Ingeniería social, la técnica de manipulación más efectiva de los ciberdelincuentes

Por Manuel Moreno*

Los nuevos modelos comerciales y las prácticas de trabajo remoto han ampliado las superficies de ataque y los niveles de riesgo de seguridad de la información, tanto de las personas como de las organizaciones, en general. Tal es el grado que, día a día, el mercado evoluciona con nuevas herramientas tecnológicas de protección para mantener a salvo los datos críticos o personales que, en manos equivocadas, vulneran nuestra integridad.

A la par de las soluciones en ciberseguridad, las estrategias de los ataques cibernéticos también evolucionan, combinando técnicas que, literalmente, rebasan los controles de protección, sacando provecho de las vulnerabilidades humanas. Tal es el caso de los ciberataques tipo phishing, que durante el segundo trimestre de 2022 alcanzaron un récord histórico con 1,097,811 incidentes a nivel mundial, según datos del Grupo de Trabajo Anti Phishing (APWG, por sus siglas en inglés).

• LEE: ¿Has sido víctima de hackeo? México registra más de 80 mil millones de ciberataques en 2022

No obstante, otras técnicas están también ganando terreno como son los ciberataques tipo  Pharming, Tabnabbing, Scareware, Business Email Compromise, Spam, Tailgating, Baiting, Quid pro quo, Smishing, Vishing, entre otros, que son variantes de ingeniería social y que, junto  con el phishing, son los responsables del 24% de los incidentes de ciberseguridad, de acuerdo con ESET Security Report 2022.

Frente a esos ciberataques que se aprovechan de la falta de cultura de protección de las personas y que tienen como consecuencia el acceso no autorizado a cuentas personales, ya sean de uso gratuito o corporativas, una de las mejores armas de defensa es la concientización en materia de ciberseguridad, basada en el reconocimiento de los riesgos a los que estamos expuestos todos, sin distinción, considerando que cualquiera puede ser puerta de entrada hacia blancos específicos de mayor impacto. 

El impulso de una cultura de ciberseguridad desde el ámbito personal hasta el organizacional, que destaque la importancia de generar contraseñas seguras, adopte políticas de seguridad de la información confidencial y establezca roles, debería ser ya una prioridad de los gobiernos que promueven ciudades inteligentes en conjunto con la iniciativa privada y la sociedad en general, que sigue sin dimensionar la importancia de su privacidad.

En ese sentido, cabe mencionar que NordPass emitió su informe anual The Awful Password List, tomando como referencia 50 países y encontró que la contraseña más utilizada, en más de 103 millones de cuentas, fue “123456”, la cual es adivinada por los ciberdelincuentes en 1 segundo.

Asimismo, a principios de año, la consultora TIC Gartner preveía ya la necesidad de poner el foco en la concientización en materia de ciberseguridad, considerando que el error humano sigue estando presente en la mayoría de las violaciones de datos, algo que se ve reflejado en los casos de ciberataques a grandes corporativos, donde las maniobras iniciales han sido contra empleados de “supuesto” bajo perfil.

Los ciberataques recientes combinan diferentes estrategias, mismas que se planean durante meses para desarrollarse, paulatina y escaladamente, hasta llegar a su objetivo final. Inician con la compra de listas de credenciales ofertadas en la Dark Web para, posteriormente, implementar una técnica llamada “Fatiga de autenticación multifactor (MFA)”, y así “inundar” la aplicación de autenticación de un usuario con notificaciones automáticas, hasta lograr que acepten y, por lo tanto, permitan el acceso del ciberatacante a una cuenta o dispositivo, o bien, probar varias combinaciones de contraseña a fin de dar con la correcta, tomando en cuenta que la mayoría no somos estrictos al momento de establecerlas. Habiendo logrado superar el primer filtro, el robo de información, dinero o, incluso, suplantar la identidad, es mucho más fácil.

• LEE: Las vulnerabilidades de las Pymes ante ciberataques

Ante este panorama, hoy en día se plantea la desaparición de las contraseñas para poder implementar otro tipo de controles de desbloqueo de cuentas, sin embargo, reitero, que de nada servirá si no priorizamos la sensibilización de la sociedad sobre los riesgos de la red como primera defensa contra los ciberdelincuentes, ya que, de no ser así, no habrá tecnología, sistema o solución que detenga las intrusiones cibernéticas del tipo que hemos comentado.

*Manuel Moreno es director de Habilitación de Ventas de Seguridad en IQSEC

Nota del editor: Este texto pertenece a nuestra sección de Opinión y refleja únicamente la visión del autor, no necesariamente el punto de vista de Alto Nivel.

MÁS NOTICIAS:

• Estos temas económicos marcaron el segundo debate presidencial en México
• Segundo debate presidencial: Estas fueron las propuestas de los candidatos
• Profeco llama a revisión a 13 mil autos VW por falla en bolsa de aire
• ¿De vacaciones? Estos son los 5 mejores hoteles del mundo, según TripAdvisor
• Peso argentino, la moneda más ganadora frente al dólar en primer trimestre

IQSEC Más de 15 años de experiencia brindando soluciones integrales e innovadoras de ciberseguridad e identidad digital.