Ingeniería Social: una nueva forma de ciberataque

Ingeniería Social: una nueva forma de ciberataque

La ingeniería social es una nueva forma de ciberataque y la podemos definir como el conjunto de técnicas utilizadas por los ciberdelincuentes para engañar a personas para acceder a sus datos personas o confidenciales, infectar sus ordenadores o servidores con programas malignos (malware) o que estas personas abran enlaces a sitios infectados.

Todos podemos ser víctimas de un ataque basado en ingeniería social, ya que los ciberdelincuentes analizan los mejores canales para acceder a nuestros datos personales e información corporativa confidencial, sin apenas información y obtenida gracias al engaño.

Cómo actúa la Ingeniería Social?

Como ya dijimos, su modus operandi es el engaño, el cual puede tener muchas caras, como por ejemplo enviar correos que no proceden realmente del remitente que se señala, o envío de archivos adjuntos infectados, así como también la recepción de llamadas y mensajes instantáneos, en donde se solicita de manera urgente se compartan ciertos datos personales para resolver alguna cuestión calificada de extrema urgencia.

Estas comunicaciones pueden llegar en forma de llamada de un servicio técnico informático de nuestro programa de gestión, de servicios en la nube, empleados de bancos, avisos de entrega de mensajería, pagos de facturas o comisiones, etc.

Las características comunes de los ataques mediante ingeniería social son:

Recolección de información:

Es la fase previa a ataque, en donde el ciberdelincuente hará su investigación sobre la víctima y recopilará toda la información posible, la cual puede estar pública en internet, obtenerla del entorno familiar, amistad o laboral.

Relación de confianza con la víctima:

Acercamiento con la víctima para obtener la información que es del interés del ciberdelincuente.

Manipulación de la situación:

Basada en la relación de confianza entablada con anterioridad al ataque.

Desaparición:

El ciberdelincuente borrará toda huella de sus actuaciones, para que sea más difícil identificarlo y pueda volver a llevar a cabo otro ataque de similares características.

Así, uno de los ámbitos en donde estamos más expuestos a ser objeto de un ciberataque en donde se utilice este tipo de ingeniería, es a través del uso de las redes sociales.

La costumbre actual de hacer público todo lo que hacemos, donde estamos, qué comemos, nuestros gustos sobre moda, cine, hobbies, etc., es una mina interminable de información para este tipo de delincuentes, que encuentran en esas publicaciones “inocentes” o “irreflexivas”, todo lo que necesitan para acceder a tu vida, suplantando tu identidad, en el mejor de los casos.

Otro ejemplo muy revelador es el uso del correo electrónico, ya sea personal o corporativo, para obtener de la víctima información confidencial, como uso de credenciales (phishing), suplantación de identidad (spoofing), enlaces a página falsas o descarga de archivos infectados.

Cómo combatir los ataques de ingeniería social?

Lo primero es formar, concienciar y sensibilizar al personal usuarios de nuestro sistema de información, en la prevención del uso de nuestra información personal y estar actualizados en las nuevas técnicas de engaño que aparecen día a día, es la mejor manera de estar seguros y de que nuestros datos personales estén salvaguardados.

Desconfiar de todo aquello que pueda implicar un riesgo (ofrecer datos personales, de acceso, de cuentas bancarias, etc.) ya sea en forma de correo electrónico, llamada, mensaje que nos genere alguna duda, o que no esté claro el origen del mismo, hay que ignorarlo, y así evitamos cualquier contacto, directo o indirecto, con el ciberdelincuente, cerrándole las puertas a tu información personal y confidencial.

Qué hacer si soy víctima de un ciberataque con ingeniería social?

Si crees que has sido víctima de un ciberataque, debes realizar un examen de tu dispositivo con el antivirus, cambiar todas las contraseñas y revisar tu información más preciada, como puede ser tu cuenta bancaria, YouTube o Redes Sociales en donde sueles publicar videos, en su caso, o cualquier foro en donde se pudieran haber hecho públicos tus datos.

Del mismo modo, hay que denunciar los hechos ante las Fuerzas y los Cuerpos de Seguridad del Estado y llamar al teléfono 017 de ayuda de Instituto Nacional de Ciberseguridad.

Business Adapter® a tu servicio

Si aún no has formado a tu plantilla sobre protección de datos y seguridad de la información o/y quieres cumplir con la Normativa de protección de datos europea y española (RGPD + LOPD) a la cual está obligada cualquier empresa o profesional, contáctanos en el email: info@businessadapter.es, llama al 96 131 88 04, o deja tu mensaje en este formulario:



error: Content is protected !!