La mayoría de la gente ha oído el término «ingeniería social» antes. Pero muy pocos pueden imaginar algo concreto en ello. ¡Ofrecemos información!

En pocas palabras, la ingeniería social significa influir o engañar a una persona. La ingeniería social también desempeña un papel fundamental en la seguridad informática.

¿Pero por qué?

Los hackers son como muchas personas. Quieres lograr el máximo resultado con el menor esfuerzo posible. Los ataques a ordenadores, sistemas operativos o redes suelen ser complejos y muy extensos. Si los ciberdelincuentes no pueden explotar las brechas de seguridad existentes en software y hardware, tienen que esforzarse mucho para llevar a cabo con éxito un ataque a una empresa. Primero, hay que localizar un objetivo lucrativo. A continuación, hay que superar el cortafuegos, la VPN y otros mecanismos de protección. Hay que encontrar lagunas y exploits y, en última instancia, deben funcionar.

La protección técnica que las empresas aplican hoy en día para evitar ciberataques es relativamente alta. En este sentido, es bastante difícil para los ciberdelincuentes superar los sistemas y penetrar en el interior de la TI de la empresa. Para lograr su objetivo, los hackers deben utilizar superficies de ataque alternativas. El ser humano está en la mira y sirve como una puerta ideal. En comparación con la defensa técnica, apenas se invierte en el factor humano.

El factor humano como riesgo de seguridad

Los ciberdelincuentes son conscientes de este riesgo de seguridad. Se aprovechan de esto y se dirigen a los empleados de la empresa. Esto se puede hacer directamente mediante una llamada personal o indirectamente por correo electrónico.

También interesante: en su estudio publicado recientemente, Bitkom confirma que un gran número de ataques comienzan con ingeniería social. El 41 por ciento de las empresas encuestadas dijo que hubo intentos de este tipo: el 27 por ciento de los encuestados las contactó por teléfono y el 24 por ciento por correo electrónico.

Pero el objetivo siempre es el mismo. El hacker quiere acceder a datos sensibles, documentos e información (por ejemplo, datos de acceso o datos bancarios) o quiere tomar una acción concreta (por ejemplo, transferir una suma de dinero)*

¿Por qué funciona la ingeniería social?

Esto es fácil de explicar. Los ciberdelincuentes utilizan métodos familiares para manipular a las personas. La ingeniería social se encuentra casi a diario. Ya sea tratando con amigos, familiares o incluso desconocidos. Con medios retóricos o diversos enfoques psicológicos, se puede guiar y motivar a las personas para comportarse de cierta manera. La ingeniería social puede describirse como un arma psicológica.

Puedes leer más sobre la influencia del comportamiento humano en el curso de la ingeniería social aquí .

Al hacerlo, la otra persona debe ser dirigida específicamente. Dependiendo del personaje, hay otros incentivos que pueden atraer a los hackers. Por ejemplo, un empleado reacciona especialmente a la adulación, otro a una apreciación especial y otro más a la presión. Con los estímulos adecuados, es posible que los ciberdelincuentes influyan en las personas para obtener el resultado deseado.

El phishing, la forma más común de ingeniería social

En seguridad informática, la ingeniería social puede darse de formas muy diferentes que no podrían ser más distintas. Además del pretexting, el tailgating o el fraude con el CEO, el phishing** es uno de los tipos más extendidos.

En el phishing, los ciberdelincuentes intentan obtener información sensible y confidencial utilizando correos electrónicos, páginas web falsas u otros métodos. El phishing también afecta a los empleados de forma más o menos personal. Las campañas de phishing tienen un éxito especial si el contenido del correo está adaptado al destinatario o si el destinatario se siente dirigido. Según un estudio de la empresa estadounidense Proof Points, los siguientes ganchos funcionaron especialmente bien en 2020/2021:

1. Campañas de phishing que abordan el coronavirus, la COVID-19 y alertas sanitarias relacionadas
2. Campañas de phishing que proporcionan información sobre el software utilizado en la empresa, por ejemplo, Microsoft Exchange o Outlook
3. Campañas de phishing que ofrecen beneficios para empleados, por ejemplo, un mes gratis en Netflix o vales en Amazon y Starbucks

Los últimos meses lo han dejado claro de todo. La amenaza de ataques de phishing está en constante aumento. Según el informe de ENSISA, el número de ataques de phishing por correo electrónico aumentó más de un 600 por ciento en un mes a principios de 2020. Perseus también puede confirmar que los ataques de phishing están aumentando. Un estudio publicado por Perseus a finales del verano de 2020 muestra que más de la mitad de los ciberataques en 2020 se debieron a phishing.

Puedes descargar el estudio completo sobre ciberseguridad en la oficina central de forma gratuita aquí.

¿Cómo protegen las empresas a sus empleados?

La protección sostenible contra ataques de ingeniería social y phishing, entre otras cosas, requiere un concepto de ciberseguridad sostenible. Con los mismos recursos que una empresa gasta en defensa técnica, también debería invertir en el «cortafuegos humano». Perseo ofrece ese tipo de paquete de concienciación. Con una formación online exhaustiva, consejos y trucos útiles y, sobre todo, simulaciones automáticas de correos electrónicos de phishing, los empleados están específicamente sensibilizados a los patrones de ataque, entrenados para gestionar correos electrónicos de phishing y, por tanto, elevan notablemente el nivel de ciberseguridad de la empresa.

* Fuente: Encuesta actual de Bitkom | Agosto de 2021. Puedes encontrar más contenido aquí.
** El término phishing aquí también incluye subtipos como spear phishing, voice phishing / vishing, smishing, ataques a redes sociales, compromiso de correos electrónicos empresariales, etc.