Tendemos a imaginarnos a los hackers como personas ocultas en salas oscuras en rincones alejados del mundo. Y pensamos en los ciberataques como grandes operaciones orquestadas con potentes ordenadores para tirar abajo complejas ciberdefensas. Nada más lejos de la realidad si atendemos a las estadísticas. La mayor parte de ciberataques son del tipo ataque de ingeniería social. Son, básicamente, engaños para conseguir información confidencial.
En la primera mitad de 2018, los robos de datos han batido todos los récords. Según los datos del Breach Level Index de Gemalto, más de 18 millones de registros de datos se pierden o son robados en el mundo cada día. Eso supone que casi 13.000 brechas en la ciberseguridad global tienen lugar cada minuto.
“Y el denominador común entre los cuatro patrones principales de incidentes de ciberseguridad, origen de casi el 90% de los incidentes, es el factor humano”, puntualiza Gamelah Palagonia, Senior Vice President for Network Security, Data Privacy and Technology Errors & Omissions en Willis Towers Watson.
Las técnicas de ingeniería social son variadas. Todas tienen en común que el hacker usa la interacción humana para obtener información que posteriormente utiliza con un objetivo fraudulento. Es decir, utiliza el engaño para acceder, por ejemplo, a un dispositivo de una red privada o a una contraseña que luego le permite infiltrarse en una organización. Las cuatro técnicas más usadas son phishing, spear-phising, vishing y smishing.
A través de una web o un email falso, el hacker suplanta la identidad de una organización respetada. Puede ser una ONG, un banco o una institución académica, por ejemplo. Esta técnica se usa para solicitar información confidencial que después se utiliza para perpetrar el ataque.
Esta versión del phishing se dirige a un objetivo concreto dentro de una organización. Haciéndose pasar por otro empleado o directivo de la misma empresa. Haciéndose valer de una posición de autoridad, solicitan información identificativa, contraseñas o envíos de dinero.
Mediante esta técnica, los hackers utilizan una llamada telefónica fraudulenta siempre haciéndose pasar por una entidad respetable y con el objetivo de obtener información confidencial.
Es cualquier tipo de ataque de phishing llevado a cabo mediante SMS o mensajes a dispositivos móviles. Puede tener que ver con la solicitud directa de información o con la incitación a descargar software malicioso.
“Aunque los ciberataques combinan una amplia variedad de tácticas, está claro que hay un denominador de riesgo muy común: las personas, los usuarios. Las tácticas y técnicas de ingeniería social son componentes de muchos de los ciberataques y el canal principal a través del cual se inician los ataques”, señala Gamelah Palagonia.
Si la mayoría de los ataques tienen su origen en la interacción entre personas, tiene sentido pensar que es allí donde debe levantarse la primera gran barrera de defensa. Una plantilla consciente de los riesgos y con conocimiento sobre los tipos más importante de ataque reduce mucho los ciberriesgos de la compañía.
De hecho, según el estudio The Cost of Phishing & Value of Employee Training del Ponemon Institute, las organizaciones que invierten en formación en ciberseguridad para sus empleados reducen entre el 26% y el 99% el impacto de los ataques de phishing. Partir de estos cinco consejos es una buena manera de empezar a construir una ciberdefensa sólida.
“La simulación de ataques de ingeniería social puede ser una herramienta útil para evaluar de forma rápida y eficaz la susceptibilidad de los empleados a los ataques de phishing. Esto permite a los equipos de seguridad saber qué usuarios representan un riesgo y, por lo tanto, tomar medidas para proporcionar capacitación adicional para reducir estos riesgos”, concluye Gamelah Palagonia.