Tendeix a pensar que les situacions més perilloses i que fan que les organitzacions siguin més vulnerables, siguin ciberatacs de virus, malware, phising, etc. Allò és per què busquen eines per desplegar i protegir la seva informació com tallafoc, antivirus etc. I de vegades ens oblidem o fins i tot no sabem que l’enginyeria social és el gran enemic. I de vegades el gran desconegut.
Però què és l’enginyeria social?
És una tècnica àmpliament utilitzada entre els ciberdelinqüents, que té com a objectiu persuadir i manipular les persones d’una organització, de manera que et proporcionin informació confidencial o prenguin una determinada acció. Una manera d’enganyar els treballadors de l’organització i no del propi sistema.
Una de les raons més significatives que explica per què l’enginyeria social és el gran enemic, rau en l’ésserhumà, ja que és la peça més feble d’aquesta cadena. El que fa que l’empleat sigui el més probable que sigui atacat i posa en risc l’organització.
Entre els objectius principals d’aquesta pràctica es troben:
- Obtenció d’informació
- Accés a un sistema
- Robar un actiu
I si també tenim en compte que no hi ha un sistema que no depengui d’un ésser humà, això fa que l’enginyeria social sigui universal i independent de les solucions de seguretat implementades.
Gràcies a la confiança que sol facilitar als usuaris els mitjans pels quals reben aquestes sol·licituds o la persona que les fa, fan que la víctima faci les peticions sense pensar-hi.
Tots creiem que seríem capaços de respondre i reconèixer pràctiques d’aquest tipus, el gran problema és que els mètodes utilitzats pels ciberdelinqüents són molt elaborats i creïbles. Els missatges dels comptes bancaris bloquejats que requereixen verificacions són dels més comuns.
Quins canals de difusió utilitzes habitualment?
- Correu electrònic
- Trucades telefòniques
- Aplicacions de missatgeria
- Mitjans de comunicació social
- Dumpster Diving o Trashing: cerca de llibres telefònics, dispositius d’emmagatzematge, horaris de treball, etc.
Ara podem veure més clar que el la ciberseguretat no només depèn d’un conjunt d’eines i solucions que s’implementen en els sistemes d’informació de les organitzacions, sinó que forma part d’un procés de formació i cultura empresarial on tothom ha de tenir coneixement i saber que en qualsevol moment podem ser vulnerables.