Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

Automatización de la concienciación sobre la seguridad

Automatice fácilmente la formación sobre concienciación en materia de seguridad, phishing y políticas en cuestión de minutos

Liderazgo

Conozca al equipo directivo de MetaCompliance

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Ataques de ingeniería social: 5 ejemplos destacados de social engineering

Social engineering: 5 ejemplos de ataques de ingeniería social

sobre el autor

Compartir esta entrada

¿Qué es el social engineering? Explora en el artículo cinco ejemplos famosos de ataques de ingeniería social y descubre cómo estas tácticas engañan a las personas. En efecto, los seres humanos son seres intrínsecamente sociales, les gusta interactuar, comunicarse, trabajar y participar en actividades compartidas. Esta sociabilidad, basada en la confianza, facilita la cooperación y la convivencia dentro de los grupos humanos.

Sin embargo, estos mismos rasgos sociales también son explotados por los ciberdelincuentes con el objetivo de causar daño. Los ataques de ingeniería social aprovechan estas vulnerabilidades, utilizando el engaño y la suplantación de identidad para manipular a las personas y llevar a cabo acciones que sirvan a los intereses del estafador.

Así lo confirma el Informe de Verizon sobre investigaciones de filtraciones de datos (DBIR) de 2023, según el cual en el 82% de las filtraciones interviene un elemento humano.

A continuación se explica cómo se producen los ataques de ingeniería social y qué puede hacer usted para evitar que su personal sea objeto de ingeniería social.

¿Cómo se producen los ataques de ingeniería social?

Según un informe reciente, una organización media sufre 700 ataques de ingeniería social al año. Los ataques de ingeniería social adoptan muchas formas y evolucionan hacia otras nuevas para eludir su detección.

El objetivo de un ataque de ingeniería social es conseguir que alguien haga algo que beneficie al ciberdelincuente. Por ejemplo, engañar a una persona para que revele detalles financieros que luego se utilizan para llevar a cabo un fraude.

La ingeniería social no sólo se lleva a cabo mediante métodos digitales. Los ingenieros sociales recurrirán a cualquier táctica para construir las estructuras necesarias para engañar a la gente. Esto puede incluir el uso del teléfono o entrar en una oficina y charlar con el personal.

Los trucos de ingeniería social favoritos actualmente son:

Pretexting y tailgating: los atacantes se harán pasar por un compañero de trabajo o una persona con autoridad, por ejemplo, un agente de policía. Utilizarán esta apariencia para establecer la confianza con un objetivo a través de un método digital, por teléfono o en persona. Una vez establecida la confianza, el estafador intentará extraer información, como datos personales o financieros.

Además, los "tailgators" suelen llevar a cabo ataques físicos contra empresas, encontrando la forma de entrar en un edificio, colándose sin ser vistos o incluso invitados. Una vez dentro de un edificio, pueden utilizar herramientas fácilmente disponibles, como RubberDucky USB utilizado por los probadores de penetración legítimos, para robar datos, incluidas las credenciales de inicio de sesión.

Phishing: el phishing se presenta en varios formatos, como el correo electrónico, las llamadas telefónicas, las publicaciones en redes sociales y los mensajes de texto. Los mensajes de ataque de phishing encapsulan tácticas de ingeniería social, utilizando la simulación, la confianza y el impulso de hacer clic para animar a los destinatarios a divulgar información personal, como contraseñas y datos de tarjetas de crédito.

Un estudio del Gobierno del Reino Unido sobre ciberseguridad reveló que la gran mayoría (83%) de las empresas que identificaron un ciberataque dijeron que el phishing era el vector principal del mismo.

El spearphishing es la forma selectiva de phishing que lleva la ingeniería social a las mayores cotas de éxito. Los correos electrónicos de spearphishing son difíciles de diferenciar de los legítimos porque los estafadores hacen todo lo posible para que parezcan realistas, a menudo estableciendo relaciones de confianza con su objetivo. El spearphishing está detrás del 93% de los ciberataques, según el DBIR de 2018.

Baiting: este ataque de ingeniería social utiliza la seducción o el miedo a perderse (FOMO) para fomentar determinados comportamientos. Por ejemplo, a un empleado se le pueden ofrecer regalos si proporciona información personal o de la empresa o contraseñas.

¿Por qué son eficaces los ataques de ingeniería social?

Los seres humanos han evolucionado para actuar y comportarse de determinadas maneras para establecer estructuras sociales fuertes y cohesionadas. Elementos como la confianza son componentes vitales de las sociedades coherentes. Sin confianza, las relaciones fracasan.

Los estafadores entienden el comportamiento humano y la necesidad de establecer relaciones de confianza. También saben cómo manipular a la gente haciéndose pasar por una persona de confianza o generando confianza.

Otros comportamientos humanos, como el deseo de hacer un buen trabajo, no meterse en problemas o no perderse algo bueno, también son objeto de abuso por parte de los ciberdelincuentes. Todas estas acciones naturales que realizamos a diario en nuestra vida doméstica y laboral son susceptibles de ser explotadas por los ciberdelincuentes que pretenden robar datos y acceder a las redes para realizar actos maliciosos.

Social engineering: 5 ejemplos famosos de ataques de ingeniería social

Los ejemplos de ingeniería social aparecen regularmente en la prensa, pero aquí hay cinco para darle una idea de cómo funciona la ingeniería social:

Hotel Marriott: un grupo de hackers utilizó tácticas de ingeniería social para robar 20 GB de datos personales y financieros de un hotel Marriott. Los piratas informáticos engañaron a un empleado del hotel Marriott para que les diera acceso a su ordenador.

Departamento de Trabajo de los Estados Unidos (DoL): se trataba de un ataque de ingeniería social que robaba las credenciales de inicio de sesión de Office 365. El ataque utilizó un sofisticado phishing basado en dominios suplantados de forma inteligente que parecían el dominio legítimo del DoL. Los mensajes de correo electrónico parecían proceder de un empleado de alto nivel del DoL que les invitaba a presentar una oferta para un proyecto gubernamental. Al hacer clic en el botón de la oferta, el empleado accedía a un sitio de phishing utilizado para robar credenciales.

Usuarios de Zoom: una campaña de phishing dirigida a empleados afectó al menos a 50.000 usuarios. Los ingenieros sociales utilizaron el miedo al despido para animar a los empleados a hacer clic en un enlace para reunirse con RRHH a través de Zoom. Al hacer clic en el enlace, el empleado accedía a un sitio de inicio de sesión de Zoom falso diseñado para robar contraseñas.

FACC (fabricante austriaco de aviones): FACC perdió alrededor de 42 millones de euros cuando la empresa fue víctima de una sofisticada estafa de correo electrónico comercial (BEC). Se suplantó la cuenta de correo electrónico del director general de la empresa y se utilizó para enviar un correo electrónico "urgente" solicitando una transferencia de fondos. Este correo electrónico engañó a un empleado encargado de pagar la cuenta, que accedió a la solicitud, ingresando el dinero en la cuenta del estafador.

Llamada de atención de CrowdstrikeIncluso los proveedores de seguridad están sintiendo la fuerza de la ingeniería social. Crowdstrike se ha convertido en un peón involuntario en el juego de los ingenieros sociales. Los estafadores están utilizando la marca de confianza de Crowdstrike y otros proveedores de seguridad para enviar correos electrónicos de phishing a los empleados. El correo electrónico contiene detalles de una posible infección de malware y un número de teléfono al que llamar para eliminar el malware instalado. Si el empleado llama al número, se le engaña para que dé al atacante acceso a su ordenador.

Cómo protegerse contra los ataques de social engineering

La ingeniería social tiene éxito porque la técnica manipula nuestras acciones cotidianas. Esto hace que sea difícil para los empleados darse cuenta de que son parte de un ataque de ingeniería social.

La ingeniería social debe formar parte de la conversación en torno a la concienciación sobre la seguridad, y las políticas de seguridad deben reflejarlo. Sin embargo, hay formas prácticas de garantizar que los empleados estén al tanto de los trucos que utilizan los estafadores de ingeniería social:

Haga que la ingeniería social forme parte de su cultura de seguridad:

  1. Involucrar al personal en las actualizaciones periódicas sobre la ingeniería social y su funcionamiento.
  2. Asegúrese de que la ingeniería social forma parte de su formación periódica de concienciación en materia de seguridad.
  3. Incluya la ingeniería social en los carteles del mes de concienciación sobre seguridad y envíe boletines informativos al personal sobre los problemas causados por la ingeniería social.

Implemente simulaciones de phishing: utilice una plataforma avanzada de simulación de phishing para formar al personal sobre el aspecto de los correos electrónicos de phishing y para probar su respuesta a un correo electrónico de phishing. Adapta estos correos a los diferentes roles de tu organización y basa las simulaciones en tácticas conocidas utilizadas por los estafadores.

Pruebas de penetración en su empresa y su personal: establezca varios escenarios de prueba para ver cómo responde el personal a posibles intentos de ingeniería social. Esto puede incluir pruebas para ver lo fácil (o difícil) que es entrar en el edificio.

Además, ponga a prueba al personal y su respuesta ante personas desconocidas. Por ejemplo, haga pasar a los probadores por limpiadores o contratistas y vea hasta dónde pueden llegar para extraer información sobre su empresa o pedir acceso a un ordenador.

Ataques de ingeniería social: 5 ejemplos destacados de social engineering
phishing francés img

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes