Ten miedo de las cartas de tus jefes: cómo se utiliza la ingeniería social para hackear datos

Los ataques de ingeniería social se basan en manipular a los empleados para que proporcionen datos confidenciales o realicen tareas que suponen un riesgo para la empresa. Los ciberataques de este tipo ya han causado importantes pérdidas financieras a grandes empresas de todo el mundo y la magnitud del desastre no hace más que crecer.

En 2023, las pérdidas totales por ciberataques alcanzaron los 10.300 millones de dólares, de los cuales más de 2.700 millones de dólares fueron causados ​​por estafas por correo electrónico empresarial y otras formas de ataques a las comunicaciones de los empleados.

En la mayoría de los casos, los ciberdelincuentes se dirigen a empleados de empresas sin conocimientos técnicos y que no tienen conocimientos profundos de ciberseguridad. Estos podrían ser contadores, recursos humanos, subgerentes o gerentes de ventas. El delincuente modela una situación plausible en la que la víctima, sin saberlo, proporciona todo lo necesario.

Muchos empleados no son conscientes de que están siendo manipulados y, a menudo, no informan oportunamente sobre solicitudes o actividades sospechosas. O se dan cuenta de su error demasiado tarde y tienen miedo de hablar de ello, esperando que no haya consecuencias. Como resultado, estos ataques pasan desapercibidos hasta que causan un daño significativo a la empresa.

Las típicas estafas de phishing implican correos electrónicos que alientan a los empleados a ingresar su nombre de usuario y contraseña en un sitio web falso o abrir un archivo malicioso. Los ataques de phishing pueden ser masivos (en bruto) o dirigidos, donde los atacantes se dirigen a empresas o empleados específicos.

El Spear phishing utiliza los nombres reales de los empleados y puede personalizarse para adaptarse a los procesos y circunstancias actuales de la empresa. Por ejemplo, un atacante puede conocer las transacciones actuales y los nombres de las personas involucradas y utilizar esta información para integrarlas sin problemas en los procesos comerciales.

Los programas antivirus y otras medidas de seguridad sólo ayudan con los correos masivos no dirigidos. Una vez que se dirige un ataque, los atacantes hacen mucho trabajo de preparación antes de enviar correos electrónicos y archivos maliciosos para garantizar que el contenido malicioso no se detecte. A continuación se muestra un ejemplo de una técnica de ataque de ingeniería social estándar: • Ninguna. El correo electrónico se envió incorrectamente. Se informa que los atacantes enviaron accidentalmente la carta al destinatario equivocado. Contiene información importante como bonificaciones, salarios o listas de despidos. En estos casos, los atacantes se basan en la curiosidad. • No cartas formales regulares. Simula correos electrónicos internos reales de la empresa, por ejemplo, información sobre promociones de socios con descuentos de Año Nuevo o calendarios de vacaciones. • No Este es un mensaje del administrador. Carta oficial de la dirección de la empresa: “Debe ser leída y cumplida”. Podría ser una carta sobre una nueva regla, reglamento o situación especial diseñada para llamar la atención del empleado. • Ninguna carta del servicio informático. En nombre del departamento de TI, el atacante anuncia la introducción de un nuevo sistema o un cambio en el servidor de correo y pide a los empleados que introduzcan sus credenciales en el nuevo sitio web. • No hay mensajes relacionados con procesos de negocio. Se trata de un método de detección difícil porque el contenido de la carta sugiere la responsabilidad directa de la víctima potencial. Por ejemplo, esto podría incluir el envío de una copia de la notificación del sistema de seguimiento de tareas sobre una nueva tarea de un empleado. El sitio falso le pedirá que ingrese su información de inicio de sesión y contraseña para ver la "nueva tarea".

Hay muchos ejemplos de este tipo de ataques, entre las que se incluyen grandes empresas de tecnología, agencias gubernamentales e instituciones financieras. Así, entre 2013 y 2015, Facebook (propiedad de la empresa Meta, reconocida como organización extremista en Rusia y prohibida) y Google sufrieron daños por un total de 100 millones de dólares. El estafador se presentó como Quanta Computer, un gran fabricante de hardware taiwanés propiedad de ambas empresas. Realmente colaboramos. Usó facturas y contratos falsos para convencer a los empleados de que pagaran en su cuenta.

El mensajero es conveniente para los estafadores porque anima a los empleados a responder de inmediato. No tiene tiempo para pensar en la situación ni para mostrarle a nadie su mensaje. Se crea una presión adicional por lo que escribe el supuesto líder.

Incluso en el caso de phishing por correo electrónico, los empleados pueden detectar signos de un correo electrónico falsificado, como errores en la dirección del remitente. Sin embargo, dado que es posible que nunca conozcas la cuenta personal de Messenger de tu jefe, no existe una forma rápida de verificar su autenticidad. Los datos sobre perfiles falsos (apellido, nombre, patronímico del administrador) se pueden encontrar fácilmente en Internet. Por ejemplo, en la página web de la empresa, en las redes sociales o en los medios de comunicación.

Este año, Mark Read, director ejecutivo de WPP, el grupo publicitario más grande del mundo, fue víctima de los piratas informáticos. Los atacantes crearon una cuenta de WhatsApp y la utilizaron para llamar a los altos directivos de Microsoft Teams. Los delincuentes tomaron fotografías de dominio público y grabaciones de audio de las actuaciones del director de YouTube. En la reunión, “Mark Reed” intentó exigir dinero y datos confidenciales. El vigilante equipo de WPP sospechó que el interlocutor no era el verdadero CEO y el intento del atacante fracasó.

Si bien los ataques anteriores se basaban en correos electrónicos o mensajes falsos, los empleados ahora pueden recibir una videollamada del "CEO" pidiéndoles que completen una tarea urgente o realicen una transacción financiera. Con la confirmación visual de autoridad e identidad, es más probable que los empleados cumplan con las solicitudes sin hacer preguntas.

En 2019, el director general de una empresa energética británica (cuyo nombre no ha sido revelado a los medios) supuestamente recibió una llamada del director general de su división alemana. Con voz con acento alemán exigió una transferencia urgente de 220 mil euros a la cuenta del proveedor húngaro. Los atacantes utilizaron tecnología deepfake para imitar la voz de un ejecutivo. El empleado se trasladó sin sospechar de fraude. Más tarde resultó que el dinero fue transferido a la cuenta del estafador.

Los ataques de ingeniería social no se limitan al correo electrónico y la mensajería instantánea. Incluso las llamadas telefónicas tradicionales siguen siendo efectivas. Los números de teléfono falsos o la suplantación del identificador de llamadas son especialmente peligrosos. Esto permite al atacante mostrar cualquier número de teléfono móvil de la víctima, incluido el número de teléfono oficial de la empresa o de un socio conocido. A medida que aparecen números familiares en la pantalla, la capacidad de atención de los empleados disminuye.

Un ataque exitoso no requiere el uso de tecnología de voz deepfake. En las grandes corporaciones, los empleados no siempre se conocen personalmente y es posible que no conozcan las voces de los demás, especialmente cuando se trata de colegas de otras industrias o países.

A medida que los ataques siguen aumentando, las empresas deben tomar medidas proactivas para proteger sus datos, sus finanzas y su reputación. A continuación se presentan estrategias y recomendaciones clave para ayudarle a responder a las amenazas y minimizar el riesgo:

Una persona con debilidad es el eslabón más débil de la cadena de seguridad. Por tanto, la formación de los empleados debe ser una prioridad. Es útil realizar formación de vez en cuando para reconocer los signos de phishing y llamadas falsas. También puedes crear ataques simulados. También puedes ejecutar pruebas de phishing internas para evaluar el nivel de vigilancia de tus expertos.

Las políticas y procedimientos claramente definidos ayudan a estandarizar el enfoque de seguridad en toda la organización. Herramientas como la autenticación multifactor dificultan que los atacantes accedan a los sistemas internos, incluso si obtienen las credenciales de un empleado. Y el principio de privilegio mínimo garantiza que los empleados solo tengan acceso a los sistemas y datos que necesitan para realizar su trabajo.

Establecer procedimientos para revisar transacciones financieras o cambios de cuentas a través de canales independientes. Por ejemplo, las solicitudes de transferencia de grandes cantidades deben confirmarse por teléfono o en persona.

Las soluciones tecnológicas pueden ayudar a detectar y prevenir diversos ataques de ingeniería social. Actualice y configure sus sistemas de filtrado de correo electrónico para detectar correos electrónicos de phishing y archivos adjuntos maliciosos. Implementar soluciones de inteligencia artificial y aprendizaje automático que puedan detectar comportamientos inusuales del usuario o del sistema.

Utilizamos sistemas de control de acceso, videovigilancia y control de visitantes para evitar la entrada no autorizada. Esto reduce la probabilidad de que un atacante se conecte al sistema interno desde adentro o difunda código malicioso a un dispositivo USB "olvidado".

El mundo de la ciberseguridad está en constante cambio. Para estar al tanto de los nuevos enfoques contra los ciberataques, siga los informes de grupos de expertos, empresas de ciberseguridad y agencias gubernamentales. Actualice periódicamente su sistema operativo, aplicaciones y funciones de seguridad para abordar las vulnerabilidades conocidas.

La ingeniería social se ha convertido en una de las amenazas más graves para las empresas modernas. En la era de la transformación digital, cuando las empresas implementan activamente tecnologías de seguridad avanzadas, los ciberdelincuentes se centran en el factor humano. Para los líderes empresariales, este es un llamado a la acción. Las inversiones en soluciones tecnológicas deben ir acompañadas del desarrollo de una cultura de seguridad dentro de la organización. La capacitación de los empleados, la implementación de políticas y procedimientos estrictos y la gestión proactiva de riesgos son elementos clave de protección en el mundo actual. Anime a los empleados a denunciar correos electrónicos, llamadas o comportamientos sospechosos.

Proteger los datos y la reputación de su empresa es una prioridad estratégica en un entorno cada vez más competitivo y global. El conocimiento de los riesgos de los ataques que utilizan métodos de ingeniería social y las medidas integrales para neutralizarlos le ayudarán no sólo a mantener su posición en el mercado, sino también a fortalecer la confianza de sus clientes y socios.

Las opiniones del editor pueden no reflejar las del autor.

Fuente: Forbes Россия