Inicio / Protege tu empresa / Blog / La ingeniería social en la empresa: aprovechando la naturaleza humana

La ingeniería social en la empresa: aprovechando la naturaleza humana

Publicado el 12/05/2014, por INCIBE
La ingeniería social en la empresa: aprovechando la naturaleza humana

Con la evolución de la tecnología y de las medidas técnicas de seguridad, si algo ha quedado patente es que el eslabón más importante de la famosa cadena de la seguridad de la información de las organizaciones es la persona. La seguridad de la información no se garantiza únicamente con la definición de procedimientos de gestión de incidencias o la implantación de mecanismos de cifrado, por poner algunos ejemplos.

Por ese motivo, es fundamental que el personal de la organización esté concienciado e implicado. No sólo en el cumplimiento de las normas que se hayan implantado, sino también manteniendo una actitud de precaución y alerta en el uso cotidiano de los sistemas de información, en las relaciones personales y laborales. Los empleados son la última barrera del sistema de defensa de la seguridad de las empresas.

Porque somos personas, somos seres humanos. En eso se basa la ingeniería social: en el principio de que el punto más débil de cualquier sistema de defensa son las personas.

Ingenieria social iman

Por eso los ciberdelincuentes se han dado cuenta de que tienen que diseñar acciones orientadas a intentar hacer vulnerable esa última línea de defensa y han decidido abrir vías de ataque que apuntan directamente a ese eslabón tan importante de la cadena: el empleado.

Hacia ese último bastión se dirigen las técnicas que se engloban en la denominada Ingeniería Social. Estas técnicas, por otro lado, no son nada nuevo. Se basan en características de la personalidad del ser humano.

Por ejemplo, el ser humano es curioso por naturaleza. Si aparece «olvidada» una llave USB junto a la cafetera de la sala de descanso de la empresa, ¿cuánto tiempo pasará antes de que alguien la pinche en su puesto de trabajo? ¿Qué pasará si esa persona ve que el USB contiene un fichero con el nombre nominafeb2014.xls?

Muchas personas caerían en la tentación de saber lo que cobra su compañero de departamento, o la responsable del departamento de Administración. Con esos aspectos de la personalidad del ser humano juega la ingeniería social. Los ciberdelincuentes saben que las personas somos curiosas por naturaleza y que si dejan un USB en un ascensor en cuestión de horas cualquier fichero interesante será abierto. Sólo es necesario utilizar el malware adecuado para conseguir un acceso directo a la organización.

Actualmente la ingeniería social es uno de los vectores de ataque más peligrosos y que más se está utilizando para acceder a las redes de las organizaciones, haciendo uso de los empleados de las propias organizaciones.

La ingeniería social se compone de técnicas de engaño de todo tipo, tanto en el mundo físico como en el virtual, y se basa en tres principios básicos de las relaciones humanas:

  • El primer movimiento es siempre de confianza hacia el otro.
  • Todos queremos ayudar.
  • No nos gusta decir No.

Supongamos que una persona del departamento de contabilidad está trabajando absorta en los asientos que tiene que reflejar para que cierren el balance y recibe una llamada telefónica:

Ingeneria social ejemplo ciberseguridad

Este tipo de llamadas intentan jugar con los principios que comentábamos. La persona está ocupada, no tiene mucho tiempo disponible, y recibe una llamada de alguien que dice ser del departamento de informática de su empresa, que le pide su colaboración. ¿Por qué va a dudar de que le estén mintiendo?

Evidentemente nadie debe dar su contraseña de acceso. Pero, ¿y si el atacante consigue que alguien por falta de precaución o por ganas de colaborar en exceso la proporcione? Es cuestión de probar.

Otro ejemplo de intento de engaño es mediante el envío de un correo electrónico con un enlace que simule ir a la intranet corporativa, o a la aplicación para la gestión de solicitud de vacaciones. En el correo se solicita que el usuario acceda a la aplicación para revisar unos cambios recientes. Sin embargo, el enlace conduce realmente a otro recurso web que imita de manera exacta o casi exacta a la web auténtica. Esto permite al ciberdelincuente capturar las credenciales de acceso de las potenciales víctimas.

Otro ejemplo habitual ataca directamente a la curiosidad del receptor: este correo dice contener fotos de la última cena de empresa, de las vacaciones o imágenes comprometidas de un famoso o famosa. Los ficheros anexos al correo tienen extensión de fichero de imagen (jpg, tiff, etc.), pero en realidad contienen malware que puede infectar el equipo de la persona que lo abre atraída por el reclamo.

Como vemos, para que la seguridad forme parte de la cultura de la empresa no es suficiente con crear normas y procedimientos, ni con implantar medidas técnicas de seguridad. Es necesario que el personal de las empresas conozca este tipo de estrategias cada vez más usadas por los ciberdelincuentes e informar a los empleados de cómo deben tener presente la seguridad en el desempeño cotidiano de sus funciones: concienciar y formar. Porque están expuestos a muchos factores de riesgo como integrantes de la organización, y porque son fundamentales en el planteamiento de ciberdefensa de la información de su empresa.

Etiquetas: 
Amenazas
Empresa
Artículos relacionados
Ciberdelincuentes robando datos de un ordenador
INCIBE | 28/03/2023
¿Acercarte tú mismo al ciberdelincuente? Esto es la ingeniería social inversa
Hombre con capucha y un móvil en la mano. Letras Malvertising
INCIBE | 21/03/2023
Cómo proteger tu empresa contra el malvertising
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones