No es ningún secreto que todas las organizaciones están bajo ataque. Ya sea intencional o no, la seguridad infringe todos los días. Las violaciones de datos, o incidentes en los que se accede a la información sin autorización, ocurren con regularidad.

Tu eres es un objetivo

Esto te convierte en un objetivo, y los ciberdelincuentes son bastante efectivos en lo que hacen. Han aprendido que la forma más fácil de evitar las defensas de las organizaciones no es piratear y descifrar, sino engañar a sus integrantes y colaboradores para que los dejen entrar.

Los métodos utilizados por estos ciberdelincuentes para violar tus dispositivos e ingresar a la red de tu organización se denominan Panorama de amenazas (Threat landscape). El cibercrimen está en aumento y ya no se trata de “si”; es una cuestión de “cuándo” ocurrirá un ataque.

Sin más preámbulo, echemos un vistazo al panorama de Amenazas.

Malware

Malware significa “software malicioso”, un término general para todo el software que los ciberdelincuentes utilizan para espiarte y robar tu información. Una vez que tu computadora se infecta, algunas aplicaciones maliciosas pueden registrar tus pulsaciones de teclas cuando escribes tus contraseñas. Algunas aplicaciones se apoderan de tu computadora e incluso pueden permitir que el hacker encienda tu cámara web y te espíe o escuche tus conversaciones.

Un tipo de malware que aparece en las noticias se llama ransomware. ¡Este software malicioso puede almacenar los archivos en tu computadora, tu teléfono inteligente e incluso como rehén de toda tu red hasta que pagues un rescate!

Ahora pasemos a nuestra próxima parada, la ingeniería social.

ingenieria_social

Ingeniería social

La ingeniería social es el arte de manipular, influir o engañar a una victima para que tome alguna acción que no sea en su propio interés o en el mejor interés de su organización.

El objetivo de los ingenieros sociales es obtener tu confianza, luego explotar esa relación para convencerte de que divulgues información confidencial sobre tu o tu organización o les dés acceso a tu red.

Ahora analicemos algunas de las formas en que los ingenieros sociales pueden engañarte para que reveles información confidencial.

Pretexting

Pretexting implica crear un escenario fabricado para ganar tu confianza y obtener tu información bajo falsas pretensiones. A menudo pueden ser muy convincentes. Estos tipos de ataques están en aumento, por lo que es importante estar alerta y nunca dar información por teléfono o en persona a menos que haya confirmado su identidad.

ataques_digitales

Las tres áreas principales de los ciberataques (Ingeniería social)

Hay tres categorías principales de ciberataques de ingeniería social:

  • Ataques Digitales: (Phishing, Spear Phishing) Los ataques digitales son desventajas de usar el correo electrónico o el texto para engañarte con la finalidad de que realice una acción como hacer clic en un enlace malicioso o abrir un archivo adjunto infectado

  • Ataques en Persona: (Tailgating USB.)Los ataques en persona son desventajas que implican una interacción cara a cara que se aprovechan de su naturaleza social.

  • Ataques Por Teléfono: (Vishing, Smishing.) Los ataques telefónicos implican contras telefónicos que intentan engañarte para que divulgues información personal o les des acceso a sistemas informáticos.

Ahora para ver más de cerca los ataques digitales.

Ataques digitales: phishing

El phishing es el ataque digital más común. Por ejemplo, recibes un correo electrónico que parece provenir de tu departamento de TI, que te informa que hay un problema con tu cuenta de correo electrónico y que necesitas restablecer tu contraseña. Se te pide que hagas clic en el enlace del correo electrónico. El enlace te lleva a una página de restablecimiento de contraseña con un campo de contraseña, que es lo que busca el hacker. Una vez que tenga tu contraseña, puede obtener acceso a tu cuenta. El atacante usará esto para acceder a tu computadora y hacer un túnel en la red de tu organización.

Dato curioso: Esta es la forma en que te roban el acceso a Facebook cuando andas de infiel

A continuación, veremos un ataque digital más sofisticado: spear phishing

Ataques digitales: Spear Phishing

El spear phishing es un ataque pequeño y centrado por correo electrónico a una persona u organización en particular. El objetivo es penetrar las defensas de una organización.

En este ataque, los delincuentes invierten tiempo investigando un objetivo específico utilizando las redes sociales y otras fuentes abiertas de información. Armados con esta información, te envían un mensaje personalizado diseñado para engañarte a tomar una acción que pondrá en riesgo a tu organización.

Los ataques de phishing pueden ser convincentes, pero al igual que en cualquier ataque de phishing, debes realizar una acción para que sea efectivo. Por lo tanto, es imprescindible que recuerdes pensar siempre antes de hacer clic en ese enlace o abrir ese archivo adjunto.

Consejo de seguridad: cuando se te pide que hagas clic en un enlace o abras un archivo adjunto, sospecha que estás siendo robado.

spear_phishing

Ataques en persona: Tailgating

Un ataque de ingeniería social en persona es cuando el pirata informático entra en su ubicación e intenta “piratear humanos”.

Un ejemplo clásico es el Tailgating (traducción al español: chupar rueda, (hostia a toda máquina, onda vital XD)). Aquí es donde el pirata informático explora un área como la sección de fumadores al aire libre en tu empresa u organización y luego se une a tu grupo como fumador, participando en tu conversación grupal.

Cuando tu grupo vuelve al trabajo, lo sigue como a cualquier otro empleado y luego encuentra una estación de trabajo que puede piratear e infiltrarse en la red de tu empresa u organización.

Consejo de seguridad: cuando te enfrentes a un posible ataque en persona, es mejor ser firme que inseguro.

Ahora veamos otro ataque físico que usa un dispositivo USB infectado.

Ataques USB

Este clásico ataque USB ha existido durante años, pero aún funciona. Los atacantes dejan una memoria USB que dice “Nómina” donde se puede encontrar fácilmente, como en el estacionamiento de tu oficina, el vestíbulo de tu edificio o un baño. O podrían enviarte un sobre por correo postal con una memoria USB en su interior que parece provenir de un cliente o proveedor.

Una vez que alguien tiene la curiosidad de enchufar esa memoria USB en su computadora, esta computadora es ‘propiedad’ de los malos.

Siguiente parada, ataques telefónicos.

ataque_usb

Ataques telefónicos

Otro nombre para la ingeniería social basada en el teléfono es phishing de voz o “vishing”. Al igual que el phishing, vishing es cuando el hacker te llama e intenta engañarte para que le entregues información confidencial.

Por ejemplo, un hacker te llama con un mensaje pregrabado que se supone que proviene de un representante de atención al cliente de tu banco. Él dice que hay un problema con tu cuenta y te pide que llames a un número de atención al cliente falso para aclarar las cosas.

El representante de soporte es parte de la estafa. Te pedirá información de identificación personal (PII) como la información de tu tarjeta de crédito, PIN, los últimos cuatro dígitos de tu número de Seguro Social u otros detalles confidenciales. Una vez que tenga esta información, pueden acceder a tu cuenta, robar tu identidad y dinero.

Ahora echemos un vistazo a smishing.

ataque_telefonico

Ataques telefónicos Attacks-Smishing

“Smishing” significa “phishing de SMS” o phishing que ocurre a través de mensajes de texto.

Por ejemplo, envían un mensaje de texto pidiéndote que llames a un número o hagas clic en un enlace. El mensaje podría parecer que proviene de tu banco e incluso puede contener la mayoría o la totalidad de tu número de cuenta, información que los malos obtuvieron de una de esas violaciones de datos que escuchas en las noticias.

Es importante recordar que estos ataques pueden presentarse de muchas formas, pero lo único que todos tienen en común es que requieren que actúes para tener éxito.

Consejo de seguridad: incluso si el mensaje que está leyendo contiene su contraseña o su número de cuenta, aún puede ser fraudulento.