Servicio de Atención al Cliente: 902 170 000 comercial@extrasoft.es

Artículo elaborado por José Arroyo, responsable de seguridad en Extra Software

En el artículo anterior sobre ciberseguridad empresarial poníamos el supuesto de David, un empleado de una empresa dedicada al comercio online. Para entrar en materia os voy a poner otra situación similar para tratar el tema de este artículo: La ingeniería social.

Una empresa dedicada al diseño y publicidad llamada Disecor (nombre ficticio) tiene una relación laboral con otra empresa dedicada al desarrollo de páginas Web, Webcor (nombre ficticio). Las dos empresas trabajan codo con codo en la elaboración de páginas Web. Cuando a Disecor le encargan un nuevo proyecto relacionado con el diseño Web, la parte de desarrollo Web del proyecto lo realiza Webcor, pagándole lo pactado en el acuerdo. Cuando el proyecto se lo encargan a Webcor, Disecor se encarga de la parte de diseño y en este caso es Webcor la que le paga lo pactado a Disecor.

La colaboración entre las dos empresas les ha hecho crecer mucho y darse a conocer. Llevan trabajando durante más de 5 años y nunca han tenido ningún problema. De repente, un día los pagos que debería realizar Webcor a Disecor por los proyectos realizados dejan de llegar.

El departamento de administración de Disecor se pone en contacto con el departamento de administración de Webcor para pedirles explicaciones de por qué han dejado de ingresar su porcentaje de los proyectos. Webcor les comunica que hace unos días recibieron un correo del CEO de Disecor comunicándoles el cambio de cuenta bancaria para los ingresos.

El CEO de Disecor dice que no ha mandado en ningún momento ese correo y que no han cambiado de cuenta bancaria. Pero que el día anterior le había pasado una cosa muy rara. Le había llamado un técnico de Microsoft para decirle que tenía un virus en su ordenador, que le tenía que dar acceso para poder limpiarlo y así lo hizo.

La ingeniería social, ataque a la ciberseguridad empresarial

Lo que le ha pasado al CEO de Disecor es que ha sido engañado mediante una técnica conocida como ingeniería social.

La ingeniería social es la práctica de engañar o manipular a un usuario para conseguir que revele información que es confidencial o que realice alguna acción deseada por el atacante.

En realidad, son engaños sutiles diseñados de manera que parece que procedan de un sitio o una persona de confianza. En algunosIngeniería Social casos utilizan información que nos resulta familiar o relacionada con nosotros para que bajemos la guardia y no sospechemos.

La ingeniería social se basa en cuatro principios básicos:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.

Ejemplos de ataques de ingeniería social

Unos ejemplos de ataques basados en ingeniería social serían los siguientes:

  • Suplantación de la empresa de servicios: Un atacante se hace pasar por su compañía de internet o su compañía de teléfono para pedirle sus datos de conexión, contraseñas, cuentas bancarias, etc.
  • Suplantación de una Autoridad: Un atacante se hace pasar por un agente de la policía, bombero o técnico de hacienda para solicitarle datos como nombres, teléfonos, etc.
  • Suplantación de una empresa de encuestas: Un atacante se hace pasar por una empresa de encuestas y solicitan sus datos para verificar la encuesta.
  • POP-UP maliciosos: Ventanas emergentes que piden instalar software o complementos en el ordenador para que puedan verse videos o programas, pero que realmente esconden software malicioso.
  • Phishing: Un correo electrónico o web falsa que se hace pasar por una persona o empresa de confianza (banco, Hacienda, etc.), en una aparente comunicación oficial electrónica. Al seguir las instrucciones que esta comunicación proporciona, acabamos siendo infectados o enviándoles nuestras credenciales de acceso al servicio.

Contramedidas

Podemos implantar medidas más o menos complejas o aplicar políticas de seguridad, pero tenemos que recordar siempre que es el empleado el que trata al final con la información de la empresa y el que tiene que cumplir con esa política.

El tratamiento de la información por parte de los empleados es necesario y se pueden producir situaciones de riesgo tanto de forma intencionada como no intencionada.

Una contramedida imprescindible es formar a los empleados en buenas prácticas de ciberseguridad empresarial.

Definir una política de ciberseguridad empresarial no es suficiente, ha de ser de cumplimiento obligatorio. Recordemos que la política de seguridad es solo tan buena como lo es su aplicación.

Recomendaciones importantes de ciberseguridad empresarial

Os dejamos algunas recomendaciones importantes a tener en cuenta:

  • No facilitar datos confidenciales por mensaje, teléfono o e-mail.
  • No instalar en los equipos programas de origen desconocido.
  • Al iniciar sesión en cualquier web, comprobar que la URL es correcta.
  • Comprobar el contenido de la web y si resulta sospechoso, no acceder a ningún enlace de dicha web.
  • Evitar enviar datos personales en páginas web desconocidas y con contenido sospechoso.
  • Acceder directamente a la URL (dirección) de la web y no a través de enlaces o links desde otras páginas web.

RECUERDA SIEMPRE: Ningún banco, ninguna empresa con la que tengas un contrato en vigor, ni nadie ha de pedirte por email, por mensajes ni por teléfono datos confidenciales. Es decir , nadie te pedirá tus contraseñas, claves o coordenadas de cuentas corrientes, PIN o SVN de las tarjetas de crédito,…

Una cadena es tan fuerte como su eslabón más débil. El usuario es el eslabón más importante en la cadena de seguridad

¡SI TE GUSTÓ, COMPÁRTELO!