Reconocimiento y omisión de esquemas de ingeniería social
Todos tenemos algo de qué ocuparnos, y el cibercrimen no siempre es nuestra prioridad. En un día ajetreado, es fácil confundirse y hacer clic en el enlace equivocado o interactuar con el correo electrónico equivocado, convirtiéndonos así en una víctima accidental del cibercrimen.
Lamentablemente, las fallas de seguridad salen caras. De acuerdo con un estudio realizado en el 2018 por IBM, “el costo global promedio por violación de datos es un 6,4 % superior al del año pasado, que fue de $3,86 millones”.
Siendo consciente de las tácticas de ingeniería social que los cibercriminales utilizan y siguiendo una serie de mejores prácticas sencillas, usted puede ayudar a evitar fallas de seguridad.
Phishing
Los ataques de phishing ocurren cuando mensajes maliciosos, generalmente correos electrónicos, se camuflan como mensajes oficiales y luego usuarios desprevenidos los abren o transmiten. En una de las formas de ataque más comunes, un correo electrónico parece provenir de su banco o comerciante habitual. El correo electrónico intentará asustarlo haciéndole creer que su cuenta ha sido vulnerada o que se le ha cobrado una compra que usted no realizó. Por lo general, las víctimas terminan haciendo clic en un enlace o archivo malicioso adjunto al correo electrónico, que luego infectará la computadora del usuario.
La solución para evitar ser víctima es engañosamente sencilla: nunca interactúe con un correo electrónico no solicitado. Si cree que el correo electrónico es legítimo, asegúrese de contactar al remitente usando otro método de comunicación (por ejemplo, use un número de teléfono que se encuentre en la página real de la compañía). Si sospecha que ha sido víctima de phishing, siempre informe sobre el ataque a la seguridad informática.
Ataques selectivos de phishing
Si ocupa un cargo elevado de administración, o si maneja las transacciones de su compañía, podría estar en riesgo de ser víctima de ataques selectivos de phishing o spear phishing. Spear phishing apunta a individuos específicos luego de saber qué hacen y con quién hacen negocios.
Según el FBI, se han perdido aproximadamente $2,3 mil millones en “Fraudes mediante correos electrónicos empresariales”, en los cuales los criminales ponen en riesgo las bandejas de entrada de correos electrónicos de los ejecutivos de alto rango y usan la información en ellas para persuadir a otro empleado para que haga una transferencia bancaria.
Dichos fraudes selectivos son más comunes y están más generalizados de lo que usted puede imaginar. Aquí hay algunos ejemplos recientes:
- En marzo de 2019, se descubrió que los gigantes tecnológicos Google y Facebook perdieron decenas de millones de dólares estadounidenses en facturas falsas enviadas por un hombre lituano.
- En enero de 2019, Oregon DHS perdió la información confidencial de 645 000 residentes en un ataque de
Como prevención, se aplican las mismas reglas. No interactúe automáticamente con correos electrónicos no solicitados, sin importar lo urgente que parezcan. Siempre verifique, de forma independiente, su autenticidad antes de actuar.
Phishing de voz
Como el nombre lo sugiere, el phishing de voz involucra llamadas telefónicas fraudulentas. Al igual que los correos electrónicos de phishing selectivo, el criminal investiga a la víctima y luego, fingiendo ser un empleado, socio comercial o agente del gobierno, lo persuade para que divulgue información importante o haga un pago.
Entre el 2012 y el 2016, 15 000 estadounidenses perdieron millones de dólares en fraudes telefónicos. Con un pretexto común, estas llamadas fraudulentas simulan provenir del IRS (Servicio de impuestos interno) y asustan a los individuos para que paguen impuestos atrasados o por el riesgo de ser arrestados.
Igual que con los correos electrónicos de phishing, si la llamada parece sospechosa, probablemente lo sea. Jamás revele información o envíe dinero sin verificar la autenticidad del llamado.
Baiting
¿Cree que ganó un dispositivo de memoria USB de pura suerte? ¿O se “encontró” una tarjeta de memoria SD perdida? Piénselo de nuevo. Los criminales son conocidos por intentar infiltrarse en redes corporativas engañando a sus víctimas con dispositivos maliciosos que pueden conectarse en las computadoras portátiles de sus compañías.
Nunca conecte dispositivos no autorizados en su computadora. Cuando tenga una duda, póngase en contacto con el servicio de ayuda y siempre entregue los dispositivos sospechosos a T.I.
Tailgating
Tailgating involucra una superposición de confirmaciones en áreas seguras de la oficina mediante el uso de las credenciales de otra persona. Un criminal puede seguirlo hasta su área segura después de que usted presente su identificación, o él / ella puede pedirle que lo / la deje pasar.
Dejar pasar a alguien a una zona segura usando sus credenciales va en contra de la política de la compañía. Si alguien le pide que lo deje entrar, acompáñelo amablemente hasta la recepción.