Siempre hacemos hincapié en la importancia de la ciberseguridad en las empresas, debido al incremento de casos de phishing que se está produciendo en la actualidad. Proteger las infraestructuras con la mejor tecnología es siempre una buena idea. Pero, en realidad, de poco sirve este esfuerzo si no se trabaja también sobre otro aspecto fundamental: los errores o descuidos humanos, que constituyen el origen de los ciberataques el 95% de las veces.
¿Qué es la ingeniería social?
La ingeniería social parte de una base muy clara y contundente: es más sencillo influir en el comportamiento humano que en el de las máquinas. Por eso, se recurre a la manipulación psicológica para conseguir que la víctima caiga en la trampa. Y es que el ser humano es el eslabón más débil de la cadena de ciberseguridad, y los piratas informáticos no dudan en aprovecharse de esta vulnerabilidad.
Ejemplos de ciberataques basados en la ingeniería social
Como ya sabrás, uno de los ataques más comunes de ingeniería social es el phishing. Puede presentarse de muchas formas, pero todos los tipos de phishing tienen un denominador común: simular ser una fuente de confianza para engañar a la víctima y que esta aporte su información personal o bancaria.
No obstante, hay muchas más clases de ataques de ingeniería social:
- Spear phishing: son ataques muy difíciles de detectar que se dirigen a personas o empresas muy concretas, que ostentan un determinado poder o posición.
- Vishing: consiste en falsificar números de teléfono para hacerse pasar por alguien de confianza, incluso recurriendo a modificadores de voz.
- Smishing: este ataque se presenta en forma de SMS urgente, que solicita a la víctima que haga una acción concreta de inmediato.
- Whaling: también conocido como el fraude de los directores generales, se adapta al ámbito de los negocios y al sector en el que se mueve la víctima para ser más creíble.
- Baiting: se deja un dispositivo (por ejemplo, un USB) infectado al alcance de alguien, que si lo utiliza acaba infectando también su propio equipo.
- Scareware: una ventana emergente informa de la presencia de un virus e insta a descargar un antivirus ‘trampa’ para solucionarlo.
- Spam en el email: el más antiguo método de ingeniería social, que consiste en el envío de spam que no siempre es solo molesto, sino también malicioso.
El error humano en el ámbito de la ciberseguridad
En este contexto, los errores humanos son acciones o inacciones que cualquiera está expuesto a cometer. Por eso, es esencial que tengamos mucho cuidado para evitar caer en estos errores, que podríamos clasificar de la siguiente manera:
- Basados en la habilidad: las víctimas se encuentran realizando tareas conocidas, pero incurren en algún desliz o lapsus a causa, por ejemplo, de las prisas, la falta de atención o una distracción.
- Basados en la decisión: aquí, en cambio, el error se produce al tomar una decisión, normalmente por desconocimiento del entorno en el que se ha tomado. Incluso es posible que la víctima no sepa siquiera que está tomando esa decisión errónea.
Desde Sello Legal, animamos a particulares y empresas a tomar conciencia de la importancia que tiene hoy en día la ciberseguridad. Y recordamos también que una adecuada formación es el paso básico para evitar que los ataques terminen afectándonos.