confianza de las víctimas. Los medios que suelen utilizar para persuadir suelen variar. Puede ser una visita presencial o una llamada telefónica.



Pero también usan el correo electrónico, las redes sociales o incluso un SMS. Suele ser bastante habitual cuando navegamos por páginas web y se presenta algún tipo de ventana emergente como supuestas peticiones de inicio de sesión legítimas, o incluso nos alertan sobre algo para que hagamos clic sobre un enlace para solucionarlo o ver más información.

¿Cómo proteger mi empresa frente a este tipo de técnicas?

Para protegerse de estas técnicas, la formación y concienciación es una pieza fundamental para saber distinguir estos tipos de mensajes.

En el siguiente video, se muestra el ejemplo de una empresa de marketing y diseño de cartelería, que sufre un ataque de ingeniería social. El empresario de esta pyme nos explica como los cibercriminales, suplantando por correo electrónico la identidad de su servicio externo de mantenimiento, logran hacerse con las credenciales de su programa de contabilidad. Esto tuvo graves consecuencias económicas para su pequeño negocio.

Su visión ha sido estratégica, con la adopción de un Plan Director de Seguridad, que va mucho más allá de un mero plan de concienciación y formación interno, pero que sin duda alguna será mucho más efectivo para proteger su principal activo: la información.

Completando las buenas prácticas destinadas a concienciar y formar al personal en materia de seguridad, existen algunas medidas específicas para este tipo de ataques de ingeniería social:

• No abrir correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
• No contestar en ningún caso a los mensajes sospechosos.
• Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en Whatsapp o redes sociales, aunque sean de contactos conocidos.
• Tener precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en Whatsapp o en redes sociales, aunque sean de contactos conocidos.
• Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
• Verificar la seguridad de las páginas web donde introducimos datos personales. Deben utilizar certificado de seguridad y utilizar el protocolo HTTPS.
• Verificar la seguridad de las redes wifi públicas a las que nos conectamos. En caso de dudas, no compartir información confidencial ni introducir credenciales de usuario o contraseñas que puedan ser robados.
• Escribir las URL manualmente, en vez de usar los enlaces de los mensajes sospechosos.

Pero, permitidnos que te insistamos, si aún no te has enterado: ¡La principal forma de protegerse de las técnicas de la ingeniería social, pasa por la concienciación y formación.

Fuentes:  https://www.incibe.es/protege-tu-empresa/blog/combatir-ingenieria-social-este-empresario-nos-cuenta