Cómo evitar los ataques de ingeniería social

El Informe de mercado de mitad de año 2022 de Cyber Security Hub reveló que el 75% de los encuestados citaron la ingeniería social y el phishing como la principal amenaza para su organización. Estos resultados se producen tras las advertencias de investigadores como Check Point Research sobre cómo las tecnologías basadas en IA, como ChatGPT, pueden utilizarse para crear correos electrónicos de phishing convincentes.

La ingeniería social es una técnica de estafa insidiosa que se utiliza porque funciona. Ser objeto de ingeniería social es ser explotado utilizando el comportamiento exacto que usted utiliza a diario. Dado que los piratas informáticos entienden cómo manipular a las personas a un nivel básico, puede resultar difícil identificar los ataques. Aquí, MetaCompliance repasa el proceso necesario para garantizar que sus empleados no sean víctimas de un ataque de ingeniería social.

Tres pasos para evitar los ataques de ingeniería social

La prevención de los ataques de ingeniería social, en todas sus formas, requiere procesos y herramientas y debe considerarse un enfoque múltiple. Hay tres elementos básicos que utilizados conjuntamente ayudan a garantizar que su organización y sus empleados estén preparados para hacer frente a cualquier forma de ingeniería social utilizada para llevar a cabo un ataque de ciberseguridad:

1. Estrategias: incorpore la ingeniería social a su estrategia de seguridad.
2. Personalice: forme a los empleados sobre las amenazas de ingeniería social que tienen más probabilidades de sufrir.
3. Informe: Fomente la notificación de incidentes para mejorar su respuesta ante un ataque que implique ingeniería social.

Estrategias: Asegúrese de que su estrategia de seguridad refleja los ataques del mundo real

Los ataques de ingeniería social abarcan muchos escenarios, desde el phishing a la manipulación de relaciones, pasando por versiones físicas de la ingeniería social comoel «tailgating«. A menudo, los piratas informáticos utilizan una mezcla de trucos en la vida real y digitales como parte de un sofisticado ataque de seguridad.

Los correos electrónicos de spear phishing, por ejemplo, pueden ser muy difíciles de detectar y se utilizan a menudo como una forma popular de obtener acceso a credenciales de contraseña o información personal. A menudo, estos ataques en varias fases pueden incluir descargas de malware y crear una sensación de urgencia para animar al destinatario a actuar sin pensar.

Para asegurarse de que su organización cubre todos estos escenarios, elabore una estrategia de seguridad que incluya medidas de detección, procedimientos de notificación de incidentes de seguridad, planes de respuesta ante incidentes y cómo llevar a cabo auditorías de seguridad y privacidad.

Su planificación estratégica debe incluir cómo mitigar el impacto de la ingeniería social; esto consistirá en una formación de concienciación sobre la seguridad que incluya un juego de rol de ingeniería social. Una vez establecidos, su estrategia de seguridad y sus planes de respuesta deben revisarse y actualizarse periódicamente en función de los cambios en el panorama de las amenazas y de las nuevas oportunidades que ofrecen la tecnología y los modelos de trabajo, como el trabajo a distancia.

Personalizar la formación sobre concienciación en materia de seguridad

Lleve a cabo sesiones de formación de concienciación sobre seguridad con los empleados que se basen en amenazas específicas. Esto significa que esas sesiones de formación se realizan en función de la función de un empleado; las distintas funciones de los empleados suelen atraer distintos tipos de ataques de ingeniería social.

Por ejemplo, las estafas Business Email Compromise (BEC) tienden a utilizar la ingeniería social para dirigirse al personal que trabaja en cuentas por pagar o a los ejecutivos de nivel C, ya que estas funciones controlan las finanzas de la empresa.

Un informe reciente de Abnormal Security que analizaba las amenazas por correo electrónico descubrió que alrededor del 28% de los empleados objetivo abrirían un mensaje de texto BEC; de los que abrían estos mensajes relacionados con BEC, el 15% pasaba a responderlos, comprometiéndose así con el estafador y abriendo la puerta a una mayor ingeniería social.

Adapte su formación de concienciación sobre seguridad para realizar una formación basada en roles y centrada en las principales amenazas. Utilice una plataforma que ofrezca plantillas basadas en roles para su uso con ejercicios de simulación de phishing. Cree simulaciones de phishing y sesiones de formación centradas en el tipo de amenazas que probablemente experimentará un empleado o departamento individual.

Fomentar la notificación de incidentes de seguridad

El informe Seguridad anormal también descubrió que sólo el 2,1% de los incidentes de seguridad se comunicaban al equipo de seguridad de la organización. Esto deja un enorme agujero en la capacidad de responder rápidamente a un ataque en curso.

Dado que la ingeniería social suele formar parte de una cadena de acontecimientos que conducen a resultados como el robo financiero o la infección por ransomware, disponer de una alerta temprana de un incidente en curso puede proporcionar la inteligencia necesaria para detener el ataque en seco y mitigar sus daños.

Es esencial proporcionar una forma de informar de los incidentes con facilidad y cultivar un entorno de no culpabilización para fomentar la notificación de incidentes por parte de los empleados. Las organizaciones no deben confiar únicamente en los cortafuegos o en los filtros de spam para prevenir este tipo de ataques.

En su lugar, ofrezca a sus empleados la posibilidad de informar de un incidente cibernético. Informar de un incidente puede ayudar a aliviar el impacto al escalar su respuesta a un empleado con conocimientos. Y lo que es más importante, ofrezca a los empleados un lugar seguro para registrar los detalles del incidente, como un portal dedicado a la notificación de incidentes de seguridad.

Utilizando la información sobre el incidente introducida por el empleado, el equipo de seguridad puede clasificar el incidente, establecer prioridades de respuesta e iniciar protocolos de seguridad. Por ejemplo, la consola MetaIncident de MetaCompliance es un sistema de gestión de incidentes del ciclo de vida que incluye un registro de incidentes para gestionar los problemas. La capacidad de auditar los informes y las respuestas a los incidentes y de generar informes utilizando los datos de un incidente de seguridad también resulta útil para demostrar el cumplimiento de la normativa.

Es probable que la ingeniería social siga siendo un reto para las organizaciones. Las nuevas tecnologías, como las interfaces habilitadas para IA, permitirán a los estafadores construir herramientas de ingeniería social aún más sofisticadas. Sin embargo, una empresa puede detener esta insidiosa amenaza desarrollando programas de educación específicos e integrando la notificación de incidentes en el trabajo diario.