En 2013, un importante minorista estadounidense se vio comprometido a través de un ataque de ingeniería social. Los atacantes utilizaron una técnica conocida como spear phishing para obtener acceso a la red de un proveedor externo.
5 mejores motores de juego
Habilite JavaScript
Luego, los actores de amenazas utilizaron las credenciales del proveedor para obtener acceso a la red del minorista, instalando malware en los sistemas de punto de venta (POS) de la empresa. Esto permitió a los actores de amenazas robar millones de información de tarjetas de crédito y débito de los clientes.
Para frustrar un ataque a gran escala de este tipo, las organizaciones deben considerar seriamente cómo abordan el riesgo interno. Al implementar herramientas impulsadas por IA para monitorear las redes en busca de señales de advertencia y actividad sospechosa, Insider Risk Management se convierte en una herramienta poderosa contra los actores de amenazas que buscan usar una conexión «interna».
Definición de ingeniería social
La ingeniería social es algo de lo que todos hemos oído hablar en los últimos años. El término describe un conjunto de tácticas de manipulación que engañan a las personas para que divulguen información confidencial o tomen medidas específicas.
Los orígenes de la ingeniería social se remontan hasta donde nos gustaría recordar, ya que las personas siempre han tratado de manipular y engañar a los demás para su beneficio personal. Sin embargo, el término «ingeniería social» fue acuñado por primera vez en la década de 1970 por expertos en ciberseguridad.
Los atacantes utilizan tácticas de ingeniería social para explotar la psicología humana y la dinámica social para obtener acceso no autorizado a información o sistemas confidenciales.
Estas tácticas pueden tomar una de las siguientes formas:
Suplantación de identidad
El phishing utiliza el correo electrónico, los mensajes de texto o las redes sociales para engañar a las personas para que proporcionen información confidencial, como credenciales de inicio de sesión, números de tarjetas de crédito o información personal.
Vale la pena mencionar que el phishing selectivo es un tipo de ingeniería social que utiliza correos electrónicos de phishing muy específicos para engañar a personas específicas para que proporcionen información confidencial, instalen malware o transfieran dinero.
especioso
El pretexto es cuando un actor de amenazas crea una identidad o escenario falso para ganarse la confianza y convencer a una víctima de que proporcione información confidencial.
Carnada
A través de la captación, se ofrece a la víctima algo de valor, como un premio o un servicio gratuito, para atraer a una persona a divulgar información confidencial.
Quid pro quo
Esta es la práctica de ofrecer valor, como soporte técnico, a cambio de información confidencial y clasificada.
Seguir de cerca
Si bien es un enfoque físico, puede considerarse una forma de ingeniería social. Se refiere a seguir a una persona a un área restringida, como un edificio o un centro de datos, haciéndose pasar por una persona autorizada o usando una tarjeta de identificación robada o duplicada.
Las tácticas de ingeniería social a menudo se usan con otros tipos de ataques, como malware o piratería, para lograr un objetivo específico, como robar información confidencial u obtener acceso a los sistemas de una empresa.
¿Cómo se puede evitar la ingeniería social?
Hay varias formas en que las organizaciones pueden protegerse de los ataques de ingeniería social exitosos:
La capacitación de los empleados es una de las formas más efectivas de prevenir los ataques de ingeniería social. Educan a los empleados sobre las tácticas de los atacantes y cómo reconocerlos y responder a ellos.
Las organizaciones también pueden lanzar campañas de concientización periódicas, como ataques de phishing simulados y otras pruebas, para ayudar a los empleados a identificar y responder a las tácticas de ingeniería social.
Las organizaciones deben establecer políticas y procedimientos de seguridad sólidos que rijan la forma en que los empleados manejan la información confidencial y las solicitudes de información.
Las organizaciones también pueden implementar controles técnicos para prevenir ataques de ingeniería social, como el uso de software antiphishing, filtros web y filtros de correo electrónico.
Implementación de la autenticación multifactor: las organizaciones deben usar la autenticación multifactor (MFA) para proteger las cuentas confidenciales. Esto agrega una capa adicional de seguridad, lo que reduce el riesgo de ataques exitosos.
Finalmente, las organizaciones deben monitorear regularmente los registros de varios sistemas y dispositivos en busca de signos de actividad sospechosa. Esto permite la detección temprana de cualquier ataque potencial.
Tener una protección adecuada se basa en una sólida plataforma de gestión de riesgos internos. La gestión de riesgos internos tiene como objetivo prevenir o minimizar los daños causados por personas internas que pueden o no comprometer intencionalmente la seguridad de una organización.
Conclusión
Es imperativo comprender que los ataques de ingeniería social tienen como objetivo explotar la naturaleza humana para obtener acceso a información o recursos confidenciales, y no explotar las debilidades de varias tecnologías. Por lo tanto, las personas y las organizaciones deben informarse sobre estas tácticas y cómo reconocerlas y responder a ellas.