top of page

Ingeniería social, la debilidad de la ciberseguridad

Una gran promesa con una gran llamada. A menudo escuchas esto en el mundo de la ciberseguridad, donde a continuamente se te promete una solución rápida y fácil para satisfacer todas tus necesidades, resolviendo tus problemas cotidianos de inmediato. Podría ser una herramienta impulsada por IA, una nueva herramienta de gestión senior o algo más, y podría terminar haciendo bastante bien lo que promete.


Pero, ¿es la herramienta mas viable para todos sus problemas de ciberseguridad? No. No existe una solución simple basada en tecnología para el mayor problema: la acción humana.


No importa qué tan avanzada sea su mejor defensa. Autenticación multifactor, herramientas de inteligencia artificial, todo lo cual se pierde fácilmente cuando Bob, de un departamento desconocido, hace clic en un enlace de phishing en un correo electrónico.


No repasamos pasos anteriores y cometemos mismos errores


Todos escuchamos. El hecho de que los humanos sean una falla crítica en las estrategias de ciberseguridad no es nuevo, o al menos no lo es. Sin embargo, pregunte a Uber o Rockstar Games si creen que sus sistemas están protegidos contra la ingeniería social.


Ambas compañías fueron pirateadas recientemente después de que un ciberdelincuente engañó a un empleado para que hiciera algo en contra de todas las mejores prácticas de seguridad. Incluso podría preguntarse si este empleado ha tenido alguna capacitación en seguridad cibernética.


En ambos casos, un ataque exitoso no requiere la participación de un atacante altamente calificado, utilizando las herramientas más modernas y utilizando vulnerabilidades no descubiertas. Todo lo que se necesita es un simple mensaje de ingeniería social como, "Hola Bob, estoy en el equipo de TI y necesitamos verificar algo en su computadora, así que le enviaré un lanzador. Simplemente haga clic en el enlace a continuación". ".

Sin embargo, no estamos aprendiendo

La ingeniería social fue la fuerza impulsora detrás de la piratería hace más de 20 años y, obviamente, aún no nos hemos librado de ella. Además, la ingeniería social efectiva no se limita a organizaciones no técnicas. Por ejemplo, un usuario sin experiencia de un regulador gubernamental puede no estar en contra de la ingeniería social, pero es menos probable que alguien que trabaja para una empresa tecnológica líder y podemos ver que tanto Uber como Rockstar Games han sufrido de ingeniería social.


En algún momento, como profesional de la ciberseguridad dedicado a educar a los usuarios e informarles sobre los riesgos a los que se enfrentan (y, por lo tanto, a su organización), puede pensar que sus compañeros de trabajo dejarán de engañarlo con, literalmente, el truco más antiguo del mundo. piratear un libro.


Tal vez el usuario no estaba prestando atención durante el tutorial, o estaba demasiado ocupado haciendo otras cosas para recordar que alguien le dijo que podía y no podía hacer clic. Sin embargo, los ataques de ingeniería social aparecen con tanta frecuencia en las noticias principales, especialmente en las noticias de seguridad cibernética, que la excusa "No sabía que no podía hacer clic en los enlaces" enlaces en el correo electrónico "se está volviendo cada vez más difícil de aceptar.


Reforzar con fuerza el mensaje: esa es su única opción


No existe una solución viable para el impacto del comportamiento humano en la ciberseguridad. La gente se distrae y cae en los mismos engaños, y como en todas las áreas de la vida donde la gente siempre comete errores, aumentar la educación es realmente la única forma.


Si las empresas impulsadas por la tecnología como Uber y Rockstar Games pueden estar equivocadas, otras también. La única opción disponible es proporcionar las mejores prácticas de seguridad cibernética a cada empleado a través de rigurosos programas de educación. La capacitación no solo requiere usuarios: estos métodos también deben aplicarse dentro de su equipo de seguridad, incluidas las contramedidas, los permisos y la postura general de seguridad.


Siempre existirá el riesgo de que un visitante tenga un mal día al hacer clic en un enlace que promete que alguien en una parte remota del mundo está tratando de darles millones de dólares si simplemente visitan el sitio. Sin embargo, como con todos los enfoques de ciberseguridad, el enfoque debe estar en mitigar y mitigar este riesgo. La mejor defensa es potenciar y aprender continuamente.


Sin embargo...

Como empresa nos preocupamos por los tipos de métodos que se utilizan hoy en día para robar tu información, por eso puedes preguntar sobre nuestros diferentes servicios para evitar estafas en tu contra:


Consultoría:

La consultoría en el estándar de protección de información ISO27001 permite a las empresas proteger los datos siguiendo los procedimientos adecuados para asegurar que dicha información solo llegue a las personas adecuadas y que éstas hagan uso de forma correcta a los accesos.


Creación de Campañas de concientización:

Es necesario crear en las personas los niveles de conocimiento y los procedimientos que se deben llevar a cabo cuando se encuentre con un incidente de mal uso de la información.


Capacitaciones:

La seguridad de la información es una responsabilidad que todo el equipo de la empresa debe tener, por lo tanto, Trust ofrece capacitaciones que concienticen a todas las áreas de la empresa. Este servicio puede abarcar una amplia cobertura brindándose a todos los niveles o limitarse al área TI.


Algunos temas son:

  • Ethical Hacking.

  • Auditoria Forense.

  • Buenas practicas TI.

  • Seguridad de la nube.

  • Ciber seguridad para ejecutivos.

  • Disminución de brechas de seguridad.

bottom of page