Hackear a las personasvigente para perjudicar a las organizaciones

Conozca el procedimiento criminal que pone en riesgo la seguridad de la información

de su organización y los cuatro pasos que se deben seguir para mitigar los riesgos.

La Ingeniería Social es el conjunto de actividades o engaños que los atacantes usan para
obtener información o bienes de las organizaciones a través de la manipulación de los
usuarios legítimos. Es decir, la Ingeniería Social es la ciencia y el arte de hackear a las
personas.

A pesar de que las tecnologías que mitigan las vulnerabilidades informáticas evolucionan
rápidamente, es fácil olvidarse del elemento más importante presente en todas las TIC: el
ser humano. Por lo tanto, es importante que conozca el procedimiento que pone en peligro
la seguridad de la información de su organización y los cuatro pasos fundamentales que se
deben seguir para mitigar los riesgos.

¿Cómo se utiliza la Ingeniería Social en los ataques a las empresas?

1. Motivadores Psicológicos: los motivadores psicológicos más comunes y efectivos en

los ciberataques son la urgencia y/o el miedo (46%); la autoridad(43%); y, la costumbre,
la curiosidad y la falsa confianza (11%).

2. Objetivo del Ataque:

Fraude: consiste en robar dinero sin usar la fuerza.

1. Infección: se engaña a las víctimas para que descarguen softwaremalicioso.

2. Robo de credenciales: se les redirige a las víctimas a un sitio web falso, y se sustraen ahí
claves de acceso a diferentes sistemas electrónicos.

3. Contenido: los cibercriminales utilizan varios temas de interés: mediáticos, políticos, de

deportes, de trabajo, etc. Además, cuando desean algo específico de una empresa, llegan a
conocer los gustos e intereses de una persona en particular dentro de la misma.

4. Vector o Medio: los vectores (es decir, los canales o medios de despliegue) más
comunes son el correo electrónico, la navegación, las redes sociales, las redes inalámbricas,
los dispositivos de almacenamiento, e – incluso – las visitas personales en el sitio de
trabajo.
 ¿Cuál es el impacto de la Ingeniería Social en la Seguridad de la Información?

La Ingeniería Social es tan efectiva que forma parte de la mayoría de los ciberataques
dirigidos actualmente. Últimamente, las empresas han perdido miles de millones de dólares
con estos ataques. Los incidentes de seguridad están tendiendo a un incremento
exponencial, en parte, porque las empresas aún descuidan el factor más importante: sus
recursos humanos.

¿Por qué la Ingeniería Social debe preocuparnos?

Actualmente, vemos que la Ingeniería Social es la punta de la lanza para los ciberataques.
Lastimosamente, no se le da la debida importancia y se enfoca la Seguridad de la
Información en las herramientas tecnológicas. Se adquieren antivirus, firewalls, antispam,
etc., pero estos productos se deben complementar con la gestión para los recursos humanos.

¿Qué se debe hacer?

Para gestionar su Seguridad de la Información, los recursos humanos son vitales: para
evitar que los empleados sean víctimas, se debe prepararlos para que puedan detectar los
posibles ciberataques. La mejor manera es a través de una concienciación continua en un
ambiente controlado.

Los cuatro pasos para mitigar el riesgo:

Ataques controlados: ataques que imitan las estrategias cibercriminales, pero en un
ambiente sin amenazas.

1. Retroalimentación instantánea: a cada ‘víctima’ se le envía una alerta inmediata que le

avisa que ha sido víctima; el shock emocional ocasionado aporta a la concienciación.
2. Seguimiento y análisis: se analizan los motivadores psicológicos, el objetivo del ataque, el
contenido, y el medio; también, la visibilidad del perfil del usuario que fue ‘víctima’; y, las
variaciones en la forma del ataque.
3. Regresar al paso 1: en este contexto, el equipo humano es un sistema al que se debe dar un
mantenimiento constante.