¿Es posible corregir la ingeniería social en las brechas de ciberseguridad?

De acuerdo al Instituto Nacional de Ciberseguridad (Incibe), la Ingeniería social es una técnica que emplean los ciberdelincuentes para ganarse la confianza del usuario y conseguir así que haga algo bajo su manipulación y engaño, como puede ser ejecutar un programa malicioso, facilitar sus claves privadas o comprar en sitios web fraudulentos. Sin embargo, para muchas personas, cuando piensan en ciberdelincuencia, solo les viene a la cabeza un ataque que viene desde el exterior de la empresa, con complicados códigos informáticos programados desde algún lugar alejado del planeta que afecte a multitud de entidades al unísono.

Craso error, ya que como alertan tanto éste como otros organismos, la mayoría de los ciberataques se da por medio del ataque de manera selectiva a unos pocos objetivos y, si es posible, a pymes, dado que, por regla general, suelen contar con sistemas de protección más vulnerables, lo que facilita el trabajo de los criminales. Entre sus técnicas preferidas, cada vez está cogiendo mayor peso la ingeniería social, bajo la premisa de que resulta mucho más sencillo manejar a las personas que a las máquinas.

‘Hunting’ y ‘Farming’

La manipulación psicológica es un elemento clave para conseguir que cualquier usuario revele información confidencial sensible sobre una compañía o lleve a cabo una acción que facilite su puerta de entrada virtual a la organización. El vehículo predilecto para este tipo de ciberdelitos suele ser el del correo electrónico, ya que se trata de una herramienta que utilizan con frecuencia todos los trabajadores de una entidad. En este sentido, los ataques de ingeniería social pueden ser de dos tipos:

• Hunting, en donde lo que se busca es llevar a cabo el mayor daño posible a través de una única comunicación, por ejemplo, a través de un ataque de phising. Lo más habitual es recibir un correo electrónico en el que se promete recibir un premio si se pincha en un enlace de Internet.

• Farming, que apuesta por realizar varias comunicaciones con las víctimas potenciales de cara a lograr la información confidencial que precisan o para que realicen una acción determinada. Un ejemplo típico del farming es aquel en el que un trabajador es amenazado con la publicación de ciertos vídeos comprometedores suyos si no coopera con el ciberdelincuente.

Para conseguir un mayor éxito en este tipo de acciones, los criminales suelen apoyarse en una estrategia por la que se hacen pasar por un supuesto policía, o bien optan por fingir que se está llevando a cabo una buena labor social o que se trata de algo altruista y gratuito.

Protegerse contra la ingeniería social

La vía más adecuada para que una pyme se proteja de cualquier ataque que pueda comprometer la ciberseguridad de la entidad es la de formar y actualizar a sus trabajadores en relación a este tipo de actividades ilícitas. De este modo, combinando una estrategia basada en el uso de antivirus y de protocolos de protección de la información más sensible junto a un capital humano más concienciado y preparado para estas amenazas, resultará más difícil a los criminales poder realizar daño a una empresa. De hecho, casi la primera máxima es la de la cautela ante cualquier correo electrónico que reciban los empleados, estableciendo un sistema ágil y sencillo para que puedan canalizar a instancias superiores cualquier duda que puedan tener sobre algo que han recibido en su ordenador o a través de otro dispositivo conectado.

Un informe de Verizon alerta de que, junto a esta inversión en conocimiento sensible para la plantilla (el factor humano se calcula que está involucrado en el 85% de las brechas de seguridad en las empresas), es posible realizar otras dos acciones más:

• Garantizar que todas las contraseñas que se manejen en una organización estén bajo control, lo que significa invertir en desarrollar una política interna de gestión de las contraseñas que sea conocida por todo el personal.

• Apostar por la introducción progresiva de sistemas de autentificación multifactor y de carácter biométrico, que dificulten sobremanera el acceso para personas que no se encuentren físicamente cerca del entorno de trabajo.

Además, se subraya como recomendación el utilizar soluciones de seguridad adecuadas, por ejemplo, a través de software de carácter técnico o estableciendo protocolos para la gestión de la información más sensible. También se puede protocolizar que antes cualquier detección de un archivo que pudiera ser malicioso, se optara siempre por ponerlo en cuarentena y, en su caso, decidir con carácter preventivo su neutralización y eliminación para evitar potenciales riesgos innecesarios. En esta línea, las pymes tienen que destinar suficientes recursos a mejorar la protección de sus equipos, usando herramientas que permitan a los administradores de TI tener visibilidad total y la capacidad de detectar y mitigar amenazas potenciales en la Red.