La ingeniería social, una amenaza para todas las empresas.

En el mundo digital en el que nos movemos, cada vez son más las amenazas que ponen en riesgo la seguridad de nuestra empresa. Los ciberdelincuentes están constantemente creando nuevas técnicas para atacarnos, y cualquier empresa o persona puede convertirse en su blanco.

Una de las amenazas que más debe preocuparnos es la ingeniería social. A través del engaño y la manipulación, los ciberdelincuentes consiguen que las víctimas les proporcionen información como credenciales de acceso, datos bancarios, datos sensibles… o que realicen acciones que pueden comprometer la seguridad de la empresa.

Las técnicas empleadas para ello son varias y las realizan a través de diferentes medios. A continuación, explicaremos una de las más relevantes: el phishing.

El phishing: no muerdas el anzuelo.

La técnica de ingeniería social más conocida es el phishing. El término proviene del inglés “fishing” que significa pesca, ya que, los ciberdelincuentes utilizan un cebo para que la víctima “pique” y realizar el ataque. El funcionamiento es el siguiente:

En primer lugar, los ciberdelincuentes suplantan la identidad de una entidad o persona legítima. Por ejemplo, un banco, una red social, o incluso, la de nuestro propio jefe. Para ello crean un correo electrónico que, en ocasiones, es muy parecido al de la entidad o persona a la que están suplantando.

Imaginemos que un ciberdelincuente pretende suplantar la identidad de Memorándum Multimedia y, para ello, utiliza un correo electrónico con el dominio “memoramdumultimedia.es”. La diferencia puede ser casi inapreciable y, en caso de recibir un correo electrónico que parezca urgente, podríamos no reparar en que falta una “n”.

En el siguiente paso los ciberdelincuentes proceden a crear “el anzuelo”, es decir, el asunto y cuerpo del correo electrónico que van a enviar a la víctima. Estos correos fraudulentos suelen tener una estructura común, en la que se incita al destinatario a descargar un archivo adjunto o hacer clic en un enlace.

De hacerlo, podrían ocurrir dos cosas: que el archivo descargue un programa malicioso en nuestro dispositivo o que el enlace nos redirija a una web fraudulenta. En el segundo caso, el enlace nos llevará a una web muy similar a la que esperamos encontrar, por ejemplo, a la de inicio de sesión de la entidad que han suplantado, pero, de introducir las credenciales que nos solicitan, estas quedarían en manos de los ciberdelincuentes.

La única forma de luchar contra este tipo de ataques es la concienciación de todos los empleados. Conocer el modus operandi de los ciberdelincuentes y estar al tanto de cómo funcionan ataques como el phishing, evitará que caigamos en ellos.

Por eso, si recibimos un correo electrónico fuera de lo común, debemos prestar atención a algunos detalles que podrían significar que estamos ante un intento de phishing:

• El remitente: es lo primero a lo que tenemos que prestar atención y comprobar que proviene de una dirección conocida.
• El asunto del correo: “URGENTE”, “ÚLTIMO AVISO”, “NOTIFICACIÓN” … todos ellos denotan urgencia, ponen en estado de alarma al destinatario y, por tanto, le dan menos opción a pensar.
• Las faltas de ortografía: son también muy recurrentes en este tipo de ataques. Y es que, en la mayoría de las ocasiones, los ciberdelincuentes no se encuentran en España y utilizan traductores en línea para redactar los correos electrónicos. Por eso, se pueden encontrar incongruencias en la redacción de los textos, faltas de ortografía o palabras en otro idioma.
• Tono de urgencia: la intención de los ciberdelincuentes es hacernos actuar sin tiempo para pensar. Para ello, utilizan supuestos límites temporales para realizar la acción que solicitan. Por ejemplo, “Si no responde en 48 horas procederemos a desactivar su cuenta”.
• El enlace o archivo sospechoso.

Encontrar una o varias de estas características en un correo electrónico debería hacer saltar nuestras alarmas y ponerlo inmediatamente en conocimiento del equipo o persona encargada de estos asuntos en nuestra empresa.  Además, se debe poner en conocimiento del resto de los empleados para evitar posibles víctimas. La ciberseguridad es responsabilidad de todos en la empresa.

Memorándum Ciberseguridad

En Memorándum contamos con un departamento dedicado a ciberseguridad, con una amplia trayectoria trabajando para INCIBE, formando y concienciando en ciberseguridad. Si te preocupan los riesgos digitales para tu empresa, podemos proporcionarte un catálogo de servicios formativos y de consultoría. ¡Llámanos!