Ayude a los empleados y consumidores a evitar errores de ciberseguridad autoinfligidos

No debería ser una novedad para nadie que las personas que comparten información en línea estén preocupadas por la seguridad de sus datos. Por eso en este blog analizaremos un estudio que Imperva ha llevado a cabo con YouGov plc sobre la actitud de los consumidores hacia los datos, si se sienten en control de sus datos personales y si confían en las organizaciones encargadas de proteger esta información sensible. De este estudio se desprenden tres tendencias.

1. La mayoría de los consumidores (64%) cree que no tiene elección a la hora de compartir datos en línea. Si quieren utilizar determinados servicios en línea, están más o menos obligados a hacerlo como parte de un «quid pro quo». Al mismo tiempo, los consumidores comparten datos con tanta frecuencia que han perdido la cuenta. De hecho, una minoría significativa ha dejado de preocuparse por completo: el 27% afirma no haberse molestado en cambiar las contraseñas que saben que están comprometidas.

2. A la gran mayoría de los consumidores (86%) les preocupa el robo de datos y sus consecuencias. La principal preocupación (58%) es que los piratas informáticos les roben su dinero y no lo recuperen nunca. La mayoría (74%) afirma que su confianza en la voluntad de los proveedores de servicios digitales de mantener la seguridad de los datos personales ha disminuido, o en el mejor de los casos no ha cambiado, en los últimos cinco años. No parece que unas normas de privacidad de datos más estrictas hayan movido la aguja de la fe en absoluto.

3. A pesar de la falta de fe en los proveedores de servicios digitales, muchos consumidores siguen compartiendo información personal en línea. Dos quintas partes (40%) de los consumidores han utilizado los servicios de mensajería en la nube para hablar de algo que preferirían mantener en privado, a pesar de que el 47% afirma que hacerlo arruinaría las relaciones si la conversación se filtrara. Y lo que es más preocupante, a uno de cada diez le preocupa que le quiten a sus hijos si estas conversaciones privadas salen a la luz.

Para las organizaciones digitales, la protección de los datos sensibles es una decisión empresarial fundamentalmente buena. Hay docenas de tácticas que las organizaciones pueden utilizar para dificultar que los malos actores vulneren las arquitecturas; algunas son sencillas y baratas, y otras son complejas y más costosas. Lo ideal es que estas tácticas formen parte de una estrategia global de seguridad de aplicaciones y datos que proteja a toda la empresa. Dicho esto, al igual que el sistema de seguridad de un edificio perfecto no puede impedir que los ladrones entren si tienen las llaves y los códigos de alarma, el programa de ciberseguridad mejor concebido y más eficiente de la Tierra no impedirá que los ciberdelincuentes pongan en peligro su organización y roben sus datos si los empleados y consumidores simplemente les dan la información que necesitan para entrar.

Las prácticas de seguridad organizacional sólidas son esenciales, pero sólo son parte de la solución. Los ciberdelincuentes se han dado cuenta de que a menudo es más fácil conseguir que los empleados y los consumidores les proporcionen datos sensibles legítimos que les permitan acceder a las cuentas personales y a las arquitecturas de la empresa que diseñar complejos esquemas para colarse. Una vez que están dentro, es cuando pueden hacer verdadero daño. Las organizaciones deben familiarizar tanto a sus empleados como a los consumidores de sus productos y servicios con las tácticas que utilizan los ciberdelincuentes para conseguir que hagan cosas que no son de su interés ni del de la organización.

Ingeniería social

La ingeniería social se refiere a una amplia gama de actividades maliciosas que los ciberdelincuentes llevan a cabo utilizando las interacciones humanas. Utilizan la manipulación psicológica para engañar a las personas para que cometan errores de seguridad o faciliten información sensible. Los ataques de ingeniería social se producen en uno o varios pasos. En primer lugar, el agresor investiga a la víctima prevista para recopilar la información de fondo necesaria, como los posibles puntos de entrada y los protocolos de seguridad débiles, necesarios para llevar a cabo el ataque. A continuación, el atacante se mueve para ganarse la confianza de la víctima y proporcionar estímulos para las acciones posteriores que rompen las prácticas de seguridad, como revelar información sensible o conceder acceso a recursos críticos. Existen muchas tácticas de ingeniería social; entre ellas, el phishing, el spear phishing, el smishing y el vishing.

Phishing y smishing

Los ciberdelincuentes utilizan el phishing para robar los datos de los usuarios, incluidas las credenciales de acceso y los números de las tarjetas de crédito. Un atacante, haciéndose pasar por una entidad de confianza, engaña al destinatario para que abra un correo electrónico, un mensaje instantáneo o un mensaje de texto (smishing). A continuación, engaña al destinatario para que haga clic en un enlace malicioso en el cuerpo del mensaje, lo que puede conducir a la instalación de malware, la congelación del sistema como parte de un ataque de ransomware o la revelación de información sensible. En el caso de los particulares, esto incluye compras no autorizadas, el robo de fondos o la suplantación de identidad.

Spear phishing

Spear phishing es un ataque de phishing más dirigido y personalizado que se refiere a una persona, grupo u organización específica a la que pertenece el destinatario. En un ataque de spear-phishing, el atacante busca más allá de los puntos de entrada y los protocolos de seguridad débiles para centrar el intento en la información personal que la víctima ha compartido en un espacio público como LinkedIn, Facebook, Twitter, Snapchat, Instagram, etc. Por ejemplo, un correo electrónico de phishing podría suplantar a Amazon sabiendo que la mayoría de las víctimas potenciales tienen cuentas de Amazon y pueden ser engañadas. Un ataque de spear-phishing podría hacer referencia a su empleador, su ciudad, su alma mater, su estado civil o parental, cualquier cosa que le diferencie. La mayoría de la gente no piensa en las muchas formas de obtener esta información, pero, francamente, si se dedican cinco minutos a un sitio de redes sociales se puede pensar que no es tan difícil.

Vishing

En un ataque de vishing (abreviatura de voice phishing), un ciberdelincuente utiliza el teléfono para robar información personal de sus objetivos. Los ciberdelincuentes utilizan tácticas de ingeniería social para persuadir a las víctimas de que proporcionen información personal, normalmente con el objetivo de acceder a cuentas financieras. Al igual que el phishing o smishing tradicional, el atacante de vishing debe convencer a la víctima de que está haciendo lo correcto al cooperar con el ciberdelincuente. El atacante puede fingir que representa a la policía, al gobierno, al departamento de impuestos, al banco o al empleador de la víctima.

Cómo pueden las empresas y los consumidores mitigar la ingeniería social

La mejor defensa: convertirse en un objetivo difícil. He aquí algunas prácticas específicas fáciles para evitar que usted, sus empleados y sus consumidores tomen una mala decisión y sean víctimas de un ataque:

No abra correos electrónicos ni archivos adjuntos de fuentes sospechosas: Si no conoces al remitente en cuestión, no es necesario que respondas a un correo electrónico. Aunque lo conozcas y sospeches de su mensaje, coteja y confirma las noticias desde otras fuentes, como el teléfono o directamente desde el sitio de un proveedor de servicios. Recuerde que las direcciones de correo electrónico se falsifican constantemente; incluso un correo electrónico que supuestamente proviene de una fuente de confianza puede haber sido iniciado por un atacante.

Desconfíe de las ofertas tentadoras.

Si una oferta suena demasiado tentadora, piénsatelo dos veces antes de aceptarla como un hecho. Buscar en Google el tema puede ayudarte a determinar rápidamente si se trata de una oferta legítima o de una trampa.

Mantenga actualizado su software antivirus/antimalware: Asegúrate de que las actualizaciones automáticas están activadas, o acostúmbrate a descargar las últimas firmas a primera hora del día. Comprueba periódicamente que se han aplicado las actualizaciones y analiza tu sistema en busca de posibles infecciones.

Obtener e impartir formación sobre las mejores prácticas de ciberseguridad: Asegúrese de que sus empleados y los consumidores de sus servicios digitales tienen la formación suficiente para identificar las estafas de ingeniería social y saber qué hacer cuando se presentan.

Si necesitas ayuda para mantener una capacitación constante en temas de concientización en seguridad cibernética para los colaboradores de tu organización o si requieres una solución que te brinde seguridad de datos, contáctanos. 

Fuente: Imperva