Cuando se habla de seguridad de la información, siempre sale a relucir el dicho “El humano es el eslabón más débil de la cadena de seguridad” sin embargo, en la pasada Jornada Internacional de Seguridad 2022, el experto en seguridad Jeimy Cano mencionaba que “no es el eslabón más débil, sino es más fatigado”, y con toda la razón puesto que para los atacantes es más económico (en todos los sentidos) vulnerar a las personas a través de sus emociones que a un sistema de información. En este mismo sentido, el exceso de confianza de las organizaciones (esto nunca nos ha pasado, es poco probable que suceda) y la poca inversión en cultura y educación para sus colaboradores, hace que el humano sea el principal vehículo (por ende el más fatigado) para la consecución de ataques.
Expertos predicen que los ataques basados en ingeniería social se van a duplicar en este año 2022 con respecto a 2021, por lo que es urgente preparar a nuestros mejores aliados, las personas.
Los ataques de ingeniería social están basados principalmente en técnicas de engaño, donde los atacantes se hacen pasar por personas o empresas (generalmente muy conocidas) para aprovecharse de los usuarios.
Los métodos de ingeniería social más usados son:
- Phishing: en este método, el atacante envía un correo electrónico suplantando la identidad de alguna persona o empresa, como un banco, una fundación, una red social, una empresa pública, un servicio de correo o mensajería, entre otras. Al suplantar esta identidad, el usuario puede (ingenuamente) entregar sus datos de acceso del sistema objetivo. También es común que adjunten archivos infectados o enlaces a páginas fraudulentas.
- Vishing: en este caso, el atacante realiza llamadas telefónicas haciéndose pasar por empresas de confianza, como los bancos, empresas de telefonía o un servicio técnico. En la llamada suelen pedir los datos personales o terminan tomando el control de los dispositivos.
- Smishing: aquí el atacante realiza envío de mensajes de texto (SMS) o por aplicaciones de mensajería instantánea, haciéndose pasar por entidades de confianza o contactos de la víctima para obtener información personal y bancaria. En estos mensajes generalmente hay un link hacia un sitio web malicioso.
En Payválida somos conscientes que tener controles tecnológicos de seguridad no es suficiente y que las personas juegan un papel protagónico en la prevención y detección de ataques, por esta razón, constantemente estamos realizando campañas y capacitaciones de seguridad a nuestros colaboradores.
A continuación compartiremos contigo algunas recomendaciones para no ser víctima de este tipo de ataques.
- Respira profundo y piensa antes de actuar (hacer clic): los mensajes que recibes siempre buscan una acción rápida de tu parte. Siempre hay que actuar con sentido común y no realizar ninguna acción de forma rápida.
- Comprueba siempre quién te está contactando: ¿Fuiste tú quien me envió este correo?
- Valída faltas de ortografía y/o errores en la redacción.
- ¡Pilas con los asuntos llamativos!. Siempre buscan captar nuestra atención y mover nuestras emociones.
- Identifica el objetivo del mensaje. Por ejemplo, no es normal que los bancos soliciten nuestra información personal, ellos ya la tienen.
- Cuando haya links en el mensaje, evita hacer clic. Te sugerimos reportarlo al departamento de seguridad de tu empresa, o puedes pasar el cursor del mouse sobre el link y te mostrará la url real.
- Analiza los adjuntos antes de abrirlos. Puedes usar un antivirus para esto.
De forma general, la mejor acción en caso de sospecha es no hacer nada, simplemente omitelo o reportalo a tu departamento de seguridad.