Hay millones de ejemplos de estos encuentros; desde el famoso caballo de Troya, dejado a las puertas de Troya por los griegos, hasta las hazañas modernas de Kevin Mitnick o el jaqueo del correo electrónico del ex jefe de personal de la Casa Blanca, John Podesta, en 2016. Lo que estos tres ejemplos tienen en común es el uso de la ingeniería social. Kaspersky Lab describe la ingeniería social como "un conjunto de técnicas de manipulación que explota y engaña a las personas para obtener información privada, acceso u objetos de valor". Si bien esta definición puede parecer muy general, realmente abarca todo el punto detrás de la utilización de ataques de ingeniería social.
Los piratas informáticos nunca lo han tenido tan fácil: solo se necesita información públicamente disponible, generalmente recopilada a través de las redes sociales, o una camiseta de 5 euros, una USB y algo de encanto; muchas instituciones y empresas abrirán sus salas de servidores complacientemente para el "chico de tecnología” de su proveedor de servicios de internet. De hecho, el poder de la ingeniería social radica en su simplicidad y su facilidad de uso: un hacker experto recurrirá a atacar el punto más indefenso de una determinada red, institución o empresa, siendo, para decirlo sin rodeos, no los sistemas, sino las personas que trabajan allí. Es mucho más difícil piratear una PC o una computadora portátil segura (como mínimo, lleva mucho más tiempo) que simplemente obtener acceso a la PC de la recepcionista durante unos minutos, usando un poco de valentía y un poco de suerte.
Desafortunadamente, las personas en Macedonia del Norte han tenido una buena cantidad de incidentes de ingeniería social; tienden a aparecer en las portadas de los sitios web más leídos del país, casi a diario. Todo lo que necesita hacer es una búsqueda rápida en el navegador web con la palabra clave "estafa" y "Macedonia", y se proporcionarán cientos de ejemplos y, como era de esperar, en 9/10 casos, la ingeniería social estará involucrada.
Entonces, ¿qué podemos hacer para protegernos mejor contra este tipo de ataques? Aquí encontraras tres reglas generales que aplican a la mayoría de situaciones en las que se lleva a cabo un ataque de ingeniería social. Siga estas pautas para proteger sus datos personales, los de sus empresas y organizaciones.
Toma. Tu. Tiempo.
Ya sea que se trate de un correo electrónico que le solicita urgentemente que restablezca su contraseña debido a una posible violación de datos, o un visitante sospechosamente carismático en sus oficinas, recuerde tomarse su tiempo y ser cauteloso. La mayoría de los trucos exitosos involucran algún tipo de manipulación de los sentimientos de una persona o coerción para actuar rápidamente, sin tiempo para dudarlo.
A veces, un correo electrónico de phishing puede ser tan sofisticado que se hace muy difícil saber si es real o no. Sin embargo, hay pasos que se pueden tomar para verificar ciertos detalles en el contenido del mensaje. Tener un enfoque y una mentalidad crítica, especialmente cuando se trata de solicitudes urgentes, lo ayudará a mantenerse tranquilo bajo "presión" y, de hecho, podría evitar que infecte su computadora con algún malware peligroso.
Y, en lo que respecta a visitantes a la oficina con exceso de confianza, que "solo necesitan usar su impresora muy rápido", nunca les permita insertar sus propias memorias USB en ningún equipo de oficina, ni los deje fuera de su vista. Podría costarle a la empresa una pequeña fortuna intentar recuperar sus datos después de un ataque exitoso de ransomware, que puede iniciarse a través de USB infectadas.
Verifica, verifica, verifica
Si bien suena sencillo, verificar la información es a menudo un salvador cuando se trata de mitigar con éxito un ciberataque de ingeniería social. Esto no quiere decir que la verificación por sí sola sea un método de defensa infalible: se ha demostrado que incluso el proceso de verificación en sí mismo, podría convertirse en el objetivo de un ataque, ¡volviéndolo inútil! Sin embargo, el proceso de verificación es una de las herramientas más poderosas de su arsenal, si no la más poderosa: tener la paciencia y la sensatez para realizar las comprobaciones de verificación necesarias, a menudo requeridas legalmente, puede resultar enormemente valioso para sus datos.
Los piratas informáticos que se hacen pasar por una autoridad legal, su proveedor de servicios de internet o simplemente otro "técnico " para el sistema de ventilación en su oficina, tendrán una tarea extremadamente difícil en sus manos: demostrar la identidad por la que se hacen pasar. A menudo, una sola llamada al número de oficina que figura oficialmente en la lista sería suficiente, y esto probablemente anulará la amenaza, lo que generalmente provocará que salgan de sus oficinas citando “comportamiento poco profesional” de su parte, o algo peor.
Sin embargo, tenga cuidado: no es inusual que los piratas informáticos trabajen en parejas o incluso en grupos: por lo tanto, cuando se le ofrezca verificar la identidad a través de su supervisor o jefe, a quien ELLOS proporcionarán el número, siempre esté atento y sea escéptico - es posible que solo estés hablando con su amigo que está desempeñando exactamente el papel en el que esperaban que creyeras.
Practica la higiene cibernética
La higiene cibernética, al igual que la higiene personal tradicional, emplea rutinas diarias simples que, cuando se aplican correctamente, minimizan los riesgos de "infección" en el ámbito cibernético. Al mismo tiempo, una higiene cibernética sólida podría ayudarle a desarrollar “inmunidad” frente a ciertas amenazas cibernéticas.
La connotación de higiene personal no es un error: ambos se basan en motivos casi idénticos, uno de los cuales es que cada uno de nosotros es responsable de nuestra propia higiene personal, y cuando todos practican una buena higiene (cibernética), la empresa, organización, o incluso la nación, serán mucho más segura y resistentes frente a diversas amenazas.
Entonces, ¿cuál sería la práctica de "lavarse las manos" a pequeña escala traducida en higiene cibernética, y qué podemos hacer cada uno de nosotros, utilizando nuestro propio tiempo y recursos, para ser más resistentes a los virus (en línea)?
Si bien existen prácticas comunes que casi todo el mundo puede emplear, debemos tener en cuenta que cada empresa, institución, organización es diferente: su gestión y transferencia de datos, el hardware que emplean, los aspectos humanos; como los privilegios de administrador y los niveles de acceso, simplemente por nombrar algunos, todos definen lo que debe conllevar un enfoque de higiene cibernética sólido.
En general, usar un navegador recomendado y orientado a la privacidad (como Mozilla Firefox), configurado correctamente, con las extensiones necesarias podría ser su momento cotidiano para "lavarse las manos". Otra cosa que casi todo el mundo podría hacer es asegurarse siempre de que todos y cada uno de sus dispositivos estén actualizados con su software respectivo y estén apagados cuando no estén en uso durante un período de tiempo prolongado.
No visitar sitios web sospechosos (para los cuales, a menudo, incluso su navegador le advertirá), usar VPN, nunca dejar su computadora portátil al aire libre (como en un café) son solo algunos de los pasos que puede comenzar a usar hoy. También vale la pena señalar que, si bien una buena higiene cibernética lo ayudará a prevenir algunas amenazas, está lejos de ser suficiente cuando se trata de ataques cibernéticos sofisticados y dirigidos contra su empresa u organización. Para esos casos, contar con políticas de seguridad y un plan de incidentes, así como con profesionales de ciberseguridad, puede marcar la diferencia.
Consejo adicional: siga siempre las políticas de seguridad de su empresa (u organizaciones) y asegúrese de que todos sigan su ejemplo.
Como se mencionó anteriormente, tener políticas y prácticas internas podría significar la diferencia entre estar totalmente abrumado por un incidente cibernético y desviar uno con una interrupción mínima en el trabajo. Las políticas sólidas de seguridad cibernética deben incluir seguridad física, por ejemplo, "política de USB", la llamada política de "escritorio limpio", formularios de notificación de incidentes y mucho más.
El problema real, sin embargo, es que si bien tener esas políticas y procedimientos en su lugar, definitivamente es un esfuerzo valiente, su implementación real puede ser diez veces más difícil. Convencer a sus colegas, asociados y, a veces, incluso a la gerencia, de la necesidad básica de poner en práctica estas políticas puede ser una batalla cuesta arriba. Algunos tienen dificultades para ver el valor de un procedimiento "anti-incidentes", y muchos recurrirán al común "esto nunca nos ha pasado en el pasado", o "no somos tan importantes para ser un objetivo, y ser pirateado”.
Si se encuentra en un entorno en el que los datos no se valoran (al menos no realmente), depende de usted convencer a sus compañeros de que los datos de todos son valiosos. Los ciberdelincuentes rara vez se dirigen a puntos de acceso bien defendidos: tenga por seguro que, si ya le han realizado el truco de solicitar una impresión con una USB en su oficina, el acceso ya se ha servido "en bandeja de plata", y sus datos y privacidad están siendo comprometidos.
Ilustración de fondo: Photo by metamorworks from Adobe Stock / Adobe Stock license