CiberAtaques, Plan de ciberseguridad industrial, Tips

Ingeniería social

ingeniería social

Una de las principales causas de ciber-incidentes tanto en IT como en OT es debido al impacto que la ingeniería social tiene sobre los sistemas informáticos y las redes.    

 

¿Qué es la ingeniería social?

Se considera la ingeniería social como el arte de sacar provecho de la psicología humana para fines informáticos. Siendo estos fines, ganar acceso a redes, y a sistemas, información.  

El atacante procede enviando algún tipo de mensaje, que puede ser un correo electrónico, mensaje de texto al teléfono celular, mensajes en redes sociales, o mensajes/banners en páginas web. El arte del ataque, es hacer que el mensaje sea muy atractivo a la persona, la cual da un simple clic y voilá, se cayó en la trampa.  

 

¿Por qué caemos en la trampa?

El atacante se aprovecha de nuestra emociones o negligencia, y pueden ser varios factores como:

  • Es una oferta que no podemos dejar pasar, mejor damos clic de una vez.
  • No dar clic significa realizar un proceso más largo que conlleva más de nuestro valioso tiempo.
  • No querer asumir una supuesta consecuencia, nos vemos forzados (psicológicamente) a dar clic.
  • Si el correo o mensaje es de una labor que realizamos a diario, tal como recibir una factura para pagarla, podemos caer en la trampa y abrir el archivo de la supuesta factura o estado de cuenta.
  • Simplemente no somos lo suficientemente cuidadosos ante el peligro que puede representar.

 

¿Cómo combatir la ingeniería social?

Los firewalls y los antivirus son de poca utilidad, no detectan la mayoría de ataques; y debido a la complejidad del diseño del texto, los servidores antispam sufren para determinar si pueden ser una amenaza o un correo válido.  

La mejor herramienta es la capacitación. Un usuario capacitado puede minimizar en gran medida las consecuencias por un ciber-incidente ocasionado por ingeniería social. Ya lo hemos tratado en otros temas, pero la capacitación es punto importante e imprescindible de tu plan de ciberseguridad, ya seas empresa o industria.  

Convierte a tus usuarios en tus mejores aliados, es para beneficio de la empresa, del usuario y tuyo.    

 

 

Tips para la capacitación para prevenir ingeniería social.

  • Realiza la capacitación resaltando el beneficio para el usuario, no como una capacitación forzada o como requisito de la empresa. El usuario debe tomar consciencia de que él saldrá beneficiado de estar capacitado. Una buena presentación, buenos ejemplos, ejercicios, harán de tu capacitación un éxito para todos.
  • Incluye la capacitación en tu plan de ciberseguridad. Si aun no tienes un plan, la capacitación puede ser tu manera de iniciar redactando tu plan.
  • Incluye una agenda para que las capacitaciones sean constantes, te recomiendo que sean cada 3 meses, con un refresh y renueva tu presentación.
  • Agrega información para todo tipo de audiencia, videos, ejemplos de correos-gancho, simulaciones de phishing, etc. Recuerda, hay usuarios experimentados y aquellos un poco más ingenuos.
  • Promueve la cultura. Internamente en tu empresa realiza campañas de concientización, carteles, correos, etc. Todo esto ayudará a reforzar tu capacitación.

 

 

Te podemos ayudar, contamos con cursos de capacitación especializados en ingeniería social, presencial y remotos.

Contáctanos para cualquier duda o ayuda que requieras.

 

 

      Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

 

 

 
Nuestra consultoría está basada en el estandar ISA99 / IEC62443, te invitamos a conocer más sobre este tema en su página oficial.
ISA99 / IEC62443

ISA99 / IEC62443

 

Back to list