Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INGENIERÍA
SOCIAL
Cómo actuar
correctamente
Í ndi c e d e co n te n i d o s
• Introducción 4
• Phishing 6
Las pymes son cada vez más conscientes de que son objetivo de los
ciberdelincuentes, según una encuesta de 2019 realizada por Zogby Analytics en
nombre de la Alianza Nacional de Ciberseguridad de Estados Unidos. Casi la mitad
(44%) de las empresas entre 251 y 500 empleados dijo que había experimentado
una infracción de datos oficial en los últimos 12 meses. La encuesta encontró
que el 88% de las pequeñas empresas creen que son al menos un objetivo “algo
probable” para los ciberdelincuentes, incluyendo casi la mitad (46%) que creen
que son un objetivo “muy probable”.
El daño es real y extenso, un punto bien ilustrado por el informe anual del Centro
de Denuncias de Delitos en Internet (IC3) del FBI. Solo en 2020, el IC3 recibió 19.369
reclamaciones de correo electrónico comercial comprometido (BEC)/cuenta de
correo electrónico comprometida (EAC), con pérdidas ajustadas de más de 1.800
millones de dólares. Para los que no lo sepan, el BEC/EAC es una sofisticada estafa
dirigida tanto a empresas como a particulares que realizan transferencias de fondos.
Suplantación de identidad
Una forma de phishing dirigida a una persona, empresa u organización
específica. Las típicas campañas de phishing no se dirigen a las víctimas
de forma individual, sino que se envían a cientos de miles de destinatarios.
Vishing
Un método similar al phishing pero que utiliza llamadas telefónicas
fraudulentas en lugar de correos electrónicos. Los ciberdelincuentes
suelen disfrazarse de representantes de bancos o compañías de seguros.
Smishing
Un intento de ingeniería social a través de mensajes de texto SMS. La
mayoría de las veces, el intento de smishing tiene como objetivo redirigir
a los destinatarios a un sitio web donde se recogen sus datos. Sin
embargo, también hay campañas en las que se pide a las víctimas que
envíen datos sensibles en un SMS de respuesta directa.
(S)extorsión
La (S)extorsión es un esquema de estafa por correo electrónico de larga
duración, que intenta chantajear a las víctimas mediante reclamaciones y
acusaciones sin fundamento.
Suplantación de identidad
La técnica de suplantación es la misma que en el mundo físico. Los
PAY ciberdelincuentes se ponen en contacto con los empleados, normalmente
haciéndose pasar por su director general, e intentan manipular a las
víctimas para que realicen alguna acción: ordenar y aprobar transacciones
fraudulentas, por ejemplo.
Scareware
Software que utiliza varias técnicas de inducción de inquietud para
forzar a las víctimas a instalar más código malicioso en sus dispositivos.
Por ejemplo, un falso producto antivirus engaña a los usuarios para que
instalen un software específico para eliminar el problema, pero este
programa suele ser dañino.
Los estafadores saben que hay muchas posibilidades de que cualquier mensaje sea
analizado en busca de contenido malicioso por tu proveedor de correo electrónico,
que desvía esos mensajes a la carpeta de basura. Por eso el contenido de los mensajes
fraudulentos cambia tan a menudo.
Si no estás
familiarizado con la
2 Espera lo peor de los dirección de correo
archivos adjuntos electrónico, maneja
o de los enlaces el contenido con
desconocidos. precaución.
Podrían contener un
malware o enviarte
3 ¿Demasiado miedo
a un destino web
o demasiado bueno
malicioso.
para ser verdad?
Probablemente sea
buscar una estafa. Recuerda
que la ingeniería
1 social se centra en las
Servicio de Paypal debilidades humanas.
ACTUALIZAR INFORMACIÓN 7
Al principio, a mucha gente le sorprendió que los hackers pudieran conseguir sus
números de teléfono sin que ellos lo supieran. Pero, como han señalado muchos
expertos en ciberseguridad, es más fácil conseguir el número de teléfono de
alguien que su correo electrónico, porque hay un número finito de opciones
con los números de teléfono. Adivinar los nombres de las direcciones de correo
electrónico es más difícil porque permiten más caracteres.
Fuente: TEISS
e
un tercero qu
n ac u er do de cierre con s
ado u s rivale
Hemos firm compradore
p ri o ri da d sobre otros
nos da
Recuerda que la conciencia es la clave. Cuanto más sepamos sobre los ataques
de suplantación de identidad, más podremos evitarlos. Veamos cómo funcionan
los correos electrónicos de suplantación de identidad. Muchos intentan infundir
una sensación de urgencia y miedo en sus objetivos. Ese sentimiento lleva a las
víctimas a realizar la tarea deseada. Esto podría implicar algo que te parezca
inusual y sospechoso, como compras que no están relacionadas con tu negocio y
con clientes que no reconoces. Los ciberdelincuentes también tratan de imponer
un plazo corto para las tareas requeridas.
PENSAR EN EL CONTEXTO
A veces, estamos demasiado ocupados y tomamos decisiones sin pensar demasiado.
Tal vez nos lleve unos segundos más, pero siempre hay que considerar si el correo
electrónico tiene sentido. ¿Por qué, exactamente, este compañero pide solo esta
compra o este algo inusual y se desvía de la información personal sensible? Los
procesos tradicionales deberían ser una señal de advertencia. Incluso si el correo
electrónico procede aparentemente de una persona de confianza, como el director
general, podría tratarse de un fraude. Mantente alerta y verifica cualquier solicitud con
otros compañeros.
¿FUERA DE LA OFICINA?
A veces, los ciberdelincuentes pueden saber que alguien está
fuera de la oficina y actuar como si lo estuvieran cubriendo.
En ese caso, verifica la información en cuestión con tu
superior o tus compañeros de trabajo. Como dice el refrán,
hay que mirar antes de saltar.
Implementar la etiqueta
“EXTERNO”
En un cambio reciente de la seguridad interna de ESET, los
correos electrónicos procedentes de fuera del dominio de la
empresa se etiquetan siempre como EXTERNOS. Esto no ayudaría
si el impostor del director general estuviera fingiendo enviar el
correo electrónico desde el correo electrónico privado del director
general, pero podría ayudar a identificar los correos electrónicos
que intentan falsificar el dominio (como el caso de “m” y “rn”).
El Scareware es un tipo de malware que intenta engañar a las víctimas para que
compren y descarguen software potencialmente peligroso. Es un método que atrae
rápidamente la atención de las personas y las asusta. Anuncios emergentes difíciles de
cerrar, empresas de software con nombres de los que nunca has oído hablar y análisis
no autorizados de tu ordenador en busca de virus: todos estos son atributos típicos del
scareware.
El problema es que este tipo de programas suelen proceder a mostrar una lista
de docenas o cientos de falsos virus. Pero los programas de scareware no están
examinando tu ordenador, y estos resultados que dicen ser descubiertos son falsos. Las
advertencias sobre una infección solo te manipulan para que realmente descargues
una. Estas estafas suelen basarse en un falso software de seguridad, como Advanced
Cleaner, SpyWiper o System Defender.
1.
Facilita formación periódica en ciberseguridad a todos los
empleados, incluidos los altos cargos y el personal informático.
Recuerda que esta formación debe mostrar o simular escenarios
de la vida real. Los puntos de aprendizaje deben ser procesables y,
sobre todo, probados activamente fuera de la sala de formación.
2.
Busca contraseñas débiles que puedan convertirse en una
puerta abierta en la red de tu empresa para los atacantes.
Además, protege las contraseñas con otra capa de seguridad
implementando la autenticación multifactor.
3.
Implementa soluciones técnicas para hacer frente a las
comunicaciones fraudulentas para que los mensajes de spam y
phishing sean detectados, puestos en cuarentena, neutralizados y
eliminados. Las soluciones de seguridad, incluidas muchas de las
que ESET proporciona, tienen algunas o todas estas capacidades.
4.
Crea políticas de seguridad comprensibles que los empleados
puedan utilizar y que les ayuden a identificar los pasos que deben
dar cuando se encuentren con la ingeniería social.
5.
Utiliza una solución de seguridad y herramientas administrativas,
como la consola de administración ESET PROTECT, para
proteger los equipos y redes de tu empresa, ofreciendo a los
administradores una visibilidad total y la capacidad de detectar y
mitigar posibles amenazas en la red.
© 1992 - 2022 ESET, spol. s r.o. - Todos los derechos reservados. Las marcas
utilizadas en este documento son marcas comerciales o marcas registradas
de ESET, spol. s r.o. o ESET North America. Todos los demás nombres y
marcas son marcas registradas de sus respectivas compañías.