En los últimos tiempos, nuestros clientes nos han comentado que están sufriendo un fenómenos conocido como «ingeniería social». En Ampyf vamos a ver en qué consiste y los motivos por los que ocurre.
Es una técnica que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información que les permitan realizar daños a la persona u organismo comprometidos. El principio que sustenta la ingeniería social es el de que, en cualquier sistema, los usuarios son el «eslabón débil».
Pero… ¿cuáles son los objetivos de los ataque de ingeniería social?
Los ataques de ingeniería social tienen como objetivo a cualquier empleado, en realidad no importa mucho el puesto en que este esté. Va más allá.
A través de estos ataques se puede obtener información confidencial del propio empleado, o bien utilizar a esta información para acceder a otras personas de la organización de manera inadvertida.
Las bases sobre las que se sustentan los ataques de ingeniería social son las siguientes:
- El deseo de ayudar a otras personas.
- La confianza en que las personas actúan por buena voluntad.
- El no querer decir que no a las peticiones de otras personas.
- El deseo de ser halagado por una buena acción.
Supongamos que un empleado del Departamento de RRHH sin unas responsabilidades relevantes recibe una llamada de una persona (atacante) que se hace pasar por un trabajador del departamento de informática. Esta persona le solicita información de su equipo, si se actualizan los equipos, programas que tiene instalados, su usuario y contraseña para realizar mantenimiento del equipo. Supongamos que esta persona por alguna de las causas mencionadas con anterioridad se la facilita al atacante. A partir de este momento, el atacante podría intentar acceder a los sistemas corporativos, instalar un troyano o registrar todas las pulsaciones del teclado.
Aunque pueda parecer fruto de la casualidad, los ataques de ingeniería social se llevan a cabo de manera planificada, obteniendo información de múltiples fuentes. Esto les permite tener un conocimiento similar al que tendría alguien que trabajase en la organización.
¿Sabes en qué consiste la confidencialidad entre empresa y trabajador? Si te ha interesado saber cuando es legal grabar una conversación, sigue leyendo…
Accede a nuestro artículo al respecto clicando aquí y entérate.
El correo electrónico y el pen drive: los medios más usuales para la ingeniería social.
Uno de los medios más utilizados en la ingeniería social es el correo electrónico. Bajo cualquier pretexto o excusa invitan al empleado a enviarles información personal o de la empresa, o bien a hacer clic en algún enlace o a abrir un fichero adjunto infectado. El ataque por correo electrónico se realiza través de una cuenta falsa con características similares a las cuentas de correo de la organización, para darle más credibilidad en caso de ser un ataque dirigido contra la misma.
Otra de las técnicas utilizadas es el uso de memorias USB “extraviadas”. Consiste en dejar en lugares estratégicos USB con ficheros infectados. Éstos están identificados con nombres llamativos como por ejemplo «NóminasFeb2020», de esta forma se atrae la curiosidad del empleado y la apertura del fichero infectado.
Este tipo de ataques son de los más difíciles de prevenir y, por lo tanto, los que mayor probabilidad de éxito tienen.
La organización debe estar alerta ante cualquier actividad o solicitud sospechosa.
¿Tienes dudas sobre si se está dando ingeniería social en tu empresa o sobre Protección de Datos? Contacta con nosotros sin compromiso.
Para cualquier duda o pedir presupuesto sobre cuestiones relacionadas con Protección de Datos contacta sin compromiso.
Cualquier tratamiento de datos de carácter personal es fundamental recibir asesoramiento profesional. Y nosotros estamos aquí para ayudarte.
Comunícate con nosotros para conocer mucho más sobre Protección de datos para Pymes. También entérate sobre nuestros demás servicios. No dudes en contactarnos a través de nuestra web o por correo, y pídenos presupuesto sin compromiso. Además puedes seguirnos en redes sociales para estar al tanto de noticias, consejos, nuestros cursos y mucho más:
Si te ha resultado útil el artículo, puedes compartirlo pulsando los iconos que aparecen justo debajo de este artículo.
Si nos sigues podrás estar al tanto de, no solo conceptos como el registro de actividades de tratamiento, sino de todo tipo de novedades con respecto a la Protección de Datos y estar al día de una legislación tan cambiante como esta.
Comentarios recientes