Se tiende a pensar que las situaciones más peligrosas y que hacen más vulnerables a las organizaciones, son los ciberataques de virus, malware, phising etc. Por ello estas buscan herramientas para implementar y proteger su información como firewall, antivirus etc. Y a veces olvidamos o incluso desconocemos que la ingeniería social es el gran enemigo. Y en ocasiones el gran desconocido.
Pero, ¿qué es la ingeniería social?
Se trata de una técnica muy utilizada entre los ciberdelincuentes, que pretende persuadir y manipular a las personas de una organización, para que estas le proporcionen información confidencial o realicen una acción determinada. Una manera de engañar a los trabajadores de la organización y no al propio sistema.
Uno de los motivos más significativos que explica porqué la ingeniería social es el gran enemigo, radica en el ser humano, ya que es la pieza más débil de esta cadena. Lo que hace que el empleado sea el más susceptible de ser atacado y ponga en riesgo a la organización.
Entre los principales objetivos de esta práctica se encuentran:
- Obtención de información
- Acceso a un sistema
- Robo de un activo
Y si además tenemos en cuenta que no hay sistema que no dependa de un ser humano, esto hace que la ingeniería social sea universal e independiente de las soluciones de seguridad implantadas.
Gracias a la confianza que le suele proporcionar a los usuarios el medio por el que reciben dichas solicitudes o la persona que las realiza, hacen que la víctima realice las peticiones sin pensarlo.
Todos consideramos que sabríamos responder y reconocer prácticas de este tipo, el gran problema es que los métodos utilizados por los ciberdelincuentes son muy elaborados y creíbles. Mensajes de cuentas bancarias bloqueadas que requieren verificaciones, se encuentran entre los más comunes.
¿Qué canales de difusión suele utilizar?
- Correo electrónico
- Llamadas telefónicas
- Aplicaciones de mensajería
- Redes sociales
- Dumpster Diving o Trashing (buscar en la basura): búsqueda de agendas telefónicas, dispositivos de almacenamiento, agendas de trabajo etc.
Ahora ya podemos ver más claro que la ciberseguridad no solo depende de un conjunto de herramientas y soluciones que se implantan en los sistemas de información de las organizaciones, si no que es parte de un proceso de formación y cultura empresarial dónde todo el mundo tiene que tener conocimiento y saber que en cualquier momento podemos ser vulnerables.