Ingeniería Social

Cada vez más ciberdelincuentes emplean técnicas de ingeniería social en sus ciberataques. A menudo, para ellos es más fácil convencer a alguien para que revele información valiosa que intentar vulnerar los perímetros de seguridad de una organización, tarea que requiere de diversos métodos complicados.

Desde Open Data Security le ayudamos a estar preparado y establecer medidas de prevención ante ataques de ingeniería social.

¿Qué es Ingeniería Social?

La ingeniería social es una técnica comúnmente utilizada por ciberdelincuentes para obtener información que luego podrán utilizar en su propio beneficio. Esta consiste en convencer a la persona víctima por medio de técnicas de manipulación psicológica para que realice alguna acción o de información personal o sensible que ayude durante la realización de un ataque contra la organización objetivo, sin que la víctima sospeche de ello.

Tipos de ataques de ingeniería social

Se han identificado numerosos tipos de ataques de ingeniería social, según el objetivo del ciberdelincuente, entre los más comunes están:

Phishing

El phishing es una técnica es muy frecuente y trata de obtener información privada y personal de manera fraudulenta mediante el envío de mensajes de correo electrónico de forma masiva. Los mensajes se camuflan en nombre de una identidad o negocio aparentemente legítimos.

Uno de los ejemplos más comunes de phishing son los mensajes que aparentemente parecen llegar de un banco o de una compañía de tarjetas de crédito solicitando la «verificación» de la información. Además, suelen presionar a la víctima incluyendo en dichos correos advertencias sobre las graves consecuencias en las que podría incurrir la víctima en caso de no proporcionar la información solicitada.

Los datos solicitados pueden ser desde una dirección postal hasta el PIN de una tarjeta de débito o crédito, todo depende del objetivo del phishing.

Spear phishing

Esta técnica es diferente al phishing, pues los correos electrónicos son altamente personalizados y se envían a pocos destinatarios.

Los correos electrónicos de spear phishing son más complejos que los de phishing, pues requieren de una mayor investigación por adelantado sobre la persona, de modo que, «engañar” a la víctima sea más fácil y que esta termine haciendo las acciones que queramos. Al ser un método muy estudiado y personalizado las víctimas suelen ser más susceptibles a caer en este tipo de estafa.

¿Cómo concienciamos sobre este tipo de ataques?

Utilizamos numerosas técnicas para ayudar a los empleados a identificar posibles ataques de ingeniería social y, además, establecer medidas preventivas para minimizar las posibilidades de que ocurran estos ataques.

Nuestras campañas de phishing tienen como misión detectar deficiencias en:

  • El conocimiento y concienciación sobre los procedimientos y normas de seguridad de la organización.
  • La aplicación de los procedimientos de seguridad corporativos.
  • El uso de las tecnologías de seguridad por parte de los empleados de una organización.

Mediante nuestros servicios de Ingeniería Social realizamos pruebas controladas que miden la capacidad de respuesta de los empleados a las amenazas externas. En base a los resultados de estas pruebas, ayudamos a los empleados a responder a los ataques de ingeniería social de la manera más adecuada.

Metodología del servicio de ingeniería social

1. Preparación

· Determinamos los objetivos de la campaña.

· Diseñamos un mensaje personalizado que utilizaremos durante la campaña de phishing según el objetivo del mismo.

· Diseñamos el proceso de entrega y medición de los resultados.

2. Infraestructura

Tenemos infraestructura preparada especialmente para la simulación de este tipo de ataques. Según el objetivo que se plantee para la campaña, utilizaremos infraestructura adecuada para la consecución con éxito del objetivo y posterior análisis de la información obtenida.

3. Lanzamiento

Enviamos un correo electrónico masivo personalizado a los empleados y hacemos un seguimiento de los resultados de la campaña, identificando a los empleados que responden, incluyendo sus respuestas a los correos electrónicos de la campaña de phishing.

4. Informe

Finalmente, con la información obtenida durante el ejercicio, preparamos un análisis de los resultados de la campaña y brindamos recomendaciones e iniciativas propuestas para la mejora de la seguridad informática ante este tipo de ataque.

Contáctanos

Además de los ataques simulados, ODS también brinda formación en ingeniería social para empleados con el objetivo de que sepan identificar actividades sospechosas y puedan informar a los responsables de la organización. Contacta con nosotros y te ayudaremos a estar preparado frente a ataques de ingeniería social.

Contacto