25 de diciembre de 2024

Cinco ataques de ingeniería social que las empresas deben conocer y prevenir

Cinco ataques de ingeniería social que las empresas deben conocer y prevenir

En los últimos años, la ciberseguridad se ha convertido en una de las prioridades para las empresas. Se calcula que el número de trabajadores en ciberseguridad en el mundo asciende a 4,7 millones de personas a finales de 2022, la cifra más alta jamás registrada1. Sin embargo, sigue existiendo un déficit global de mano de obra de más de 3 millones de personas en el sector de la ciberseguridad.2 

Una realidad convive con el hecho de que más personas se estén formando en ciberseguridad, como demuestran los datos de Udemy, la plataforma líder de aprendizaje y enseñanza online, pues la demanda de los cursos relacionados con esta materia han crecido hasta un 279% en el último año, según el informe ‘2023 Workplace Learning Trends’ elaborado por la compañía.

Sin embargo, no todos los ataques cibernéticos se dirigen a dispositivos tecnológicos, también existe lo que se denomina como ingeniería social. Los ataques de ingeniería social no se dirigen a los dispositivos tecnológicos, sino, a lo que el ingeniero social considera el eslabón más vulnerable: el usuario. El atacante se sirve de engaños basados en las respuestas psicológicas conscientes -la lógica y la razón- o subconscientes de las personas, de tal forma que estas puedan servirle para conseguir información personal, contraseñas o datos bancarios.

De acuerdo con Diego Barrientos, experto en ciberseguridad e instructor en Udemy, la plataforma líder de formación y aprendizaje online-, “los ataques sin tecnología son más peligrosos porque escapan del radar de detección de todas las herramientas de seguridad por software de las empresas. De este modo, las filtraciones pueden permanecer varios meses, o incluso años, sin ser detectadas, dándole a los atacantes la posibilidad de operar sin limitaciones sobre los activos de las organizaciones afectadas”.

De este modo, Udemy, de la mano de Diego Barrientos, revela 5 ataques de ingeniería social que las empresas deben conocer y prevenir:

  • Hacer uso de la caridad y de la reciprocidad en los controles de seguridad física de las empresas. 

Esta técnica es una de las que más pueden pasar desapercibidas para la seguridad de las empresas, ya que pueden ser personas mayores o niños que, supuestamente, necesitan urgentemente utilizar el servicio o requieren algún tipo de favor.

Para evitarlo es importante que todas las personas que acceden a la empresa estén correctamente identificadas o previamente autorizadas. En este último caso, se recomienda recoger los datos del visitante.

  • Trashing. 

Este tipo de ataque se lleva a cabo principalmente una vez dentro de las instalaciones de la compañía, pero también en los contenedores de residuos de la vía pública pertenecientes a las empresas. Esta acción sirve para recolectar información a partir de los documentos desechados por los trabajadores.

La solución a este potencial riesgo es triturar siempre todos los documentos confidenciales e importantes a nivel empresarial que se desechan, de manera que no puedan reconstruirse para extraer información.

  • Diálogos de ascensor. 

Los momentos en un ascensor suelen dar lugar a conversaciones cordiales y amistosas entre sus ocupantes, con el fin de hacer más ameno el recorrido en este espacio tan reducido. Pero, para el ingeniero social, estas conversaciones son la oportunidad perfecta para obtener información como nombres de directivos o áreas importantes de la empresa, la cual será posteriormente utilizada para sus ataques.

Para prevenirlo es esencial evitar mantener conversaciones de trabajo en los trayectos en ascensor en los que viajan más personas ajenas a la organización. 

  • Observar el desgaste de los teclados. 

Una vez dentro de las empresas, espacios de coworking, bibliotecas o cafeterías, los ingenieros sociales pueden conseguir información sin necesidad de hablar con nadie y ni siquiera tocar nada. De esta manera, por ejemplo, mediante la observación del desgaste de los teclados numéricos de los ordenadores visibles, pueden determinar qué usuarios lo emplean más y, por ende, quiénes son los que manejan las finanzas dentro de la empresa.

Para tratar de prevenir este tipo de ataques es importante que, por ejemplo, si trabajamos con ordenadores portátiles, al levantarnos de nuestro puesto de trabajo, bajemos siempre la tapa. Así como, si nos encontramos en un espacio público, mantenernos alerta por si percibimos que alguien nos observa en exceso proceder a cambiarnos de lugar. 

  • Pedir a la recepcionista o secretaria de una empresa una hoja de papel para anotar “algo importante”. 

Aunque esta técnica, a priori, puede parecer inofensiva, los ingenieros sociales esperan descubrir información útil en estas hojas. Si se trata de una hoja extraída de una libreta, esperan que se haya traspasado la tinta o se haya escrito con tanta fuerza que permanezca el rastro de la hoja que una vez estuvo sobre la que ha sido cedida. Si, por el contrario, se trata de una hoja impresa que ha sido reciclada, se busca descubrir al pie de ellas, nombres de ordenadores y carpetas reales presentes en los servidores y máquinas internas para, posteriormente, explorarlas.

Para eludir esto, es fundamental asegurarnos de que al ceder una hoja de papel a una persona ajena a la organización, se le entrega un folio completamente en blanco y extraído directamente del paquete.

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los lectores opinan

¿Qué tendencia en RRHH crees que transformará más las organizaciones en 2025?

Ver los resultados

Cargando ... Cargando ...
Lo más leído

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital