El fabricante de soluciones de seguridad en la nube, Spamina, ha lanzado al mercado la nueva versión de Parla, el entorno de colaboración cloud, que incorpora mensajería instantánea segura integrada en el Webmail para sus clientes. ParlaMI, como han bautizado a este nuevo servicio, garantiza la privacidad mediante una conexión segura punto a punto, y ya está disponible de forma gratuita para los clientes de Spamina. Además, los usuarios de ParlaMI dispondrán próximamente de la opción de filtrado y archivado de las conversaciones. 

Incluso con las mejores precauciones y técnicas de seguridad, toda empresa tiene un factor de riesgo difícil de controlar: el humano. Para obtener datos importantes o acceder a ellos, un hacker necesita entender no solo a los ordenadores, sino también a las personas ¿Qué es exactamente la ingeniería social y cómo puedes protegerte de ella? A estas preguntas clave responderemos a continuación en este artículo.

¿Qué se esconde detrás de la “ingeniería social”?

La ingeniería social consiste en manipular a las personas a nivel interpersonal. Implica que el hacker intente ganarse la confianza de la víctima y persuadirla para que revele información confidencial, por ejemplo, o de que comparta los datos de la tarjeta de crédito y las contraseñas.
La ingeniería social no es algo que ocurra solamente en Internet, sino que se trata una táctica de estafa que se ha utilizado durante muchas décadas. Una de las estratagemas más conocidas es la “estafa de los abuelos”, en la que un estafador llama a un anciano por teléfono y se hace pasar por un pariente que necesita dinero desesperadamente (programa de la policía alemana para la prevención del delito, 2017).
Los delincuentes también utilizan regularmente la ingeniería social para obtener beneficios económicos a través de los servicios de citas online. Una mujer aparentemente joven y atractiva se pondrá en contacto con un hombre que obviamente está buscando una nueva pareja. El impostor desempeña su papel de mujer soltera enamorada lo suficientemente bien como para ganarse la confianza de la víctima en un tiempo relativamente corto. Luego, el criminal le pide a la víctima que le ayude con dinero para algo como visitar a “su nueva pareja”, después de lo cual a menudo corta el contacto.

 

Ataques de ingeniería social a las empresas

Si el pirateo social funciona en la esfera privada, entonces las empresas son el siguiente objetivo para los delincuentes, principalmente porque a menudo hay mayores sumas de dinero disponibles. Los hackers siguen el mismo enfoque que los particulares, aunque la obtención de la información necesaria para un ataque profesional lleva mucho más tiempo. Esto hace que la siguiente información sea especialmente relevante para los ciberdelincuentes:

  • ¿Quién es el jefe de la empresa (CEO) y qué personas ocupan puestos de liderazgo?
  • ¿Quién está autorizado a hacer transferencias bancarias?
  • ¿Cuándo está el CEO de vacaciones o fuera de la ciudad en un viaje de trabajo?
  • ¿Qué actividades comerciales se están realizando en el momento?

Por lo general, los hackers se dirigen a un empleado que tiene autorización para realizar transacciones financieras, enviándole un mensaje urgente desde una dirección de correo electrónico falsa que parece provenir del jefe.

Debido a la aparente urgencia de la solicitud, el destinatario del correo electrónico se ve obligado a seguir las instrucciones de su superior sin hacer preguntas significativas. Una vez que los datos han sido enviados, el cibercriminal se pone manos a la obra, o recibe el dinero directamente en su cuenta mediante una transferencia. En 2016, grandes empresas como la aeronáutica austriaca FACC y el fabricante de cables Leoni, con sede en Nuremberg, aprendieron duras lecciones financieras sobre este modus operandi cuando sufrieron pérdidas de varios millones de euros.
Pero ten cuidado: los directores ejecutivos y la gente de contabilidad no son las únicas personas vulnerables:
“Hola, Soy Félix de TI. He notado algunas irregularidades en tu cuenta en nuestro sistema. ¿Puedes darme un momento tus datos de acceso para revisarlo?
Saludos,
Félix”

¿Cómo reaccionarías ante un mensaje como éste? ¿Responderías? Puede que no conozcas a todos los del departamento de TI, pero Félix parece ser un compañero de trabajo y está tratando de ayudarte a salvaguardar la seguridad interna de la empresa.
La mayoría de los empleados no están familiarizados con todo el equipo de TI, sobre todo en las grandes empresas. Cualquiera que confíe en un correo electrónico de este tipo hace posible que datos confidenciales sean robados y pone a muchas otras áreas de un negocio en un gran riesgo.

 

Phishing: la forma impersonal de la ingeniería social

Un tipo menos trabajado de ingeniería social es el clásico correo electrónico de phishing. Esto suele implicar correos electrónicos falsos de PayPal que contienen un enlace a un sitio web simulado tan parecido al original que es difícil notar cualquier engaño. El correo electrónico pedirá a las personas que actualicen o verifiquen sus datos de acceso en ese sitio web, pero, al hacerlo, los datos llegarán directamente a las manos de los estafadores.
A diferencia de un correo electrónico personalizado, estos mensajes son muy genéricos. El correo electrónico de phishing clásico se basa en un método simple y menos costoso, lo que significa que se envían grandes volúmenes de este tipo de correos. Aunque sólo una fracción de los receptores caiga en la trampa, el ataque de ingeniería social para los hackers habrá valido la pena.

 

La ingeniería social no necesita expertos en programación

Los obstáculos técnicos se superan simplemente empleando trucos psicológicos, y los hackers explotan a las personas como el eslabón más débil de la cadena de seguridad de TI. Incluso la bóveda más segura del mundo puede abrirse si se entregan los datos de acceso a personas no autorizadas. Esto ahorra al delincuente una gran cantidad de esfuerzo técnico y disminuye la posibilidad de que sean detectados por las medidas de seguridad de TI.
Si hubieras respondido al correo electrónico de Félix, el hacker se habría infiltrado en la red de la compañía en pocos minutos. Sin esfuerzo, sin conocimientos de programación, sin grandes riesgos. Los delincuentes aprovechan la confianza y la curiosidad fundamental de los empleados para robar datos o dinero.

 

¿Cómo puedo protegerme a mí y a mi empresa contra la ingeniería social?

Organiza regularmente sesiones de capacitación preventiva para ti mismo y tus colegas sobre los peligros de los correos electrónicos falsos. Los correos electrónicos de información regulares también pueden ayudar a crear conciencia sobre el tema.
Mientras los delincuentes no tengan acceso a la cuenta de correo electrónico de un empleado o del director ejecutivo, hay varias maneras diferentes de reconocer los correos electrónicos falsos:

1. Verifica la dirección del remitente: Comprueba cuidadosamente la dirección del remitente. ¿La dirección de correo electrónico es correcta? ¿Han intercambiado alguna letra, tal vez? ¿Quizá una “i” mayúscula que reemplace una “L” minúscula? A menudo habrá una segunda dirección de correo electrónico generada automáticamente e irrastreable detrás de la primera. Si crees que un correo electrónico es sospechoso, puedes echar un vistazo más de cerca al encabezado. Se puede encontrar información como el remitente real y el servidor desde el que se envió el mensaje en el encabezado de un mensaje de correo electrónico. En la mayoría de los casos, el remitente es el criterio más claro para identificar un ataque de fraude.

2. Compruébalo tú mismo: Contacta a tus colegas directamente si no estás seguro. Llama a la persona en cuestión o habla con ella cara a cara.

3. Retórica: Es importante que no te dejes intimidar, especialmente con los ataques a los CEO,. Pregúntate si el jefe realmente quiere transferir 20.000 euros a una cuenta desconocida sin que nadie lo sepa. O considera si su colega de TI, Félix, podría haber notado una “actividad inusual” y por qué eso le haría requerir su acceso de todos modos. Incluso como particular, si recibes un correo electrónico extraño de una empresa de la que eres cliente, puede ser útil realizar una breve llamada a su equipo de soporte.

4. Presta atención a los errores ortográficos: Los correos electrónicos de phishing, en particular, están llenos de palabras mal escritas; desde un nombre mal redactado hasta un lenguaje descuidado, que sugiere que el texto no fue escrito por un hablante nativo sino quizás traducido por un software de lenguaje automatizado.

5. No hagas clic en los enlaces: Si el contenido de un correo electrónico te hace dudar, lo mejor es no hacer clic en ningún enlace que venga en él y, en su lugar, acceder directamente a la página web en cuestión a través de tu navegador. Por ejemplo, si Amazon te pide que actualices tus datos, debes ir directamente a Amazon.com y buscar el mensaje correspondiente allí. Si no encuentras nada, es probable que hayas recibido un correo electrónico de phishing.

6. Pasa el ratón por encima de los enlaces: Antes de abrir un enlace, pasa el ratón sobre él. En la mayoría de los navegadores, se abrirá una pequeña ventana en la parte inferior izquierda. Esta es la URL a la que se accederá cuando se haga clic en el enlace. La comprobación de la URL proporciona información sobre el verdadero destino de la dirección web mostrada.

Cuestionario sobre phishing de Google: prueba tu conocimiento de forma gratuita

Hace unas semanas, Google creó un cuestionario de seguridad en respuesta al fuerte crecimiento de los ataques de phishing. Este cuestionario te reta a que intentes detectar un correo electrónico de phishing. ¿Eres capaz de distinguir un ataque de ingeniería social? Averígualo en https://phishingquiz.withgoogle.com/

 

Protección adicional: Advanced Threat Protection

Por lo general, los correos electrónicos clásicos de phishing serán identificados y eliminados de inmediato por un buen filtro de spam. Un ataque personalizado de ingeniería social, sin embargo, no es muy diferente de un correo electrónico perfectamente normal. Estos correos electrónicos no deseados terminarán en tu bandeja de entrada a pesar del filtrado de spam.

Advanced Threat Protection va un paso más allá: sus filtros profundos y mecanismos de detección heurística descubrirán casi cualquier correo electrónico falso. Con la ayuda de la IA, el filtro aprende de cada ataque y mejora así su tasa de detección a diario. Advanced Threat Protection cubre muchos de los puntos anteriores de forma completamente automática.
Sin embargo, en última instancia, siempre debes cuestionar todos los mensajes de correo electrónico que te lleguen y ser cauteloso a la hora de compartir