Copiar enlace

La seguridad cibernética pareciera que solo es un asunto de tecnología y que corresponde atenderlo a los encargados de sistemas de las organizaciones, sin embargo, lo cierto es que los usuarios tienen un alto grado de responsabilidad en el resguardo de la información, tanto personal, como corporativa.

Ingeniería social y su papel en tu seguridad cibernética

Esta idea es conclusión de expertos como Jorge Osorio Bretón, cofundador y director de CSI Consultores en Seguridad de la Información, quien aseguró que no se puede dejar a los usuarios en un segundo nivel de importancia. Hemos visto que frecuentemente hay vendedores de TI, de sistemas de seguridad, hardware o software que creen que su producto va a cubrir todas las necesidades para el resguardo y control de la información o que basta con un antivirus o antispam de nueva generación”.

[Tweet “¿Sabes qué es la #IngenieríaSocial? Te contamos por qué es importante para defender tu seguridad”]

Sin embargo, de acuerdo a Osorio “ muchas veces se olvida que el usuario también forma parte integral de toda la estrategia de ciberseguridad en una organización”.

Uno de los casos más ilustrativos sobre este tema fue lo que ocurrió en la segunda mitad de 2017 en la Secretaría de Cultura del Gobierno de la Ciudad de México. En aquella ocasión la institución oficial detectó el robo de la nómina, alojada en Banco Santander, por un monto de más de cinco millones de pesos. En un principio se pensó que se trató de un problema de la banca en línea.

Sin embargo, el mismo banco explicó la situación y demostró que sus sistemas no fueron vulnerados o hackeados. Más bien las evidencias apuntan a que la persona encargada del control administrativo de la nómina de la Secretaría fue víctima de un fraude”.

¿Qué fue entonces lo que pasó? De acuerdo al experto, esta persona fue engañada por esquemas de ingeniería social, que cada vez son más recurrentes, razón por la que las organizaciones deben capacitar a sus usuarios acerca de los riesgos que implica el acceder a sitios que no son completamente seguros y de origen dudoso”.

Ciberseguridad, problema serio en empresas

¿Qué es y cómo funciona la ingeniería social?

La ingeniería social, de acuerdo con la Universidad Nacional Autónoma de México, es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas.

Estos métodos contemplan, entre otras cosas, la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo). Además, se sustentan en un sencillo principio: el usuario es el eslabón más débil.

La ingeniería social y las violaciones de ciberseguridad en México

El experto explicó que su empresa detectó que se estaban recibiendo correos masivos diciendo que la cuenta del usuario estaba bloqueada y que era necesario dar clic en un enlace para acceder a una página para realizar el desbloqueo.

El problema se encontraba en que, si se daba clic en el enlace, se desplegaba una página muy similar a la del banco, incluso con certificado de seguridad (https y candado en verde), con los logos del banco, por lo que con era muy difícil que el usuario común se diera cuenta de que era falsa. De esta forma el usuario caía en el engaño y proporcionaba los datos que se le solicitaban para desbloquear la cuenta, y así hubo quienes fueron víctimas de ese esquema de ingeniería social.

Los cibercriminales que diseñan ese tipo de esquemas crean páginas falsas de cualquier institución bancaria para que el usuario acceda y proporcione información. Cuando ellos empiezan a recibir los datos, se comunican con el usuario vía telefónica simulando ser del banco para que el cuentahabiente se confíe y continúe proporcionando más datos.

Actualización y capacitación, las claves

La violación de seguridad, en el caso de la Secretaría de Cultura de la Ciudad de México, se realizó uno o dos días previo al pago de nómina. Y es que, muy probablemente la situación se trató de un fraude diseñado bajo un esquema de ingeniería social.

Si bien se descartó la posibilidad de un hackeo porque no se vulneraron los sistemas del banco. Los delincuentes al parecer accedieron a la cuenta porque contaron con las claves requeridas para hacerlo. Debido a estas situaciones, es necesario que el usuario conozca los riesgos de contar con el control o el acceso a información y a los recursos valiosos de una organización, y por lo mismo, debe conocer todas las variables de delitos que surgen cada día.

La concientización debe de partir desde la dirección de las organizaciones, quienes deben capacitar a su personal y actualizarlo regularmente, porque no basta con tener las herramientas tecnológicas más avanzadas, sino que hay que involucrar al usuario y apoyarlo”.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Escribir comentario

¡Mantente al día!