Un blackhat hacker tiene dos métodos para introducirse en la red de tu empresa: a través de una tecnología vulnerable o tú. Bueno, no solo tú. Podrías ser tú, tu jefe o cualquiera de tus compañeros de oficina.
Los empleados que son víctimas de la ingeniería social fueron responsables del 52% de los ataques externos ampresas, según una investigación dirigida por nuestros expertos en ciberseguridad, cuyos resultados fueron recogidos en nuestro nuevo informe de respuesta a incidentes.
La ingeniería social es el arte de manipular a las personas para que revelen información o realicen una actividad que beneficia al blackhat hacker. Podría engañarte para que instalases un malware al abrir un correo o un enlace a una página web. O podrías desvelar tus claves identificativas privadas, logins o contraseñas a través de páginas falsas, también conocidas como ‘phishing scams’.
Con esto no queremos culpar a los empleados por la mayoría de los éxitos de los ciberataques. Debemos estar seguros al cien por cien todo el tiempo porque un blackhat hacker solo necesita jugárnosla una vez y han mejorado con el tiempo en hacerlo.
Estar al tanto de las amenazas a las que nos enfrentamos es una manera de afrontar una de las mayores vulnerabilidades de todas: nuestra disposición a hacer clic sobre cualquier cosa.
Si trabajas en una compañía con un perfil público, las posibilidades de que te enfrentes a un ataque son bastante probables. La cuestión aquí no es si tú eres el objetivo sino cómo de útil serías como objetivo. Por suerte solo hay unos cuantos métodos engañosos fiables para un atacante. Suelen ser ataques de dos tipos: el oportunista o el dirigido.
Resumiendo, los ataques oportunistas apuntan a cualquiera dentro de la organización, los dirigidos enfocan sus esfuerzos en un limitado pero “altamente valioso” número de personas.
El informe resalta que si vas a ser víctima de un engaño para permitirle el acceso a tu red a un ciberdelincuente, es probable que pase a través del correo electrónico; o haciendo que cliques en un adjunto malicioso o un enlace que redirija a un ‘phishing scam’.
La versión oportunista de este ataque va dirigido a cualquiera, es más genérico y probablemente no irá personalizado con tu identidad o trabajo.
En cambio, la versión dirigida puede usar tu nombre y dirigirte a ti personalmente un adjunto que tenga que ver con tu trabajo, como un contrato o una hoja de Excel con una prometida información importante en el interior. El correo podría imitar un servicio de soporte que ya uses, como este correo infame que llevó a hackear la cuenta Gmail del jefe de campaña de Hillary Clinton:
Debemos ser conscientes de que un ciberdelincuente estará siempre llamando a la puerta de nuestra red a través de nuestro correo. Mantenernos alejados de estas trampas es lo siguiente y esa es la parte difícil.
Aprender a detectar correos ‘phishing’ facilita bastante la tarea. Una táctica que nuestros expertos recomiendan es usar el correo electrónico en versión ‘texto plano’, esto es, quedarnos solo con el texto y sus adjuntos, sobre todo cuando entablamos una conversación con un extraño. Esto hará que un enlace malicioso destaque fácilmente.
A menos que seas parte del equipo de IT de tu empresa, no puedes hacerte cargo de la tecnología de tu red. Pero sí que puedes hacer tu parte para mantener a estos criminales fuera de ella.
Buena suerte. Tu empresa depende de ti y si te hackean, asegúrate de no empeorar las cosas.
Categorías