Para proteger nuestra información, tanto personal como empresarial, implementamos diversos tipos de controles de seguridad, como circuitos de cámaras, cajas fuertes, firewalls, etc., medidas que pueden resultar algo costosas. Sin embargo, sin importar cuántos candados físicos o lógicos haya para proteger un activo, al dar acceso a una persona, siempre existirá un riesgo humano presente, y por tanto, vulnerable a ingeniería social.
La Ingeniería Social basa su comportamiento en “es más fácil manejar a las personas que a las máquinas”. Se utilizan técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier acción que pueda beneficiar al ciberdelincuente.
Los principales canales para su propagación son: correo electrónico, llamadas telefónicas, aplicaciones de mensajería, redes sociales.
¿Cuáles son los ataques más comunes de ingeniería social?
- Correos electrónicos de phishing. Correos electrónicos que parecen proceder de fuentes confiables con el objetivo de influenciar o robar información personal.
- Vishing. Obtener información o generar una acción a través de un teléfono celular o VoIp (llamadas telefónicas de personas que se hacen pasar por una organización respetada).
- Baiting. El atacante carga unidades de USB con malware y simplemente espera a que el usuario lo conecte a su equipo.
¿Cómo nos protegemos?
- Concientizar a las personas y educar sobre seguridad.
- Conocer las diferentes técnicas utilizadas para fomentar la adopción de medidas preventivas.
- Sospeche de llamadas telefónicas, visitas inesperadas o correos electrónicos con preguntas específicas sobre empleados o información interna de la empresa.
- No proporcione información personal o información acerca de su organización, a menos que esté seguro que la persona es la indicada para obtenerla.
Ahora que conoces más sobre la ingeniería social y la seguridad de la información, la próxima vez que sientas que tu información está completamente segura, recuerda que no todas las intrusiones son siempre tan obvias; no solo se trata de tener un conjunto de elementos físicos y tecnológicos, y gastar una fortuna en ellos para poder sentirnos protegidos, sino también es un proceso cultural de personas y organizaciones. Si los usuarios (personas) son los eslabones de la cadena más débiles, deben existir controles y políticas que ayuden a disminuir el riesgo que éste pueda representar para las organizaciones.
En Prodigia tu información siempre está segura, ya que somos una Organización Certificada en Gestión de Seguridad de la Información ISO/IEC 27001 avalada por la NYCE, que es un reconocido marco internacional de las mejores prácticas para un sistema de gestión de seguridad de la información. Ponemos en su lugar los controles apropiados para identificar y reducir los riesgos de ataques informáticos y diversos tipos de amenazas.