Cuando hablamos de ciberataques, con total seguridad nos imaginamos a expertos informáticos delante de sus múltiples pantallas, haciendo gala de unas habilidades y conocimientos técnicos impresionantes, tecleando comandos ininteligibles a la velocidad de la luz…
Pero cuanto más nos alejamos de Hollywood y más nos acercamos a la realidad, menos probable es que los ciberataques tengan algún parecido con esas imágenes.
En la gran mayoría de los ciberataques que ocurren en todo el mundo, antes o después, en mayor o menor medida, es necesaria la intervención de una persona con acceso previo al objetivo del ataque.
En ocasiones puede tratarse de un ataque perpetrado desde la misma organización, pero casi siempre se trata de una acción realizada a consecuencia de un engaño por parte de los atacantes. A los subterfugios empleados para conseguirlo se les considera “Ingeniería Social”, y su gran efectividad reside precisamente en el hecho de que puede llegar a ser efectiva sin importar la complejidad de los despliegues técnicos de los que dispongamos.
La naturaleza humana nos hace errar, especialmente cuando no tenemos los hábitos adecuados aprendidos. Por increíble que nos parezca, ayudar está en nuestra naturaleza, “todo el mundo es bueno”, y la ingeniería social trata de explotar esta debilidad humana de ayudar al prójimo.
Los ataques no siempre lo parecen
En algunos casos los ataques que emplean la ingeniería social son muy burdos, aleatorios y genéricos. Seguro que tod@s habéis recibido más de una vez un correo de un príncipe nigeriano, que desea entregaros parte de su fortuna, pero necesita validar el número de vuestra cuenta corriente por medio de un pago… o tal vez habéis valorado abrir un documento o formulario para una supuesta oferta de trabajo.
Pero en otras ocasiones, los atacantes pueden pasar mucho tiempo recabando datos sobre su objetivo para de esta manera poder ganarse nuestra confianza, con el fin de convencernos para facilitarle información o realizar acciones que le den acceso a nuestra información.
Hay que tener en cuenta que al contrario de lo que la mayoría de la gente cree, la ingeniería social se aplica por muchos medios más allá del e-mail:
- Por teléfono: Un atacante puede llamarnos y hacerse pasar por un/a compañer@ de trabajo, un proveedor o incluso alguien de un ente público o cuerpo de seguridad.
En nuestras propias instalaciones: “¿Podrías sujetarme la puerta por favor? Es que me he olvidado la tarjeta de acceso…”. ¿Cuántas veces has escuchado algo similar en tu oficina? Cuanto mayor sea nuestra organización más probabilidades hay de que no conozcamos a todos sus empleados y podamos dar acceso de esta manera a la persona equivocada…
- Online: Las redes sociales han conseguido que recopilar información sobre una organización o persona concreta sea más fácil que nunca. Dicha información puede ser muy útil para poder suplantar a alguien o conocer nuestros gustos con el fin de tentarnos posteriormente con ofertas, premios, sorteos, etc…
Del mismo modo, los atacantes sacarán provecho de sucesos relevantes (como la pandemia), eventos deportivos (invitándonos a participar de algún sorteo con entradas o viajes) e incluso valiéndose de nuestros sentimientos, apelando a un instinto humano tan básico como es el de ayudar a los demás (haciéndose pasar por ONG’s o alguien en apuros).
- Desde nuestra propia organización: Es posible que alguna vez recibamos ataques desde dentro de nuestra propia organización. Calma, no estamos diciendo que alguien de nuestra empresa tenga malas intenciones (o tal vez si…).
Los atacantes pueden haber conseguido acceso a una cuenta de correo de algún/a compañer@ y estar llevando a cabo una suplantación. En ocasiones simplemente usan una cuenta de un servicio gratuito como Gmail, pero con el nombre del CEO de la empresa, aprovechándose de nuestra predisposición a responder de manera positiva ante un cargo de autoridad.
Debemos intentar contrastar dicha información por otros medios SIEMPRE antes de actuar.
¿Qué podemos hacer para no convertirnos en víctimas?
Los ataques basados en ingeniería social solo necesitan tener éxito una vez para tener consecuencias bastante graves, y por lo general algunos como el Phishing son bastante fáciles de repetir con relativamente poco esfuerzo.
Aun así, se puede decir que la mayoría de estos ataques no requieren mucho más que una buena dosis de atención y precaución por nuestra parte para ser neutralizados. Por eso os dejamos unos consejos que conviene aplicar en casi todas las comunicaciones que tengamos en nuestro entorno de trabajo:
- Actuemos con calma. Los atacantes quieren que actuemos primero y pensemos después. Si el mensaje recibido implica mucha urgencia o nos presiona para actuar a la mayor brevedad posible, conviene ser escéptic@. No debemos dejar que la urgencia de nuestro interlocutor influya negativamente en nuestro cuidadoso análisis de la situación.
Contrastar la información. Sospechad de cualquier mensaje no solicitado. Si tenemos la menor duda de que sea legítimo, como por ejemplo una oferta o regalo, deberíamos buscar la web original del remitente y tratar de encontrar referencias a dicho mensaje, especialmente si nos solicitan datos o la descarga de algún fichero.
- No permitas que un enlace controle el destino al que llegas. Si recibimos una comunicación con un enlace a alguna web o fichero, en ocasiones el simple hecho de pasar el cursor por encima nos mostrará la dirección real a la que nos lleva, y puede no ser la misma que muestre el propio enlace.
Aunque una buena manipulación puede conseguir incluso ocultarlo, por lo que ante cualquier duda deberíamos tratar comunicar por otro medio con nuestr@ interlocutor/a, para cerciorarnos de que realmente nos han enviado dicho enlace.
- Aplica el sentido común. Cualquier cosa que parezca demasiado buena para ser verdad, probablemente lo sea. Nadie de otro país nos va a legar su herencia. Nadie nos va a dar un numero de lotería premiado por una cantidad menor al premio real, nadie nos va a vender un iPhone de última generación a menos de la mitad de precio… Nadie da “duros a 4 pesetas”.
¿Interesado en ampliar información sobre Ciberseguridad?
Contacta con nosotros y un consultor especializado te explicará los servicios y soluciones más adecuados para los principales riesgos emergentes en esta área
|
La concienciación y formación son claves para protegernos
Es muy probable que en nuestras organizaciones ya tengamos implementados protocolos para evitar muchas de estas situaciones. Pero los atacantes cada vez utilizan engaños más sofisticados, por lo que es importante que todas las personas que pertenecen a nuestra organización estén al tanto de las últimas novedades y tendencias sobre este tipo de ataques.
Desde Semantic Systems podemos ayudaros a tener un equipo humano preparado para detectar y evitar este tipo de ataques, empleando para ello plataformas con newsletters de seguridad, videos formativos, exámenes… incluso campañas simuladas de phishing o ransomware con estadísticas que nos puedan permitir identificar los puntos a reforzar para convertir a nuestros empleados en “Inhackeables”.
Todo esto sin olvidar que como ha venido siendo habitual hasta ahora, también os podemos acompañar en el proceso de desplegar las mejores soluciones tecnológicas para hacer de vuestra infraestructura un lugar lo más seguro posible frente a cualquier ataque.
También te puede interesar leer el ebook tecnológico: Los mejores artículos de ciberseguridad de Semantic Systems
Iagoba Diaz
Analista de Ciberseguridad en Semantic Systems