INGENIERÍA SOCIAL

Un 7 % de los ataques que sufre una empresa o persona provienen de la ingenería social. Y la atención que le prestamos desde nuestras organizaciones o empresa, inversión y relevancia es prácticamente nula. Antes de gastarte millones en dispositivos de seguridad y firewalls, consolida una base con la formación y concienciación de toda la estructura de personas de tu empresa.

Las técnicas de Ingeniería Social están siendo utilizadas por personas y empresas con intenciones no éticas para obtener acceso a las instalaciones y activos de tu empresa, ya que, las personas somos el producto de seguridad más defectuosos que existe. Buscan engañarte para que des tu contraseña de correo electrónico en el teléfono, buscar a través de contenedores para el papeleo descartado, hay muchas maneras en las que alguien puede poner en peligro la seguridad de tu empresa.

Debemos instalar en las mentalidades de las personas que conforman parte de la empresa u organización el “pensamiento crítico” para hacer frente a estos intentos de ingeniería social. El pensamiento crítico significa pensar dos veces acerca de lo que está haciendo o se le pide que haga.

Las empresas suelen desechar todo tipo de documentos donde aparecen datos sensibles. Es tan fácil como ir al contenedor donde se lanza, para obtener esa información. En el mejor de los casos las empresas cumplen con la normativa y contratan servicios de destrucción de documentos

Las tácticas utilizadas por personas o empresas para substraer información no se limitan al medio cibernético, si no, que intentan introducirse a nivel físico en edificios, cafeterías, eventos, etc... Desde regalar un USB con malware instalado, hasta hacerse pasar por personal de mantenimiento, proveedores u otros colaboradores no necesariamente internos de tu compañía, llevando el uniforme oficial de nuestros colaboradores externos.

Conoce a todos los niveles de tu organización si tus empleados, socios o colaboradores pueden ser influenciados o engañados para poder extraer información, dinero o privilegios de la organización a un competidor o atacante.

Se podría ver como el mayor agujero de seguridad que podemos encontrarnos en Internet. Ya que, va muy relacionado con el comportamiento humano y difícil pero no imposible controlar o mitigar el mismo. Los atacantes se aprovechan de emociones humanas básicas para manipular a las personas y así caer en sus provocaciones desde la curiosidad, miedo o la empatía.

Clasificaríamos las técnicas de Ingeniería Social en tres apartados.

Método pasivo:

Observación, técnicas no presenciales, recuperar la contraseña, ingeniería social y mail, IRC u otros chats, teléfono, carta o fax...

Método no agresivo:

Inducción, acreditaciones, buscando en documentos desechados, mirando por encima del hombro, seguimiento de personas y vehículos, vigilancia de edificios, agendas y teléfonos...

Método agresivo:

Des personalización, chantaje o extorsión, presión psicológica o suplantación de identidad.

La mejor manera de prevenir cual quier tipo de intento de vulnerabilidad del personal de tu organización es la prevención y concienciación de dicho personal. En Andubay nos encargamos de informar, formar y concienciar a toda persona relacionada con la empresa. Desde la revisión de los protocolos de actuación, hasta la implantación de los nuevos y corregidos.