Los ciberdelincuentes aplican cada vez más el "factor humano", también conocido como ingeniería social, con gran efecto a la hora de llevar a cabo un ciberataque. Varias investigaciones demuestran que esto no es sólo un rumor y que la ingeniería social es una técnica de ciberataque exitosa: los datos de la investigación de seguridad de PurpleSec, por ejemplo, descubrieron que el 98% de los ciberataques se basan en la ingeniería social.
Los ciberdelincuentes han convertido a nuestros empleados en la primera línea de los ciberataques: dirigiéndose a ellos mediante correos electrónicos maliciosos, engañándolos con llamadas telefónicas falsas y, en general, manipulando su comportamiento.
Al educar a nuestros empleados sobre las tácticas y técnicas de ingeniería social, una empresa los capacita para defenderse de los estafadores. Pero hay que seguir ciertas prácticas recomendadas para garantizar el éxito de un programa de educación en ingeniería social.
Aquí está la guía de MetaCompliance para educar a los empleados sobre la ingeniería social:
¿Qué es la ingeniería social?
La ingeniería social, en el contexto de la ciberseguridad, es una técnica o una serie de técnicas, utilizadas para manipular a un ser humano para que haga algo beneficioso para un ciberdelincuente.
Hay muchos trucos en el oficio de ingeniero social, y estos pueden cambiar con el tiempo a medida que los ciberdelincuentes optimizan sus tácticas. El resultado de la ingeniería social es engañar a los empleados (o al público) para que entreguen datos sensibles, como credenciales de acceso, o transfieran dinero a un estafador, o cometan un error como hacer clic en un enlace de phishing.
La ingeniería social suele ser una técnica escalonada, que implica:
- Vigilancia: La recopilación de información es un componente clave de un ciberataque de ingeniería social. Se recopila información personal y empresarial de los empleados objetivo, que suelen ser los que trabajan en áreas como la contabilidad o la administración de TI.
- Preparación del objetivo: La información obtenida durante la vigilancia se utiliza para establecer relaciones con el empleado objetivo. Algunos estafadores incluso llaman al empleado para crear un vínculo amistoso con él, preparándolo para su explotación.
- Explotación de la marca: Esta es una parte clave del ciberataque de ingeniería social, que se basa en la relación desarrollada con la información recopilada. Esta relación se explota para ejecutar el ataque, por ejemplo, recibiendo un nombre de usuario y una contraseña por teléfono o abriendo un archivo adjunto de correo electrónico infectado.
- Llevarel hackeo a término: La etapa de explotación sienta las bases para llevar a cabo la parte central del ciberataque. Un ingeniero social experimentado podrá salir del ciberataque sabiendo que el empleado o la empresa tardarán en darse cuenta de que han sido explotados.
Ejemplos de ingeniería social
La ingeniería social se presenta en muchas formas que incluyen tanto la baja tecnología como la alta tecnología y, a menudo, híbridos de ambas. Algunos ejemplos muestran los tipos de formas en que nuestros empleados son sometidos a la ingeniería social:
Ataque masivo de ingeniería social contra Google y Facebook
El Business Email Compromise (BEC) es una estafa que utiliza la ingeniería social para engañar a un empleado para que envíe un pago de la empresa al estafador, a menudo con grandes sumas de dinero.
En 2019, una estafa masiva de BEC robó alrededor de 100 millones de dólares a empresas, incluidas Google y Facebook. Los estafadores crearon una empresa falsa con un nombre similar al de una empresa legítima con la que trataban las empresas objetivo. A partir de ahí, enviaron correos electrónicos de spear-phishing a empleados y agentes específicos de las empresas víctimas.
Para saber a qué empleados dirigirse, los defraudadores suelen utilizar técnicas de vigilancia para saber cómo manipular mejor el comportamiento del empleado objetivo.
Estafa de Microsoft 365
Marcas como Microsoft 365 se utilizan a menudo para hacer ingeniería social y engañar a los empleados.
Un ataque reciente relacionado con Microsoft 365, fue creado para robar las credenciales de acceso de los empleados. En este ciberataque, los estafadores utilizaron técnicas para evadir las puertas de enlace del correo electrónico, por lo que los correos electrónicos de phishing fueron capaces de terminar en la bandeja de entrada de un empleado objetivo, pareciendo un correo electrónico aparentemente legítimo de Microsoft 365. El correo electrónico de phishing utilizaba una línea de asunto sobre una "revisión de precios" y contenía un archivo de hoja de cálculo de Excel como archivo adjunto. El truco consistía en que la "hoja de cálculo" era, en realidad, un archivo .html camuflado. El archivo redirigía a quien lo abriera a un sitio web que le pedía que introdujera sus credenciales de acceso a Microsoft 365.
5 mejores prácticas para enseñar a los empleados sobre ingeniería social
Una vez que esté listo para educar a sus empleados sobre la ingeniería social, vale la pena utilizar estas cinco mejores prácticas:
Primera práctica: entender la compleja red de ingeniería social
Construya una base de conocimientos sobre tácticas y técnicas de ingeniería social. Esto constituirá la base de su paquete educativo. La ingeniería social se basa en la psicología humana, por lo que entender cómo los estafadores manipulan el comportamiento humano es fundamental para prevenir un ciberataque exitoso basado en este método.
Por lo tanto, formar a los empleados para que reconozcan un intento de ingeniería social es más complejo que la educación en torno al phishing; sin embargo, las simulaciones de phishing deberían formar parte de un programa de formación en ingeniería social más amplio.
Un programa completo de educación en ingeniería social debe incluir también cómo funcionan estas estafas y los tipos de comportamiento o situaciones que manipulan, por ejemplo, la confianza, la urgencia, las relaciones, etc.
Segunda práctica: Formación en materia de sensibilización sobre la seguridad +SEE
Los paquetes de formación sobre concienciación en materia de seguridad general deberían incluir siempre educación sobre ingeniería social. La higiene de la seguridad y la concienciación general sobre el phishing forman parte de la mitigación de un intento exitoso de ingeniería social. Añade la educación en ingeniería social (SEE) a tu programa de formación en concienciación de seguridad más amplio para que los trucos de ingeniería social sean visibles para todos.
Buena práctica tres: Aprendizaje inteligente
Todos los seres humanos tienden a aprender mejor cuando se les enseña con técnicas interactivas. La investigación ha identificado ciertos criterios para un aprendizaje eficaz:
- Haz que las lecciones sean breves pero informativas: amplíalas y repítelas con regularidad para que el aprendizaje sea óptimo.
- Intercalar o cambiar de idea a medida que se aprende, crea pausas naturales entre las sesiones, ayudando a reforzar las ideas. Asegúrate también de señalar las conexiones entre las diferentes áreas de la ciberseguridad y las tácticas de ingeniería social para ayudar a los empleados a entender la complejidad de este tipo de ataques.
- Utilizar "ejemplos concretos" para que el aprendizaje quede grabado en la mente del empleado.
Cuarta práctica: Aclarar y repetir
La ingeniería social, al igual que otros métodos de ataque de ciberseguridad, está siendo optimizada continuamente por los ciberdelincuentes. Asegúrese de que lleva a cabo sesiones de formación periódicas sobre ingeniería social como parte de su programa más amplio de formación sobre concienciación en materia de seguridad. Automatice su campaña de concienciación sobre seguridad para mejorar y optimizar la formación.
Buena práctica cinco: Convierta su lugar de trabajo en una zona de tolerancia cero para la ingeniería social
Al fomentar la confianza de su personal en la detección y prevención de un ciberataque de ingeniería social, su organización creará una cultura de concienciación en materia de seguridad.
Esta cultura fortalecerá a su personal contra los ciberataques, incluso si la ingeniería social es compleja y juega con los temores, el comportamiento, la urgencia y las relaciones de los empleados. Esta cultura se extenderá también a su vida doméstica, mejorando su seguridad general y ayudando a reducir el riesgo de los entornos de trabajo en casa.
En los ciberataques que utilizan técnicas de ingeniería social, el ser humano es la vulnerabilidad de la seguridad. Si dota a su personal de los conocimientos necesarios para detectar los intentos de ingeniería social, dará poder a su empresa y a sus empleados.