Educar a los empleados sobre la ingeniería social

Los ciberdelincuentes aplican cada vez más el «factor humano», también conocido como ingeniería social, con gran efecto a la hora de llevar a cabo un ciberataque. Varias investigaciones demuestran que no se trata sólo de rumores y que la ingeniería social es una técnica de ciberataque exitosa: los datos de la investigación de seguridad de PurpleSec, por ejemplo, descubrieron que el 98% de los ciberataques se basan en la ingeniería social.

Los ciberdelincuentes han convertido a nuestros empleados en la primera línea de los ciberataques: dirigiéndose a ellos mediante correos electrónicos maliciosos; engañándoles con llamadas telefónicas falsas y, en general, manipulando su comportamiento.

Al educar a nuestros empleados sobre las tácticas y técnicas de la ingeniería social, una empresa les capacita para contraatacar a los estafadores. Pero deben seguirse ciertas prácticas recomendadas para garantizar el éxito de un programa de educación en ingeniería social.

He aquí la guía de MetaCompliance para educar a los empleados sobre la ingeniería social:

¿Qué es la ingeniería social?

La ingeniería social, en el contexto de la ciberseguridad, es una técnica o serie de técnicas, utilizadas para manipular a un ser humano para que haga algo beneficioso para un ciberdelincuente.

Hay muchos trucos en el oficio del ingeniero social, y éstos pueden cambiar con el tiempo a medida que los ciberdelincuentes optimizan sus tácticas. El resultado de la ingeniería social es engañar a los empleados (o al público) para que entreguen datos confidenciales, como credenciales de acceso, o transfieran dinero a un estafador, o cometan un error como hacer clic en un enlace de phishing.

La ingeniería social suele ser una técnica escalonada, que implica:

• Vigilancia: La recopilación de información es un componente clave de un ciberataque de ingeniería social. Se recopila información personal y empresarial de los empleados objetivo, los objetivos suelen ser los que trabajan en áreas como cuentas por pagar o administración de TI.

• Preparación del objetivo: La información recopilada durante la vigilancia se utiliza para establecer relaciones con el empleado objetivo. Algunos estafadores incluso llamarán al empleado para crear un vínculo amistoso con él, preparándolo para su explotación.

• Explotar la marca: Esta es una parte clave del ciberataque de ingeniería social, que se basa en la relación desarrollada a partir de la información recopilada. Esta relación se explota para ejecutar el ataque, por ejemplo, recibiendo un nombre de usuario y una contraseña por teléfono o abriendo un archivo adjunto de correo electrónico infectado.

• Llevar el hackeo hasta el final: La fase de explotación sienta las bases para llevar a cabo la parte central del ciberataque. Un ingeniero social experimentado podrá alejarse del ciberataque sabiendo que el empleado o la empresa tardarán algún tiempo en darse cuenta de que han sido explotados.

Ejemplos de ingeniería social

La ingeniería social se presenta en muchas formas que incluyen tanto baja tecnología como alta tecnología y, a menudo, híbridos de ambas. Algunos ejemplos muestran los tipos de formas en que nuestros empleados son sometidos a la ingeniería social:

Ataque masivo de ingeniería social contra Google y Facebook

El Business Email Compromise (BEC) es una estafa que utiliza la ingeniería social para engañar a un empleado para que envíe un pago de la empresa al estafador, a menudo se trata de grandes sumas de dinero.

En 2019, una estafa masiva de BEC robó alrededor de 100 millones de dólares a empresas, entre ellas Google y Facebook. Los estafadores crearon una empresa falsa con un nombre similar al de una empresa legítima con la que trataban las empresas objetivo. A partir de ahí, enviaron correos electrónicos de spear-phishing a empleados y agentes específicos de las empresas víctimas.

Para saber a qué empleados dirigirse, los estafadores suelen utilizar técnicas de vigilancia para comprender cómo manipular mejor el comportamiento del empleado objetivo.

Estafa Microsoft 365

Marcas como Microsoft 365 se utilizan a menudo para realizar ingeniería social y engañar a los empleados.

Un ataque reciente relacionado con Microsoft 365, fue creado para robar las credenciales de inicio de sesión de los empleados. En este ciberataque, los estafadores utilizaron técnicas para evadir las pasarelas de correo electrónico, de modo que los correos electrónicos de phishing pudieron acabar en la bandeja de entrada de un empleado objetivo, con el aspecto de un correo electrónico aparentemente legítimo de Microsoft 365. El correo electrónico de phishing utilizaba una línea de asunto sobre una «revisión de precios» y contenía un archivo de hoja de cálculo Excel como archivo adjunto. El truco consistía en que la «hoja de cálculo» era, en realidad, un archivo .html camuflado. El archivo redirigía a quien lo abriera a un sitio web que, a continuación, les pedía que introdujeran sus credenciales de inicio de sesión de Microsoft 365.

5 mejores prácticas para enseñar a los empleados sobre ingeniería social

Una vez que esté preparado para educar a sus empleados sobre la ingeniería social, merece la pena utilizar estas cinco mejores prácticas:

Primera práctica recomendada: Comprender el complejo entramado de la ingeniería social

Construya una base de conocimientos sobre tácticas y técnicas de ingeniería social. Esto constituirá la base de su paquete educativo. La ingeniería social se basa en la psicología humana, por lo que comprender cómo los estafadores manipulan el comportamiento humano es fundamental para prevenir el éxito de un ciberataque basado en este método.

Por lo tanto, formar a los empleados para que reconozcan un intento de ingeniería social es más complejo que la educación en torno al phishing; sin embargo, los simulacros de phishing deberían formar parte de un programa de formación en ingeniería social más amplio.

Un programa completo de educación en ingeniería social debe incluir también cómo funcionan estas estafas y los tipos de comportamiento o situaciones que manipulan, por ejemplo, la confianza, la urgencia, las relaciones, etc.

Segunda mejor práctica: Formación para la concienciación sobre la seguridad +SEE

Los paquetes de formación sobre concienciación general en materia de seguridad deben incluir siempre educación sobre ingeniería social. La higiene de la seguridad y la concienciación general sobre el phishing forman parte de la mitigación de un intento exitoso de ingeniería social. Añada la educación sobre ingeniería social (SEE) a su programa más amplio de formación sobre concienciación en materia de seguridad para que los trucos de ingeniería social sean visibles para todos.

Tercera mejor práctica: Aprendizaje inteligente

Todos los seres humanos tienden a aprender mejor cuando se les enseña utilizando técnicas interactivas. La investigación ha identificado ciertos criterios para un aprendizaje eficaz:

1. Haga que las lecciones sean breves pero informativas:Amplíelas y repítalas con regularidad para un aprendizaje óptimo.
2. Intercalar o cambiar de idea a medida que se aprende, crea pausas naturales entre las sesiones, ayudando a reforzar las ideas. Asegúrese también de señalar las conexiones entre las distintas áreas de la ciberseguridad y las tácticas de ingeniería social para ayudar a los empleados a comprender la complejidad de este tipo de ataques.
3. Utilice «ejemplos concretos»para que el aprendizaje se fije en la mente del empleado.

Cuarta mejor práctica: Aclarar y repetir

La ingeniería social, al igual que otros métodos de ataque de ciberseguridad, está siendo optimizada continuamente por los ciberdelincuentes. Asegúrese de llevar a cabo sesiones de formación periódicas sobre ingeniería social como parte de su programa más amplio de formación sobre concienciación en materia de seguridad. Automatice su campaña de concienciación sobre seguridad para mejorar y optimizar la formación.

Quinta mejor práctica: Haga de su lugar de trabajo una zona de tolerancia cero para la ingeniería social

Al fomentar la confianza de su plantilla en la detección y prevención de un ciberataque de ingeniería social, su organización creará una cultura de concienciación en materia de seguridad.

Esta cultura cimentará a su plantilla contra los ciberataques, incluso si la ingeniería social es compleja y juega con los miedos, el comportamiento, la urgencia y las relaciones de los empleados. Esta cultura se extenderá también a su vida doméstica, lo que mejorará su seguridad general y contribuirá a reducir el riesgo también en los entornos de trabajo en casa.

En los ciberataques que utilizan técnicas de ingeniería social, el ser humano es la vulnerabilidad de seguridad. Si dota a su plantilla de los conocimientos necesarios para detectar los intentos de ingeniería social, dará poder a su empresa y a sus empleados.