Seguridad Informática para Empresas – Servicios de Ciberseguridad

INGENIERÍA SOCIAL

14 cibercrímenes más comunes

Lizeth Madeleinne Guzmán Salgado // 08 de Noviembre de 2018

Hacking

PARTE 3

Los 14 cibercrímenes más comunes

Desde R3 Cybersecurity te hablaremos de los cibercrímenes más recurrentes a las que las organizaciones y usuarios se enfrentan y cómo pueden prevenirlas. Para ello, hemos recopilado los 14 ciberataques más frecuentes y de los cuáles debes estar al tanto para poder prevenirlos. Estos estarán divididos en dos partes, cada una compuesta por 7 ciberdelitos.  Podrás ver la publicación de dicho contenido todas las semanas.

Hacking

INGENIERÍA SOCIAL

Ingeniería social, “el arte del engaño, la manipulación inteligente”, es utilizada con más frecuencia por los ciberatacantes para realizar acciones maliciosas.

Posiblemente es considerada uno de los ataques más peligrosos, debido a que es uno de los medios más prolíficos y efectivos para poder acceder a los sistemas de seguridad y de poder quebrantar la privacidad.

Esto se debe, a que el atacante interactúa con el individuo (cliente, trabajador, usuario) utilizando la manipulación psicológica. De este modo, se aprovecha de los aspectos comunes de la psicología humana como; la curiosidad, cortesía, credibilidad, avaricia, desconsideración, timidez y apatía. Este tipo de ataque se puede realizar por medio de teléfono, correo electrónico, contacto directo o correo tradicional.

RAZONES

¿Por qué recurren a este método los cibercriminales?

En primer lugar, porque no existe un sistema informático que prevenga este tipo de ataque.

En segundo lugar, este tipo de ciberataque no necesita tener conocimientos de informática a gran escala.

Por último, mediante la manipulación psicológica; las víctimas proporcionan información necesaria, la cual permite tener acceso ilegal a los dispositivos.

PRINCIPIOS BÁSICOS DE LA INGENIERÍA SOCIAL

Reciprocidad: Si te ofrecen algo a cambio, con el menor esfuerzo posible. ¡Desconfía! ¿Por qué no lo hacen ellos?

Confianza:Seducir al usuario para poder extraerle información confidencial y poder aprovecharse.

Urgencia: Los famosos call to action, ¡es ahora o nunca! ¡aproveche ya! ¡últimos minutos!   Estrategia de ventas de cibercrimen utilizada por huntings. Captan a las víctimas por medio de la urgencia. 

Autoridad: Usurpación de identidad de autoridades importantes (robo del perfil digital del jefe o el encargado) los ciberdelincuentes podrán clonar perfiles o emails.

Consistencia: No nos gusta decir que no, cada vez que nos comprometemos con algún favor, por más raro que sea. ¡Ten cuidado! La cortesía te puede salir cara.

Validación social: Si ha llegado un mail corporativo en la empresa con indicaciones para hacer algo raro y nadie tiene ninguna objeción, y se sobreentiende que no hay ningún problema.  ¿Realmente no hay ningún problema? ¿Es realmente seguro?

RANSOMWARE

¿PERO QUIÉN ES EL PRINCIPAL OBJETIVO DE LOS INGENIEROS SOCIALES ?

A pesar de que atacan a través de los individuos, el principal objetivo sigue siendo las organizaciones, especialmente las empresas de servicios financieros.

Para las empresas se han dado casos en las que es difícil de detectar las vulnerabilidades de suplantación de identidad (phishing) por medio de los emails, ya que el 23% de sus usuarios finales son atraídos para abrir mensajes de phishing y el 11% para abrir archivos adjuntos.

Este tipo de ataques socavan la confianza del cliente en una marca. Además, el riesgo de robo de identidad de un usuario podría costarle la compañía miles de millones de dólares cada año. Debido a que los ataques de ingeniería social han ido aumentando y diversificándose con los años, las empresas se han visto comprometidas por mejorar las formas de rastreo de ataques.

LA INGENIERÍA SOCIAL SE DIVIDE EN DOS GRUPOS

HUNTING 

los hunters se enfocan en obtener la información deseada (acceso a una cuenta, credenciales de acceso a un servicio, activar o desactivar softwares, entre otras cosas), con el menor contacto y exposición directa posible. Estos ataques se dan por medio de campañas de email phishing. Es aquí donde la víctima entre en contacto directo con el cibercriminal por única vez. Estos correos suelen utilizar una entidad o un correo conocido que la víctima reconocerá para no sentir desconfianza en un inicio.

 

FARMING

A diferencia del hunting, que busca obtener algo y luego desaparecer. El farming tiene como objetivo de mantener el engaño el mayor tiempo posible.

De este modo puede obtener una información mucho más detallada y enriquecedora, y así poder atacar mejor a la víctima.  Para este tipo de ataques se suelen usurpar identidades,  las cuales ya han sido robadas con anterioridad.

¿PERO INGENIERÍA SOCIAL ES LO MISMO QUE PHISHING?

 

No, pero en algunos ciberataques se puede emplear esta técnica, ya que cuando se combinan ambos ataques son la herramienta de cibercrimen perfecta. 

El primero te estafa, y el segundo se aprovecha de la situación.

 

INGENIERIA SOCIAL Y TECNICAS

MEDIDAS DE PROTECCIÓN

Elimina cualquier solicitud de información financiera que te solicite contraseñas. No responda ningún mensaje que solicite su información personal.

Rechazar ofertas de ayuda y solicitudes de ayudaLas compañías y organizaciones legítimas no se comunican para brindar ayuda. Si no solicitó específicamente la asistencia, elimine el mail.

Establecer los filtros específicamente altos para evitar el spam. Configure los filtros en su cuenta de correo a alto. Recuerde revisar periódicamente su spam, solo para verificar si algún email legitimo se ha quedado atrapado allí.

Asegure sus dispositivos informáticos. Instale software antivirus, cortafuegos, filtros de correo electrónico y manténgalos actualizados. Mantener actualizado el sistema operativo. Use una herramienta anti-phishing ofrecida por su navegador web o un tercero para alertarlo sobre los riesgos.

No abrir emails y archivos adjuntos de dudosa procedencia. Y si conoces el destinatario, pero aún así el mensaje es inusual, antes de abrirlo o descargarlo, confirma a través de una llamada o desde la página web con la persona/empresa si el destinario es el correcto.

Utiliza autentificación multifactor.

 Por ello, desde R3 CyberSecurity ofrecemos los siguientes consejos: 

Piensa antes de actuar, los spammers desean que la víctima actúe antes de pensar. Si tienes un correo que transmita un mensaje de urgencia o utiliza técnicas de venta de alta presión. Nunca dejes que tácticas influyan en una minuciosa y cuidadosa revisión.

Investiga los hechos, Si tienes mensajes no solicitados, sospecha. Si ves que el correo procede de alguna empresa, antes de dar clic, realiza una investigación para verificar la información.

Ten el control de los links que vas a navegar o buscar. Ten el control de búsqueda del sitio web que estás buscando, para que no seas guiado a una a un enlace falso.

Cuidado con las descargas, si no conoce al remitente y no espera ningún enlace para descargar, ignore el correo.

El secuestro de correos electrónicos es desenfrenado. Los hackers, spammers, y los ingenieros sociales están tomando el control de las cuentas de correo de las personas. No dejes que se aprovechen de tu confianza con las cuentas asociadas o relacionadas de tu entorno social. Asegúrate antes de abrir cualquier link o descargar algo con tus allegados..

Lizeth Madeleinne Guzmán Salgado |  Digital Marketing  Manager in R3 CyberSecurity

Comparte el post con tus amigos

CON LA CONFIANZA DE

logos2

ÚNETE AL EQUIPO

Conoce todas las oportunidades profesionales que te permitirán alcanzar tus metas personales.

R3 Ciberseguridad

© R3 CyberSecurity