Tiempo de lectura: 4 minutos
Shares

La seguridad cibernética pareciera que solo es un asunto de tecnología y que corresponde atenderlo a los encargados de sistemas de las organizaciones.

Lo cierto es que los usuarios tienen un alto grado de responsabilidad en el resguardo de la información, tanto personal, como corporativa.

Ingeniería social y su papel en tu seguridad cibernética

Esta idea es conclusión de expertos como Jorge Osorio Bretón, cofundador y director de CSI Consultores en Seguridad de la Información.

No se puede dejar a los usuarios en un segundo nivel de importancia. Hemos visto que frecuentemente hay vendedores de TI, de sistemas de seguridad, hardware o software que creen que su producto va a cubrir todas las necesidades para el resguardo y control de la información o que basta con un antivirus o antispam de nueva generación”.

“Pero muchas veces se olvida que el usuario también forma parte integral de toda la estrategia de ciberseguridad en una organización”, explicó Osorio.

Uno de los casos más ilustrativos sobre este tema fue lo que ocurrió en la segunda mitad de 2017 en la Secretaría de Cultura del Gobierno de la Ciudad de México.

En esa ocasión la institución oficial detectó el robo de la nómina, alojada en Banco Santander, por un monto de más de cinco millones de pesos. En un principio se pensó que se trató de un problema de la banca en línea.

“Sin embargo, el mismo banco explicó la situación y demostró que sus sistemas no fueron vulnerados o hackeados. Más bien las evidencias apuntan a que la persona encargada del control administrativo de la nómina de la Secretaría fue víctima de un fraude”.

“(Esta persona) fue engañada por esquemas de ingeniería social, que cada vez son más recurrentes, razón por la que las organizaciones deben capacitar a sus usuarios acerca de los riesgos que implica el acceder a sitios que no son completamente seguros y de origen dudoso”, abundó Jorge Osorio.

¿Qué es y cómo funciona la ingeniería social?

La ingeniería social, de acuerdo con la Universidad Nacional Autónoma de México, es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas.

Estos métodos contemplan, entre otras cosas, la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo).

Además, se sustentan en un sencillo principio: el usuario es el eslabón más débil.

La ingeniería social y las violaciones de ciberseguridad en México

El experto explicó que su empresa detectó que se estaban recibiendo correos masivos diciendo que la cuenta del usuario estaba bloqueada y que era necesario dar clic en un enlace para acceder a una página para realizar el desbloqueo.

El problema se encontraba en que, si se daba clic en el enlace, se desplegaba una página muy similar a la del banco, incluso con certificado de seguridad (https y candado en verde), con los logos del banco, por lo que con era muy difícil que el usuario común se diera cuenta de que era falsa.

De esta forma el usuario caía en el engaño y proporcionaba los datos que se le solicitaban para desbloquear la cuenta, y así hubo quienes fueron víctimas de ese esquema de ingeniería social.

Los cibercriminales que diseñan ese tipo de esquemas crean páginas falsas de cualquier institución bancaria para que el usuario acceda y proporcione información.

Cuando ellos empiezan a recibir los datos, se comunican con el usuario vía telefónica simulando ser del banco para que el cuentahabiente se confíe y continúe proporcionando más datos.

Actualización y capacitación, las claves

La violación de seguridad, en el caso de la Secretaría de Cultura de la Ciudad de México, se realizó uno o dos días previo al pago de nómina.

El experto afirmó que muy probablemente la situación se trató de un fraude diseñado bajo un esquema de ingeniería social.

Descarta la posibilidad de un hackeo porque no se vulneraron los sistemas del banco. Los delincuentes al parecer accedieron a la cuenta porque contaron con las claves requeridas para hacerlo.

Debido a estas situaciones, es necesario que el usuario conozca los riesgos de contar con el control o el acceso a información y a los recursos valiosos de una organización, y por lo mismo, debe conocer todas las variables de delitos que surgen cada día.

La concientización debe de partir desde la dirección de las organizaciones, quienes deben capacitar a su personal y actualizarlo regularmente, porque no basta con tener las herramientas tecnológicas más avanzadas, sino que hay que involucrar al usuario y apoyarlo”, puntualizó Jorge Osorio.

Próximamente se realizará Infosecurity 2018, evento donde se hablarán de este y otros temas de seguridad cibernética y donde participarán empresas como CSI Consultores en Seguridad de la Información.

Shares

Mantente informado de las noticias más relevantes en nuestro canal de Telegram