Llámanos 91 431 74 74

El Centro Criptológico Nacional (CCN-NERT) define la Ingeniería Social como:

Conjunto de técnicas psicológicas y habilidades sociales utilizadas de manera consciente y premeditada por los cibercriminales para la obtención de información de terceros”.

En otras palabras, nos encontramos ante un simple engaño o manipulación de un usuario cualquiera a través de emails, redes sociales, SMS, conversación telefónica y últimamente mediante URLs (sitios web maliciosas).

Cómo se ejecuta la Ingeniería Social

Como todos sabemos el único objetivo de los actos de ingeniería social es la recolección (Hunting) de una gran cantidad de información propiedad de un tercero, con el fin de lanzar posteriormente un ataque mucho más dañino y perjudicial que suele iniciarse con un “Phishing”.

Esta última acción abre la puerta a los ciberdelincuentes, poniendo en grave peligro la seguridad de la empresa. Este primer ataque abre la puerta a cualquier otro mediante el envío un Malware.

Destacamos entre otros:

  • Ataque DoS /DDoS: Satura tu servidor y tira abajo tu web.
  • Troyano: Infecta y produce un daño al sistema.
  • Spyware: Una aplicación que se instala directamente en tu ordenador y permite al atacante extraer información.
  • Virus: Infección del dispositivo atacado.
  • Gusano: Igual que el anterior, pero esta vez sí compromete a la red pues están diseñados para expandirse a mucha velocidad.
  • Keyloggers: Monitorización de las teclas de nuestro ordenador.

Lanzado el ataque, y con seguridad comprometidos todos los dispositivos o archivos conectados a la red de la empresa o de un solo ordenador, es ahora cuando empiezan los actos de extorsión. Pues siempre se solicita un rescate en criptomonedas para conseguir el desbloqueo del dispositivo atacado o la desencriptación de tus archivos.

El pago en criptomoneda tiene la característica esencial para este fin: el anonimato del propietario y, por ello, la imposibilidad de iniciar acciones legales de responsabilidad.

La Ingeniería Social suele ser el primer acto que inicia toda la cadena de ataque. Decimos que tiene un importante contenido psicológico por el mero hecho de que el atacante busca interaccionar de manera directa, y a veces personalmente con la víctima. Le hace sentir cómodo y genera una confianza suficiente que le puede llevar a entregar voluntariamente una serie de datos que le permitan acceder a zona reservada y así poder materializar el ataque.

Según el Centro Nacional Criptológico en su informe “Ciberamenazas y Tendencias 2020”

En lo que al objeto de este post se refiere, las principales amenazas de una empresa son:

Los Ciberdelincuentes:

Tienen como objetivo el robo y manipulación de información, interrupción de servicios y manipulación de sistemas.

Las principales acciones realizadas por los Ciberdelincuentes son dos: (i) Uso de Ransomware para cifrar archivos o HOR (Human Operated Ransomware); (ii) El Fraude del CEO o BEC (Business Email Compromise). Este último es el fraude más común. Tal y como dice el informe:

Según el FBI este tipo de estafas sufrió un incremento del 100% desde mediados del 2018 hasta mediados de 2019, con miles de millones de pérdidas”.

La modalidad más siempre de este tipo de fraude se centra espacialmente en pura ingeniería social. Pues la atacante realiza las gestiones necesarias para identificar al eslabón más débil de la empresa. Una vez lo tiene localizado, inicia las acciones de engaño y obtención de datos.

Los Insiders (personal interno de la empresa)

Tienen como target el Robo de información y la interrupción de servicios.  En la mayoría de los casos, tal y como indica el informe, la mayor parte de los incidentes no se producen por mediar una intención dañina en el trabajador. Si no que suele tener el origen por errores, falta de concentración, formación y entrenamientos de los propios trabajadores de la empresa.

Por último, hay que recordar que el email sigue siendo la principal vía de entrada de los atacantes. La ciberdelincuencia pone en riesgo a todo tipo de organizaciones empresariales. Generalmente las grandes tienen recursos suficientes para poder implementar herramientas, protocolos y formación en sus empresas. Sin embargo, las pequeñas y microempresas no tienen esa capacidad, ya que los costes asociados a tales herramientas son implanteables.

Por ello, tras un ataque, sufren un tremendo impacto que en muchas ocasiones conlleva el cese de la actividad y el cierre del negocio.

Cómo luchar contra la Ingeniería Social

La Estrategia Nacional de Ciberseguridad del año 2019 entiende que una de la “líneas de Acción” de dicha estrategia es “Impulsar la ciberseguridad de los ciudadanos y empresas”. Entre ellas se destacan entre otras las siguientes medias:

  • Impulsar la Ciberseguridad de las Pymes, Micropymes y autónomos mediante la articulación de políticas públicas en ciberseguridad, y sobre todo a aquellas dirigidas al fomento de la resiliencia (capacidad de adaptación a situaciones adversas).
  • Impulsar la implantación de sistemas fiables para la identificación y servicios electrónicos de confianza.

En Peña Ochoa & Granados estamos absolutamente concienciados con el derecho de las Pymes y Micropymes a poder disponer de herramientas de Ciberseguridad encaminadas a la protección de sus negocios. Hemos desarrollado una herramienta de ciberseguridad accesible para PYMES y MICROPYMES, complementado con el asesoramiento de un especializado en Ciberderecho. Descarga aquí el dossier: