Un informe de Verizon publicado durante este 2021 pone de manifiesto que el factor humano está involucrado en el 85% de las brechas de seguridad, siendo la 'ingeniería social' el patrón que más se repite.
Términos como correo basura, o spam, suplantación de identidad o phishing se han democratizado por la gran cantidad de amenazas de ciberseguridad que ha habido durante el ejercicio. En la mayoría de los casos el daño que ocasionan tiene que ver con usuarios que han tenido reacciones emocionales de algún tipo que les han abierto la puerta.
El correo basura se envía normalmente en correos electrónicos, pero también se puede entregar a través de mensajes instantáneos, SMS y redes sociales. En el sentido estricto de la palabra, el correo basura no es un método de ingeniería social, pero puede incluir suplantación de identidad, phishing de objetivo definido, la suplantación telefónica del vishing y también métodos como el smishing, la suplantación por SMS, o divulgación de ficheros adjuntos o enlaces malintencionados.
La suplantación de identidad, o phishing, es una de las formas de ingeniería social que se utilizan con más frecuencia. En este caso, el ciberdelincuente se hace pasar por una entidad de confianza que solicita información confidencial de la víctima. Pero hay mucho más que hay que vigilar e ir con cuidado.
El mundo de la ingeniería social es muy variado. También incluye cosas como el scareware, un software que utiliza varias técnicas para crear ansiedad y forzar a las víctimas a instalar código malintencionado en sus dispositivos, por ejemplo, productos antivirus falsos.
Y no podemos olvidarnos de la sextorsión, que intenta chantajear a las víctimas asegurando que tienen información comprometida, o las estafas de asistencia técnica, que son falsos servicios de asistencia técnica que se ofrecen a través de llamadas telefónicas o en un fraude en la web.
La compañía de antivirus ESET España ha elaborado varios consejos para que los usuarios y empresas estén prevenidos y preparados para hacer frente a la denominada 'ingeniería social', es decir, el factor humano que se encuentra involucrado en las brechas de seguridad:
1. Forma a los empleados
Como las técnicas de ingeniería social se basan en una baja concienciación sobre ciberseguridad en sus empresas objetivo, las formaciones periódicas en ciberseguridad son importantes para toda la empresa, tanto para el personal de TI o de alta dirección como de otros departamentos.
Durante la formación, es importante que se intente incluir situaciones de la vida real. Así se pueden imaginar situaciones concretas y aprender de ellas. Además, es necesario que los empleados conozcan y entiendan la política de seguridad de la empresa y saber qué pasos hay que dar cuando se entra en contacto con la ingeniería social.
2. Mantén las contraseñas bajo control
Es imprescindible contar con una política de contraseñas potente. Buscar contraseñas fuertes y considerar también utilizar otra capa de seguridad mediante la implementación de una autentificación multifactor.
3. Utiliza soluciones de seguridad adecuadas
Otra manera de mejorar la seguridad puede ser la implementación de soluciones técnicas para atajar comunicaciones con estafas. En esos casos, se pueden detectar, poner en cuarentena, neutralizar y eliminar el correo basura o los mensajes de suplantación de identidad. Mejorar la protección y usar herramientas que permitan a los administradores de TI tener visibilidad total y la capacidad de detectar y mitigar amenazas potenciales en la red.
4. Hazte preguntas
Desde ESET también invitan a hacerse unas cuestiones para destapar posibles fraudes o engaños: ¿El texto contiene errores, mala ortografía y expresa mucha urgencia? ¿Hay algo raro en la dirección del remitente? ¿Es alguien a quien no conoces que te pide información personal tuya o tu contraseña? ¿Te da la sensación de que el mensaje intenta llevarte a actuar sin cuestionarte nada? ¿La oferta que se hace en el correo electrónico es demasiado buena para ser verdad?