Ingeniería social: La falta de conciencia es el factor más explotado en ciberataques

Los ataques de ingeniería social más comunes provienen del phishing o del spearphishing y pueden variar según los acontecimientos actuales

Ingeniería social: La falta de conciencia es el factor más explotado en ciberataques
Alexandra Moguel/ Singularidad/ Opinión El Heraldo de México

Incluso las mejores soluciones de seguridad son de poca utilidad si la fuerza laboral no tiene conciencia sobre ciberseguridad. Por esa razón, crear conciencia en la materia es tan importante como la tecnología que se utiliza.

La ingeniería social es a menudo un enfoque de bajo costo y bajo riesgo para quienes realizan el ataque. Cuanto más se desarrollen las medidas de seguridad técnicas y más difícil sea atravesarlas, más atacantes usarán la ingeniería social.

Los ataques de ingeniería social más comunes provienen del phishing o del spearphishing y pueden variar según los acontecimientos actuales, los desastres de origen natural o la temporada del año. Por ejemplo, durante la pandemia por COVID-19 atacantes han explotado el tema para realizar campañas de phishing. Al ser esta técnica una de las formas más explotadas de la ingeniería social, durante 2020 alrededor de 95% de las brechas de datos han sido resultado de phishing.

La fuerza laboral con acceso a los activos críticos de una organización se convierte en el blanco y es a ella a quien apuntan directamente e intentan contactar para realizar un ataque. El principal objetivo de quienes realizan el ataque es conseguir que les concedan acceso a sistemas, activos o información sensible. Sin embargo, quienes tienen acceso a los sistemas y recursos de la empresa también son responsables de proteger esos recursos e información. Una organización debe preguntarse: ¿está nuestra plantilla en condiciones de asumir esta responsabilidad? ¿Tiene la conciencia y las habilidades para cumplir estas expectativas y protegerse a sí misma y a la empresa de los ataques de la ingeniería social?

Un gran desafío para la ciberseguridad es la falta de concienciación y capacitación, pues la mayoría de las organizaciones del sector público y privado siguen creyendo que la seguridad cibernética es sólo una disciplina técnica y no estratégica. No solo se trata de proteger los sistemas de amenazas como el acceso no autorizado. La conciencia de la ciberseguridad y la formación de las personas que tienen acceso autorizado a los sistemas y a la información es igual de importante.

Cibercrminales prefieren atacar a la gente porque es más fácil. A medida que la tecnología continúa avanzando y los sistemas de seguridad se hacen más fuertes y difíciles de comprometer, la psicología humana les facilita su explotación.El efecto de estímulo-respuesta es persistente, ya que la vulnerabilidad humana y la explotación de esas vulnerabilidades es un éxito constante. Por estas razones, los ataques de ingeniería social continuarán ocurriendo en el futuro previsible, a menos de que las empresas inviertan en la capacitación, concientización y fortalecimiento de la cultura de ciberseguridad.

No podemos proteger totalmente a la fuerza laboral de estos ataques pero podemos enseñarles cómo protegerse a sí misma y a sus organizaciones. La ignorancia es el factor más explotado en la ingeniería social. Si las personas conocen las tácticas y métodos utilizados en este tipo de ataques, ppodrán proteger su información y a su organización.

 

POR ALEXANDRA MOGUEL
@METABASEQ
CONTACT@METABASEQ.COM


Compartir