Un ciberataque no es la única amenaza a los datos de una empresa

Publicado por Rodrigo Ayala el 04 de febrero de 2019

El ciberataque es la amenaza de seguridad informática por antonomasia. Podemos decir que a esta amenaza en particular casi en automático se le asigna un presupuesto y una parte del manual de procesos de toda empresa cuya producción tiene un considerable nivel de dependencia de sus sistemas informáticos.

un-ciberataque-no-es-la-unica-amenaza-a-los-datos-de-una-empresa-1

Desde esta perspectiva, en ocasiones se piensa que las medidas de ciberseguridad, como los antivirus, los firewalls y softwares especializados en todo lo referente a las TIC son suficientes para proteger la confidencialidad y el correcto uso de los datos dentro de una empresa.

Pero no es tan fácil, ya que desgraciadamente un ciberataque no es a lo único que se le debería poner atención. Hay otras vulnerabilidades, y una de ellas en especial tiene el poder de sortear cuanta protección informática y cercos de seguridad digital se implementen, entrando por lo que se conoce como el eslabón más débil de la cadena, que son las personas que tienen acceso a la información que manejan las empresas. A esto se le conoce como ingeniería social.

un-ciberataque-no-es-la-unica-amenaza-a-los-datos-de-una-empresa-2

Qué es y cómo opera la ingeniería social

La ingeniería social es una técnica utilizada para robar información de los usuarios mediante el engaño. Este engaño puede venir de varias maneras, desde el típico correo ilegítimo de phishing que pide contraseñas, hasta algo que no tenga nada que ver con el entorno informático meramente. Su primer objetivo usualmente se puede dividir en tres grupos: robar dinero, robar credenciales, o infectar el equipo, aunque por lo regular es una mezcla que incluye a más de uno de estos grupos.

un-ciberataque-no-es-la-unica-amenaza-a-los-datos-de-una-empresa-3

Veamos algunas de las técnicas a través de las que se despliega.

Gatillos psicológicos

Los motivadores más usados, son la urgencia (cuando alguien demanda entrar de inmediato “al sistema” para mandar algún documento o llevar a cabo una acción y necesita las claves de acceso ASAP), el miedo (cuando se apela a las consecuencias que puede traer no ofrecer la información que se exige), la autoridad (hacerse pasar por un directivo o alguna autoridad superior a la persona que intenta ser engañada para que entregue credenciales creyendo que está cumpliendo su deber), la costumbre, (un contacto casual, que no levanta ninguna sospecha y toma por sorpresa a la persona y así consigue engañarla), la curiosidad y la falsa confianza o familiaridad.

Contenidos

Los criminales usan los temas del momento para despertar básicamente la curiosidad tratada en el punto anterior, como la política, la farándula o los deportes en general, y con algunas herramientas y tácticas como el social listening, pueden incluso llegar a conocer más específicamente a su blanco de ataque para ser más precisos en el contenido usado como cebo.

Medios

Entre los medios más comunes ya citamos el correo electrónico, pero debemos mencionar igualmente a los sitios web, las redes sociales, los dispositivos de almacenamientos o drives, y las visitas personales o pláticas casuales en cualquier lugar donde se tenga ubicada la actividad del personal blanco de la ingeniería social.

La ingeniería social tiene en su fortaleza en el desconocimiento de los riesgos que implica cada interacción no fidedigna, así como en ignorar que datos que parecen básicos como el nombre y la fecha de nacimiento pueden ser armas importantes para entrar a cualquier sistema informático.

Si bien estos ataques se exteriorizan de manera digital la mayoría de las veces, no siempre tiene ahí su génesis ni son siempre su objetivo final. La manera de asegurar que se está cubierto ante este tipo de ataques es, además de la implementación de softwares de seguridad informática, contratar un marco de seguridad más amplia que contemple esto como una parte de una estrategia mayor que abarque distintas áreas, entre ellas la que tratamos hoy aquí: los recursos humanos.

Con concientización, capacitación constante y pruebas recurrentes a todo el personal, tanto la ingeniería social como los ciberataques tienen un margen de acción muy reducido. Eso es seguridad integral de la información.

Descarga nuestra guía gratuita para conocer más sobre la protección completa que puede ayudar de manera transversal a todos los niveles de tu organización; sólo haz clic y descubre el modelo GRC+S.

Nueva llamada a la acción

Suscríbete al blog

Publicaciones Recientes

Publicaciones por etiqueta