Los ciberataques por medio de la Ingeniería Social producen un gran impacto sobre los activos empresariales, debido a esto se ha decidido investigar más este fenómeno.
¿Qué es la Ingeniería Social?
“La Ingeniería Social consiste en técnicas de manipulación psicológica que se ejercen sobre el sujeto atacado de manera que éste tome decisiones sin cuestionarlo o sin pensar” (Ruth Sala Abogada Penalista. Delitos Informáticos).
Al generar confianza en la víctima por parte del ciberdelincuente, es mucho más fácil y efectiva la obtención de credenciales de acceso a los Sistemas de Información.
Las consecuencias que tiene un ataque mediante técnicas de Ingeniería Social, dirigido contra una Organización, son muy devastadoras. Y para el atacante significa dedicar un tiempo para investigar con mayor profundidad, no solo a la Organización o Empresa, sino también a los empleados y colaboradores que serán atacados.
Con dicha investigación, podrán descubrir al eslabón más débil de la empresa que pudiera darle acceso al atacante al Sistema de Información.
Para hacer frente a este tipo de ataques es necesario tomar una serie de medidas, mecanismos o procesos. Según los expertos en el tema, lo más importante en este tipo de casos, es la formación continua impartida en las Organizaciones, lo que resultará como una herramienta eficaz a priori para evitar o reducir ataques de esta índole.
Algo muy interesante, es que se desarrolló un estudio, en base a ese objetivo, para determinar si se puede luchar contra ese tipo de técnicas de manipulación psicológica, o por el contrario, deberá considerarse al personal como el punto débil permanente en la Organización.
Hacer este estudio significó profundizar sobre la Ingeniería Social y analizarla desde el punto de vista Jurídico, Psicológico, Empresarial y de la Ciberseguridad.
También realizaron un estudio de estadísticas sobre la ciberdelincuencia y de los métodos que se emplearon en los ciberdelitos, para obtener una visión completa y a la vez saber cómo fueron tratados dichos incidentes.
Las grandes instituciones como EUROPOL, ENISA, CCN, CERT, INCIBE, Fiscalía General del Estado, Poder Judicial y Ministerio del Interior, en su análisis de estadísticas oficiales han dicho que no tienen toda la información, tienen conocimiento solo de una parte de los incidentes informáticos que sufren las Organizaciones y ello es debido a que no se denuncian ni se solicita ayuda a un CERT, ni se comunica ni comparte.
También es importante el punto de vista de las Organizaciones, con respecto a los ciberataques mediante las técnicas de Ingeniería Social. Para ello, se realizaron dos encuestas fundamentadas en dos hipótesis, lo que ayudaría a aclarar si la formación y el entrenamiento en las Organizaciones es viable como medida de prevención.
Una de las hipótesis es sobre la idea de que es más probable que los empleados de más de 45 años sean víctimas de engaño a través de la Ingeniería Social, debido a la falta de hábito en el uso de los medios tecnológicos y por falta de formación en una cultura de ciberseguridad, por parte de la Organización en la que trabajan.
La segunda hipótesis se refiere a que la formación en ciberseguridad reduce en un 50% los ataques provocados mediante las técnicas de Ingeniería Social.
Una de las encuestas fue dirigida a cualquier empresa que hubiera sufrido ese tipo de ataques y la otra a un grupo controlado de empresas u organizaciones que se dedican a dar respuesta ante incidentes de ciberseguridad.
El objetivo era tratar de encontrar elementos comunes para ayudar a elaborar programas de prevención de delitos a través de la Ingeniería Social.
De este estudio se puede desprender, que las encuestas realizadas a las empresas dedicadas a dar respuestas ante incidentes de ciberseguridad son las únicas fiables. Las otras confirman la cifra negra de víctimas por Ingeniería Social.
Siempre hay algo que hacer, por lo tanto, muchos expertos han dado sus recomendaciones planteando diferentes medidas preventivas. Más abajo dejo el enlace sobre este tema.
Básicamente la Ingeniería Social es una técnica de engaño, para que la persona atacada entregue información personal y confidencial al atacante, y se basa en utilizar las vulnerabilidades del usuario y su poco conocimiento de las últimas tecnologías, ya que ésta avanza a mucha velocidad. Muchos usuarios no saben cuál es la mejor forma de proteger su información.
Según Kaspersky, experto en ciberseguridad, casi todos los ataques informáticos tienen algún tipo de Ingeniería Social.
En lo que sí concuerda la mayoría de los expertos, es que la protección contra la ingeniería social comienza con la educación, de lo contrario, siempre seremos vulnerables a este tipo de ataques.
Fuentes utilizadas en este artículo:
https://latam.kaspersky.com/resource-center/definitions/what-is-social-engineering
Oferta Formativa
Máster en Dirección y Gestión de la Ciberseguridad
La Ciberseguridad ha pasado de ser un actor secundario a convertirse en un elemento fundamental de la estrategia corporativa, cuya gestión debe planearse y ejecutarse mediante un enfoque general orientado al cumplimiento de los objetivos estratégicos.
Con el objetivo de asegurar la continuidad del negocio, la dirección de las empresas debe concebir la ciberseguridad como un asunto estratégico, asegurando una mayor implicación en la planificación y en el conocimiento de la seguridad digital de la organización para garantizar su supervivencia y realizando un combate eficaz de los ataques que puedan sufrir.
Con este Máster de Ciberseguridad online, te podrás registrar de forma gratuita como Perito Judicial en Aspejure para figurar en los listados judiciales de Tribunales Superiores de Justicia, Audiencias Provinciales y Juzgados Decanos, así como en los juzgados de las provincias que selecciones.
Más información en nuestra página https://www.iniseg.es/ciberseguridad/masteres-oficiales/master-en-direccion-y-gestion-de-la-ciberseguridad.html