Tag Ingeniería Social

La ingeniería social en el punto de mira: de los trucos clásicos a las nuevas tendencias.

En la publicación de hoy, analizamos algunos trucos de ingeniería social que suelen emplear los ciberdelincuentes para atacar a las empresas: variantes de una estafa relacionada con llamadas y correos electrónicos por parte de un soporte técnico falso, ataques de compromiso del e-mail corporativo, solicitud de datos por parte de organismos policiales falsos…

Hola, soy del soporte técnico

La llamada a un empleado de la empresa desde el “soporte técnico” es una estrategia clásica de ingeniería social. Por ejemplo, los ciberdelincuentes pueden llamar en fin de semana y decir algo como: “Hola, te llamo desde el servicio de soporte técnico de tu empresa. Hemos detectado una actividad extraña en tu equipo y necesitamos que vayas a la oficina de inmediato para averiguar qué sucede”. Está claro que a nadie le apetece ir a la oficina en fin de semana, por lo que el tipo del soporte técnico acepta “a regañadientes” y “como medida excepcional” romper el protocolo de la empresa y resolver el problema en remoto. Pero, para ello, necesitará las credenciales de inicio de sesión del empleado. Te haces una idea de lo que sucede a continuación, ¿verdad?

Hay una variación de esta estrategia que se generalizó durante la migración masiva al trabajo remoto durante la pandemia. El soporte técnico falso “percibe” actividad sospechosa en el ordenador portátil de la víctima utilizado para trabajar desde casa y sugiere resolver el problema utilizando una conexión remota, a través de una RAT. Una vez más, el resultado es bastante predecible.

Confirmar, confirmar, confirmar…

Siguiendo con el tema del soporte técnico falso, se detectó una técnica muy interesante durante un ataque a Uber el otoño del 2022, cuando un ciberdelincuente de 18 años logró comprometer varios sistemas de la empresa. El ataque comenzó cuando el delincuente obtuvo los datos personales de inicio de sesión de un trabajador independiente de Uber de la dark web. Sin embargo, para obtener acceso a los sistemas internos de la empresa, aún quedaba un pequeño detalle: superar la autenticación multifactor.

Y aquí es donde entra en juego la ingeniería social. A través de numerosos intentos de inicio de sesión, el atacante envió spam al desafortunado trabajador con solicitudes de autenticación, luego le envió un mensaje por WhatsApp haciéndose pasar por el soporte técnico con una propuesta para solucionar el problema: para detener el flujo de correo no deseado, solo tienes que confirmar este mensaje. Así se eliminó el último obstáculo en la red de Uber.

Soy el CEO y ¡necesito una transferencia ahora mismo!

Volvamos a un clásico: el siguiente es un tipo de ataque llamado ataque de compromiso de e-mail corporativo (BEC por sus siglas en inglés). La idea detrás de esto es iniciar de alguna forma la correspondencia con los empleados de la empresa, normalmente haciéndose pasar por un gerente o un socio comercial importante. Como norma general, el propósito de esta correspondencia es lograr que la víctima transfiera dinero a la cuenta que indican los estafadores. Mientras tanto, los escenarios de ataque pueden variar: si los delincuentes están más interesados en infiltrarse en la red interna de la empresa, pueden enviar a la víctima un archivo adjunto malicioso que debe abrir.

De una forma u otra, todos los ataques BEC giran en torno al compromiso del correo electrónico; pero ese es el aspecto técnico. El elemento de ingeniería social juega un papel mucho más importante. Mientras que la mayoría de los correos electrónicos fraudulentos dirigidos a usuarios comunes parecen de broma, las operaciones BEC involucran a personas con experiencia en grandes empresas que pueden escribir correos electrónicos comerciales plausibles y persuadir a los destinatarios para que hagan lo que los delincuentes quieren.

¿Por dónde nos habíamos quedado?

Cabe destacar una técnica de ataque BEC específica que se ha vuelto muy popular entre los ciberdelincuentes en los últimos años. Conocida como secuestro de conversaciones, esta estrategia permite a los atacantes infiltrarse en la correspondencia comercial haciéndose pasar por uno de los participantes. Por lo general, no se utilizan trucos técnicos ni el hackeo de cuentas para disfrazar al remitente: todo lo que necesitan los atacantes es hacerse un correo electrónico real y crear un dominio similar. De esta forma, se ganan automáticamente la confianza de todos los demás participantes, lo que les permite dirigir la conversación en la dirección que desean. Para realizar este tipo de ataque, los ciberdelincuentes suelen comprar bases de datos de correspondencia de correo electrónico robada o filtrada en la dark web.

Las situaciones de ataque pueden variar. No se descarta el uso de phishing o malware, pero según la estrategia clásica, generalmente los ciberdelincuentes intentan secuestrar conversaciones que están directamente relacionadas con el dinero, preferiblemente grandes cantidades, ingresando sus datos bancarios en el momento oportuno; después se huyen con el botín a una isla tropical.

Un buen ejemplo de secuestro de conversaciones es lo que sucedió durante la transferencia del futbolista Leandro Paredes. Los ciberdelincuentes se infiltraron en el intercambio de correos electrónicos bajo la apariencia de un representante del club de Paredes, Boca Juniors, que tenía derecho a un pequeño porcentaje de la tarifa de transferencia, que asciende a 520.000 €, cantidad que se embolsaron los estafadores.

Somos la policía, entrega tus datos

Una tendencia reciente, que parece haber aparecido en el 2022, consiste en que los ciberdelincuentes realicen solicitudes “oficiales” de datos cuando recopilan información para prepararse para ataques a usuarios de servicios online. Este tipo de solicitudes las han recibido proveedores de servicios de Internet, redes sociales y empresas tecnológicas con sede en EE. UU. desde cuentas de correo electrónico hackeadas que pertenecen a organismos de fuerzas del orden.

Te explicamos un poco más: en circunstancias normales, para obtener datos de proveedores de servicios en los Estados Unidos se requiere una orden judicial firmada por un juez. Sin embargo, en situaciones en las que la vida o la salud de las personas está en peligro, se puede emitir una solicitud de datos de emergencia (EDR).

Pero mientras que en el caso de las solicitudes de datos normales hay procedimientos de verificación simples y comprensibles, para los EDR actualmente no existe nada por el estilo. Por tanto, es muy probable que se conceda dicha solicitud si parece plausible y aparentemente proviene de una agencia de las fuerzas del orden. De esta forma, los ciberdelincuentes pueden obtener información sobre las víctimas de una fuente confiable y utilizarla para futuros ataques.

Cómo protegerte contra los ataques de ingeniería social

El objetivo de todos los métodos de ataque anteriores no es un trozo de hardware sin alma, sino un ser humano. Por tanto, para reforzar las defensas corporativas contra los ataques de ingeniería social, el foco debe estar centrado en los trabajadores. Esto implica enseñar a los empleados los conceptos básicos de ciberseguridad y explicarles cómo contrarrestar varios tipos de ataques. 

Fuente: latam.kaspersky.com/

Los estafadores están usando la ingeniería social para engañar a los empleados recién incorporados que buscan la rápida aprobación de sus supervisores.

Los primeros días en un nuevo trabajo suelen ser un sin parar de reuniones, formaciones, sesiones de onboarding, etc. Mucho lío, por lo que es normal que acabes perdido entre tanta actividad. A su vez, hay ciertos “rituales” por los que pasan muchas contrataciones hoy en día: una de ellas es la publicación en redes sociales (normalmente en LinkedIn, aunque también en otras) de las últimas incorporaciones. Así es cómo muchas empresas anuncian y reciben cálidamente a un nuevo miembro en el equipo, y ahí es cuando el empleado recién incorporado atrae la atención de los estafadores.

Como norma general, en estas publicaciones de redes sociales se comparte tanto el nombre del empleado y la compañía, como el cargo; información suficiente para identificar a su nuevo director, a través de la misma red social o el sitio web corporativo. Con los nombres, ya puedes encontrar o descubrir sus direcciones de correo electrónico. En primer lugar, hay muchas herramientas de búsqueda de correos para ayudarte con esta tarea y, en segundo lugar, muchas empresas suelen utilizar el nombre o el apellido del empleado como nombre de usuario de correo electrónico, por lo que ya solo haría falta comprobar qué sistema está en uso para poder calcular la dirección. Y una vez que el ciberdelincuente se ha hecho con tu correo electrónico, es el momento de la ingeniería social.

Primera tarea: transferir dinero a los estafadores

Durante los primeros días en un nuevo trabajo el empleado todavía no está a la altura de las circunstancias, aunque intenta aparentarlo frente a sus compañeros y superiores, algo que podría hacer disminuir su vigilancia: lleva a cabo cada tarea rápidamente sin pararse a pensar de dónde viene, si suena razonable o, incluso, si se trata realmente de su empresa. Alguien quiere el trabajo hecho, y eso hará. Esto pasa sobre todo cuando la orden viene de su superior directo o, incluso, de alguno de los fundadores de la empresa.

Los estafadores explotan esta faceta para engañar a los empleados. Envían un correo electrónico supuestamente de parte del jefe o de algún superior, pero usando una dirección de fuera de la compañía, en el que solicitan al empleado que haga una tarea “de inmediato”. Evidentemente, el novato está encantado de ayudar. Esta tarea puede consistir en la transferencia de fondos a un proveedor o la compra de vales de regalo de cierta cantidad. El mensaje deja claro que la “rapidez es esencial” y que se le “devolverá el dinero al final de la jornada”, ¿cómo no? Además, los estafadores resaltan la urgencia del asunto para que el empleado no tenga tiempo de pensarlo o comprobarlo con otra persona.

El jefe tiene cierto aire de autoridad y el empleado quiere ser de utilidad. Por ello, no se detienen a buscar lógica de la solicitud o a por qué le han podido elegir a él en concreto para esta tarea. La víctima transfiere el dinero a la cuenta en específico sin dudar y avisa a su “jefe” respondiendo a la misma dirección de correo electrónico, de nuevo sin detectar que el nombre de dominio parece sospechoso.

El estafador sigue jugando a ser el jefe: solicita la documentación que confirma la transición y, después de recibirla, elogia al empleado e informa de que reenviará estos documentos al solicitante, añadiendo una sensación de legitimidad. Para terminar de conceder a esta interacción una apariencia laboral normal y corriente, los atacantes también afirman que se pondrán en contacto de nuevo si necesitan algo más del (desdichado) empleado.

No es hasta después de cierto tiempo cuando el empleado comienza a preguntarse por qué le habrán asignado esta tarea, detecta que el e-mail no es corporativo o menciona el incidente en una conversación con el jefe real. Y ahí es cuando la triste verdad sale a la luz: todo ha sido una estafa.

Circunstancias agravantes

Como cualquier otra estafa corporativa, esta estrategia se ha beneficiado del movimiento masivo que sufrieron las empresas de la oficina al teletrabajo. Incluso las pequeñas empresas han comenzado a contratar empleados de todo el mundo, lo que implica que muchos empleados no solo no conozcan a su jefe, sino que ni siquiera sepan cómo es ni cómo se expresa. Por otro lado, aunque quisieran, tampoco pueden consultar con un compañero si la tarea es o no real.

Además, si el supervisor y la mayoría del resto de empleados trabajan en países diferentes, la solicitud de una transferencia monetaria a alguien de tu región podría parecer verosímil. Las transferencias bancarias nacionales siempre son más sencillas y rápidas que las internacionales, lo que puede aportar normalidad a la estafa.

Por último, las pequeñas empresas, que parecen ser objetivos comunes, suelen contar con procedimientos financieros menos formales, sin tener que completar formularios ni directores financieros: simplemente envíalo ahora de tu dinero, te lo devolveremos en seguida. Este es otro factor que imparte legitimidad a los correos electrónicos de estafa.

Cómo pueden los empleados evitar la trampa

Lo más importante para un nuevo empleado es no perder la cabeza a la hora de intentar mostrarse al servicio de la compañía.

• Es importante comprobar minuciosamente las direcciones de los mensajes que recibes por correo electrónico o mensajero. Si no te resulta familiar, es el momento de estar alerta.
• No dudes en preguntar a tus compañeros si este tipo de solicitud es normal. Si parece raro, es mejor preguntar que lamentarse luego.
• Si recibes una solicitud inusual aparentemente desde dentro de la compañía, aclara los detalles con el remitente mediante un canal de comunicación diferente. ¿Te ha pedido tu jefe que compres vales de regalo en un correo electrónico? Compruébalo con él directamente desde un mensajero.

Cómo pueden proteger las empresas a sus empleados

Lo más importante por parte de la empresa es configurar correctamente el servidor de correo electrónico de la compañía, que puede adaptarse para que señale los correos que no procedan de direcciones corporativas. Por ejemplo, Google Workspace, herramienta popular entre las empresas, etiqueta estos mensajes como externos por defecto. Y, cuando intentas responderlos, te advierte claramente: “Cuidado con el intercambio de información sensible”. Estas notificaciones ayudan a los empleados a saber si están hablando con un compañero de la empresa o no. Además, te recomendamos:

• Impartir formaciones en materia de seguridad de la información a los empleados desde el primer día. La sesión debería introducir el concepto del phishing, en caso de que sea algo nuevo para ellos, además de aportar una serie de instrucciones sobre qué prácticas están en uso en la empresa y cuáles no.
• Crear una guía de la seguridad de la información para nuevos empleados con reglas básicas y precauciones contra las amenazas más importantes. Para ayudarte a crear, puedes echar un vistazo nuestra publicación en la que compartimos la información más revelante.
• Impartir formaciones periódicas para concienciar a tus empleados en seguridad; puedes hacerlo, por ejemplo, con una plataforma online especializada.

Fuente: latam.kaspersky.com

Si bien el ransomware es una de las amenazas informáticas qué más preocupación genera a las empresas y organizaciones a nivel global, lejos está de ser la única.

En la última edición del ESET Security Report las empresas de América Latina manifestaron que sus principales preocupaciones a nivel de ciberseguridad son el robo de información y el acceso indebido a sus sistemas, además de los códigos maliciosos. Lo cierto es que los cibercriminales se valen de distintas alternativas para realizar estas actividades maliciosas, desde aprovechar bases de datos mal configuradas, técnicas de ingeniería social para engañar a empleados y obtener información o acceso, vulnerabilidades en tecnologías que utiliza la organización o algún proveedor, o el uso de credenciales débiles y fáciles de descifrar, etc. Por lo tanto, si bien el ransomware es un tipo en particular de malware que despierta preocupación a las organizaciones por el impacto económico y a la reputación, no es la única forma de amenaza informática dirigida a las organizaciones.

No nos olvidemos que salvo los ataques que tienen como objetivo realizar tareas de espionaje, la principal motivación de los actores de amenazas es obtener un beneficio económico, por lo que buscarán la forma de monetizar sus ataques, ya sea mediante la extorsión, venta de datos en el mercado clandestino de la dark web u otra forma.

1. Filtración o exposición de datos

La filtración de datos se da como consecuencia de un acceso indebido a los sistemas de una organización. Una vez dentro de la red algunos actores de amenazas más sofisticados logran permanecer lejos de los radares de detección para realizar tareas de reconocimiento, buscando información sensible para robar o incluso intentando escalar privilegios para acceder a información más crítica y de mayor valor. Las formas de acceso inicial a los sistemas de la víctima varían, ya que los atacantes pueden utilizar distintos vectores para su cometido.

Más allá de que la filtración o exposición de información sea como consecuencia de algunas de las amenazas que describiremos más abajo en este artículo, como puede ser un ataque de phishing que descargue un malware o mediante ataques de fuerza bruta, las filtraciones se dan también por errores humanos, como configuraciones indebidas de bases de datos o debido al acceso de alguien interno a la organización que tenía permisos innecesarios y que por error o deliberadamente compartió información sensible. Algo similar ocurre con los dispositivos físicos robados que contienen información sensible o accesos.

Por otra parte, un ataque a un proveedor podría provocar la exposición de datos de la organización, y la seguridad de este proveedor es algo que está más allá del control de la empresa, pero es un riesgo que se debería tener presente a la hora de evaluar la seguridad de la organización.

2. Ataques de fuerza bruta

Como mencionamos en el punto anterior, una de las formas más comunes que utilizan los cibercriminales de acceder a los sistemas de una empresa es a través de ataques de fuerza bruta. Los actores maliciosos utilizan esta modalidad con el objetivo de descifrar credenciales débiles de servicios expuestos a Internet para así lograr acceso a la red de la víctima y luego llevar adelante otra acción maliciosa, como robar información o desplegar malware.

Existen distintos tipos de ataque de fuerza bruta, como los ataques de password spraying o de credential stuffing, entre otros. Para ello los ciberdelincuentes se valen de software, hardware y de bases de datos (desde diccionarios, contraseñas más comunes, hasta credenciales filtradas en brechas pasadas) que les permiten de manera automatizada probar combinaciones de usuarios y contraseñas hasta dar con credenciales válidas para determinados servicios. Es importante tener presente que el uso de contraseñas débiles es una práctica común y difícil de erradicar, y esto es algo que los atacantes lo saben y por eso a lo primero que apuntan es a descifrar contraseñas cortas de entre entre uno y siete caracteres.

Por otro lado, con la adopción del trabajo remoto e híbrido a raíz de la pandemia los ataques de fuerza bruta crecieron exponencialmente, principalmente por grupos de ransomware, pero también por actores maliciosos que buscan desplegar otro tipo de malware o incluso backdoors, los cuales permiten la comunicación remota del atacante con el sistema comprometido.

3. Ataques a la cadena de suministro

Otra amenaza que debe ser considerada por las organizaciones, sobre todo a la hora de evaluar la capacidad de resiliencia, es la cadena de suministro; es decir, si están lo suficientemente preparadas para enfrentar las consecuencias de un ataque a un proveedor cuya gestión de la seguridad está más allá de su perímetro.

En 2021 se registró un crecimiento de los ataques a la cadena de suministro. Muchas veces estos ataques se realizan aprovechando vulnerabilidades existentes en proveedores de software que utilizan las compañías y los actores maliciosos distribuyen, por ejemplo, una actualización maliciosa o una app que deriva en el compromiso de los clientes de este proveedor. Esto les permite a los atacantes tener un alcance mayor en comparación con un ataque dirigido a una sola organización y comprometer a muchas compañías a partir de una misma campaña.

Uno de los ataques de cadena de suministro qué más repercusión tuvo en el último tiempo fue el que sufrió Kaseya, proveedor de servicios administrados, que se vio afectado por la distribución de una actualización automática maliciosa del software de gestión de IT, Kaseya VSA, que aprovechaba una vulnerabilidad zero-day y que permitió a los cibercriminales distribuir un ransomware en los sistemas de miles de clientes de Kaseya a nivel global.

4. RAT: Troyanos de acceso remoto

Un tipo de malware muy peligroso para las organizaciones por sus capacidades para espiar y robar información son los RAT o troyanos de acceso remoto. Este tipo de malware permite a los atacantes realizar una gran cantidad de acciones en el equipo comprometido. A través de comandos enviados remotamente pueden: robar credenciales almacenadas en el navegador y de apps de mensajería, ejecutar keyloggers que registran las pulsaciones de teclado, realizar capturas de pantalla, tomar fotografías, registrar audio, interceptar comunicaciones, o descargar otro malware en el equipo, entre otras.

Existen varios RAT en actividad, y muchos son variantes creadas a partir de la compra de malware en foros clandestinos. Algunos de los más utilizados por los cibercriminales son Agent Tesla, njRAT, WSHRAT, Remcos, entre otros.

Suelen distribuirse a través de campañas de phishing que incluyen correos adjuntos o enlaces maliciosos, mediante falsas aplicaciones o instaladores de programas, entre otras.

5. Ingeniería Social

Las técnicas de ingeniería social evolucionaron, sobre todo a medida que se fue ampliando la superficie de ataque con los procesos de digitalización. Hoy hablamos de ataques de ingeniería social que utilizan bots de voz para robar los códigos de verificación, campañas de vishing mediante apps de mensajería como WhatsApp para hacer llamar a las potenciales víctimas, pero también a través de mensajes. Lo mismo ocurre en redes sociales, donde los atacantes no solo utilizan perfiles falsos suplantando la identidad de amigos, contactos profesionales u organizaciones, sino que también utilizan técnicas como el scraping de seguidores para captar determinado perfil de usuarios.

Todo esto se potenció con el trabajo remoto e híbrido, ya que se borraron los limites entre el uso laboral y personal de la tecnología, lo que expone a las organizaciones a ser víctimas por el uso personal de la tecnología que hacen sus empleados.

Las estafas del tipo Business Email Compromise (BEC), que en español significa compromiso de cuentas de correo de empresas, es un tipo de fraude que se vale de la ingeniería social dirigido generalmente al área de administración y finanzas de una organización. Los atacantes se hacen pasar por un ejecutivo o el propio CEO de la compañía y solicitan una transferencia urgente a un proveedor, por ejemplo. Las BEC representan para las organizaciones más pérdidas que cualquier otro tipo de delito informático. En Estados Unidos, por ejemplo, el último año se registraron cerca de 20.000 denuncias de estafas del tipo BEC que derivaron en 2.4 mil millones en ganancias para los cibercriminales.

También han comenzado a reportarse en los últimos años ataques de deep fake y deep voice, en los cuales los atacantes utilizan software que se apoya en inteligencia artificial para suplantar a través de la imagen y/o la voz a personas reales. Como le ocurrió al gerente de la sede de una multinacional que fue víctima de este ataque de ingeniería social y transfirió a los atacantes 220 mil euros.

Conclusión

El ransomware es una de las amenazas que más preocupación genera a las empresas, sobre todo por su actividad en los últimos años, pero está claro que no es la única amenaza que apunta a empresas y organizaciones de América Latina y del mundo. Como explicamos en este artículo, existe otro tipo de amenazas que también representan un riesgo imporante que deben ser contemplados en las estrategias de prevención que cada compañía lleve adelante.

A continuación, compartimos una infografía en la cual resumimos cuáles son las 5 amenazas informáticas más peligrosas para las organizaciones más allá del ransomware.

Fuente: www.welivesecurity.com

Se duplicaron los intentos de ataque que buscan engañar a los usuarios mediante ingeniería social, ya sea phishing u otro tipo de estafas. Perú, Brasil y México son los países de América Latina en los que se registró la mayor cantidad de detecciones.

Analizamos el comportamiento de las detecciones de ataques de ingeniería social durante 2020 y observamos un importante crecimiento de este tipo de amenazas con respecto a 2019. Si bien durante todo el año fuimos testigos del incremento de las campañas de ingeniería social que utilizaban el tema del COVID-19 para engañar a los usuarios, los datos más llamativos los observamos al analizar los sistemas de telemetría de ESET y comparar ambos períodos.

Cuando hablamos de ingeniería social nos referimos a intentos de ataque en los que actores maliciosos utilizan el nombre de una marca, organización para intentar hacerle creer al usuario que se trata de un correo o mensaje verdadero. El objetivo de esta estrategia es engañar a la víctima para que realice una acción no deseada, como la descarga de malware en el equipo, la entrega de sus credenciales de acceso, el envío de otro tipo de información personal, o desplegar en su dispositivo publicidad no deseada.

Imagen 1. Comparativa de las detecciones de ataques de ingeniería social entre 2019 y 2020.

Si bien en agosto de 2019 se registró un crecimiento importante en la curva, una de las particularidades del 2020 es el nivel casi constante de las detecciones de este tipo de amenazas y el crecimiento casi sostenido durante gran parte del año. De hecho, si bien hay una tendencia a la baja durante diciembre (al igual que el año anterior), los niveles son superiores a los de todo el primer semestre de 2020.

Si tomamos como referencia el total de las detecciones año a año se observa un crecimiento de poco más del 200% en 2020, siendo agosto el mes con más cantidad de detecciones.

En marzo hablábamos del importante crecimiento de las campañas de ingeniería social que intentaban aprovechar el temor provocado por la pandemia como excusa para afectar de distinta manera a los usuarios, y desde el Laboratorio de ESET en América Latina analizamos varias campañas que se distribuían a través del correo o WhatsApp en las que se hacía creer a las potenciales víctimas que gobiernos y empresas estaban dando ayudas económicas o que algunas marcas estaban realizando regalos. El objetivo de las campañas varía. Si bien algunas parecen más “inofensivas” al solo buscar desplegar publicidad sin ofrecer lo que se prometía en el mensaje, otras en cambio buscaban robar información personal o incluso afectar los dispositivos con código malicioso.

Perú: el país de América Latina que registró la mayor cantidad de detecciones

Observando en detalle el comportamiento de las detecciones en la región de América Latina, Perú fue el país que registró el mayor porcentaje, con poco más del 31%, seguido por Brasil con más del 18 % y México con casi el 17 % de las detecciones en la región.

Imagen 2. Detecciones de ataques de ingeniería social por país en América Latina durante 2020.

Como podemos ver, los ataques de ingeniería social siguen siendo una amenaza muy vigente que afecta tanto al público en general como a usuarios corporativos. Los cibercriminales siguen utilizando esta técnica para el robo de información personal y financiera, y también como estrategia para llevar adelante ataques más sofisticados dirigidos a entidades gubernamentales o empresas. Probablemente la vigencia de esta técnica tenga que ver con las mejoras constantes de los atacantes y también la falta de capacitación y concientización de los usuarios, que en muchos casos aún no saben bien qué es el phishing y esto los hace vulnerables a caer en las trampas de los atacantes.

Para evitar ser víctima de estos ataques, además de contar con una solución de seguridad robusta, confiable y bien configurada, es importante la concientización, tanto individual como también a nivel corporativo. Para ello, las personas pueden realizar tests para poner a prueba sus conocimientos, mientras que las empresas pueden trabajar en la capacitación de sus empleados para evitar que caigan en este tipo de engaños.

Otras recomendaciones de seguridad para prevenir ataques de ingeniería social

• Siempre evitar abrir enlaces o documentos en correos o mensajes de dudosa procedencia, por mas tentadora que sea la oferta o importante que parezca el mensaje.
• Implementar el doble factor de autenticación en todos los servicios y aplicaciones que lo permitan. De esta manera se eleva el nivel de seguridad de las distintas identidades digitales y se evita el acceso indebido en caso de sufrir la filtración de credenciales.
• Intentar verificar por otros medios la autenticidad o procedencia de un mensaje y evitar caer en la tentación de responder o acceder inmediatamente sin antes verificar su legitimidad.
• En líneas generales, las entidades financieras no solicitan por correo o mensajería instantánea información personal como: códigos de seguridad, claves, datos de tarjetas de crédito o de débito, etc.
• El usuario debe ser responsable también en el manejo de toda su información y evitar entregar datos personales, sobre todo cuando la comunicación no es iniciada por el propio usuario.

Fuente: www.welivesecurity.com