Contenido
- 01. Ingeniería social
- 02. La amenaza interna de baja tecnología
- 03. Cebo
- 04. Botones de cancelación de suscripción
- Obtenga su boleto para Generate New York ahora
Si bien es cierto que los atacantes están desarrollando virus y malware más complejos todo el tiempo, cada vez más olvidados y a menudo, la mayor amenaza de seguridad para las empresas no proviene en realidad del software, sino de los propios seres humanos.
Las empresas pueden construir la infraestructura más segura del mundo para proteger sus datos de amenazas externas, con soluciones como firewalls, VPN y puertas de enlace seguras, pero eso no mitiga el riesgo de amenazas, maliciosas o de otro tipo, desde dentro de la propia organización. Esta forma de piratería informática de baja tecnología se ha vuelto cada vez más popular en los últimos años, y marcas conocidas han sido víctimas de estafadores que se ponen en contacto con administradores financieros junior para solicitar fondos después de investigar un poco en LinkedIn.
- Las mejores VPN 2019
Además, dado que Internet forma gran parte de la rutina diaria de la mayoría de las personas y muchos empleados inician sesión en cuentas personales en el lugar de trabajo, es importante recordar que también existe un cruce entre los datos personales y la información de su empresa cuando se trata de seguridad en línea. Si un pirata informático obtiene sus datos personales, también puede acceder a sus datos profesionales.
Aquí, entonces, hay cuatro formas en que los piratas informáticos pueden eludir su seguridad y robar sus datos.
01. Ingeniería social
La génesis de cualquier amenaza a la seguridad cibernética dirigida por humanos es la ingeniería social; el acto de manipular datos confidenciales de un individuo. Claro, los piratas informáticos podrían infectar una red con malware y entrar por la puerta trasera, o mejor aún, podrían simplemente engañar a un empleado para que proporcione una contraseña y entrar por el frente sin dar ninguna alarma. Una vez que un pirata informático tiene la contraseña de un individuo, es poco lo que puede hacer para detenerlo, ya que su actividad parecerá estar autorizada.
Las técnicas de ingeniería social han tenido que volverse más sofisticadas a lo largo de los años a medida que el usuario medio se ha vuelto más inteligente con los métodos tradicionales que utilizan los piratas informáticos. Por lo tanto, los piratas informáticos ahora tienen que ser más inteligentes en la forma en que obtienen datos. En un sentido comercial, algo tan simple como engañar a un usuario para que haga clic en un enlace malicioso puede dar al atacante acceso a toda la red. Las personas saben que deben ignorar los correos electrónicos de extraños suplicantes que necesitan desesperadamente datos bancarios, pero cuando ese correo electrónico proviene de alguien que conoce, es mucho menos probable que haga clic en "Marcar como spam".
Los piratas informáticos pueden desplazarse fácilmente por la cuenta de Facebook de un objetivo potencial para encontrar el nombre de un amigo de la víctima. Luego, pueden enviar a la víctima un correo electrónico haciéndose pasar por ese amigo, y será más probable que la víctima se enamore de él si cree que proviene de alguien que conocen.
INCLINAR: Sobre el tema de las redes sociales, tenga cuidado con los datos personales que da. Lo que puede parecer un juego inofensivo en el que "Su nombre de rap es el nombre de su primera mascota más el apellido de soltera de su madre", en realidad podría ser una estafa de suplantación de identidad utilizada para encontrar las respuestas a preguntas comunes sobre la recuperación de cuentas.
02. La amenaza interna de baja tecnología
En lugar de un enemigo sin rostro, la mayoría de las amenazas internas a la seguridad cibernética provienen en realidad de empleados actuales o ex empleados. Estos empleados pueden obtener acceso no autorizado a datos confidenciales o infectar la red con algo malicioso. Estas amenazas internas pueden adoptar muchas formas:
- Surf de hombro
"Navegar por el hombro" es el simple hecho de que una persona observe a alguien que escribe su contraseña. Hay un precedente de que esto suceda. Un empleado descontento o que pronto se irá podría pararse casualmente detrás de un escritorio y observar a otros empleados escribiendo sus contraseñas. Este simple acto podría dar lugar a un acceso no autorizado, lo que podría ser desastroso para una empresa. - Contraseñas en notas Post-it
Incluso más fácil que memorizar una contraseña observada por encima del hombro, las amenazas internas pueden provenir de los empleados que escriben contraseñas y las pegan en los monitores de sus computadoras; sí, eso realmente sucede. Obviamente, esto hace que sea increíblemente fácil para alguien obtener detalles de inicio de sesión que luego podrían usarse para defraudar o infectar a una empresa. La buena noticia es que este descuido es fácil de rectificar. - Unidades de memoria USB insertadas en computadoras
Las máquinas de los empleados pueden infectarse con software de registro de teclas cargado en una unidad USB simple. Un atacante solo tendría que introducir la unidad USB en la parte posterior de una computadora y tendría acceso a los datos personales y las contraseñas del usuario.
INCLINAR: Para evitar estas amenazas internas, las empresas deben educar a sus empleados con cursos de seguridad y comunicaciones sobre la importancia de estar atentos a sus contraseñas. El software de administración de contraseñas como KeePass o Dashlane puede almacenar contraseñas de forma segura, por lo que no es necesario que las recuerde todas. Alternativamente, también puede bloquear los puertos USB de sus estaciones de trabajo para evitar que se acceda a dispositivos no autorizados a través de USB. Sin embargo, este enfoque debe considerarse cuidadosamente, ya que hace que cada estación de trabajo sea mucho menos flexible y aumenta la carga de trabajo para el departamento de TI, ya que cada nuevo dispositivo USB requerirá aprobación antes de que pueda usarse.
03. Cebo
Al igual que en la ingeniería social, los métodos de cebo engañan a los usuarios utilizando la información obtenida sobre la persona. Por ejemplo, un pirata informático podría consultar los sitios de redes sociales y descubrir que el objetivo está interesado en Game of Thrones. Ese conocimiento le da al atacante algo de cebo. En lugar de un correo electrónico genérico, el atacante podría enviar al objetivo un correo electrónico que diga "Haz clic aquí para ver el último episodio de Game of Thrones". Es más probable que el usuario haga clic en el botón que, por supuesto, es en realidad un enlace de malware y no el episodio más reciente de Game of Thrones.
De manera similar, con tanta información que aparece públicamente en LinkedIn, también puede ser fácil para los atacantes investigar una estructura de informes, apuntar a un joven que se hace pasar por el CEO y solicitar una transferencia de fondos a una cuenta en particular. Por más descabellado que parezca, hay incidentes bien conocidos de que esto ocurra. La escucha clandestina es un método similar, en el que los atacantes escuchan conversaciones comerciales en cafeterías, en el transporte público e incluso como proveedores en un entorno de oficina.
04. Botones de cancelación de suscripción
Otra forma en que los atacantes están engañando a los usuarios para que descarguen malware de los correos electrónicos es mediante botones para cancelar la suscripción. Por ley, cada correo electrónico de marketing debe contener un enlace para cancelar la suscripción para que los consumidores puedan optar por no recibir comunicaciones. Un atacante podría enviar correos electrónicos repetidos a un usuario que parecen ofertas especiales de marketing de una empresa de ropa (o similar). Los correos electrónicos parecen bastante inofensivos, pero si el usuario no está interesado en la empresa o cree que los correos electrónicos son demasiado frecuentes, puede presionar el botón para cancelar la suscripción para dejar de recibir correos electrónicos. Excepto en el correo electrónico de phishing de este pirata informático, al hacer clic en el botón para cancelar la suscripción se descarga el software malicioso.
INCLINAR: Un filtro antispam configurado correctamente debería detener estos correos electrónicos, pero nuevamente, es mejor estar alerta.
La clave para llevar es mantenerse alerta y actualizado sobre la variedad de métodos que los piratas informáticos pueden usar para robar sus datos. Eduque a sus empleados para que conozcan las técnicas enumeradas en este artículo que pueden usarse para adquirir contenido, como sus datos de inicio de sesión o datos personales. Anime a los empleados a cuestionar a cualquier persona que no reconozcan y a que estén atentos a cualquiera que esté escuchando conversaciones o navegando por el hombro.
Sin embargo, dejando todo esto a un lado, vale la pena recordar que Internet sigue siendo un lugar abrumadoramente positivo y creativo para estar, y el mundo es significativamente más rico por ello. Siempre que esté atento, todos podemos seguir disfrutando de sus beneficios.
Este artículo se publicó originalmente en el número 303 de neto, la revista más vendida del mundo para diseñadores y desarrolladores web. Comprar número 303 o Suscríbete aquí.
Obtenga su boleto para Generate New York ahora
El mejor evento de diseño web de la industriaGenerar Nueva Yorkestá de vuelta. Entre el 25 y el 27 de abril de 2018, los oradores principales incluyen a Dan Mall de SuperFriendly, el consultor de animación web Val Head, el desarrollador de JavaScript de pila completa Wes Bos y más.
También hay un día completo de talleres y valiosas oportunidades para establecer contactos, no se lo pierda.Obtenga su boleto Generate ahora.
