Por Renee Tarun, vicepresidente de Seguridad de la Información de Fortinet.
A medida que las personas de todo el mundo enfrentan temores y preocupaciones sobre el virus covid-19, los delincuentes también están tomando nota. Y desafortunadamente, están usando esto como una oportunidad para tratar de robar dinero e información personal generando estafas de ingeniería social por correo electrónico, mensajes de texto y llamadas telefónicas.
En las últimas semanas, ha habido un aumento en los intentos de atraer a las víctimas desprevenidas hacia sitios maliciosos, hacer clic en enlaces maliciosos o proporcionar información personal por teléfono en relación a la pandemia del covid-19. Muchas de estas estafas intentan hacerse pasar por organizaciones legítimas como el Centro para el Control de Enfermedades o la Organización Mundial de la Salud, ofreciendo actualizaciones informativas falsas e incluso promesas de acceso a las vacunas.
La ingeniería social aprovecha constantemente la única vulnerabilidad que no se puede “parchear”, la de los humanos
Nadie está a salvo de estas estafas, desde empleados administrativos, contratistas y pasantes hasta el C-Suite e incluso los socios comerciales pueden ser un objetivo para obtener acceso a nuestras redes e información confidencial. Y para aquellos de nosotros que ahora nos conectamos a la oficina a través de nuestras redes domésticas, incluso nuestros hijos son objetivos potenciales. Es un bombardeo perpetuo, todos los días, cada minuto del día, 24/7/365.
Los ciberatacantes prefieren el camino de menor resistencia. Hackean la psique de sus objetivos y confían en la inteligencia e interacciones disponibles públicamente para generar perfiles de las víctimas. Son expertos en el arte de enmascarar, manipular, influir y diseñar señuelos para engañar a las personas para que divulguen datos confidenciales y/o les den acceso a sus redes o instalaciones.
Comprender los principales tipos de ataque utilizados por el adversario es clave cuando se trata de disuasión. Fortinet destaca ejemplos de ataques basados en ingeniería social que incluyen los siguientes:
Ataques digitales:
Phishing/Spearphishing: ataques basados en correo electrónico que se dirigen a todos o una persona o función específica dentro de una organización para atraer a las personas a hacer clic en enlaces maliciosos o ingresar credenciales u otra información personal.
Social Media Deception: se crean perfiles falsos para “hacerse amigo” de las víctimas mientras se hacen pasar por un compañero de trabajo, un reclutador de empleo o alguien con un interés compartido en las redes sociales, especialmente en LinkedIn.
Pretexting: se centran en crear un buen pretexto o una historia falsa pero creíble, para que puedan usarla y pretender que necesitan cierta información de su objetivo para confirmar su identidad.
WaterHoling: los atacantes recopilan información sobre un grupo específico de personas dentro de una determinada organización, industria o región sobre los sitios web legítimos que visitan a menudo. Luego buscar una vulnerabilidad en ese sitio.
Ataques basados en telefonía:
Smishing: ataque de mensaje basado en texto que se hace pasar por una fuente legítima para atraer a una víctima a descargar virus y malware en su teléfono celular u otro dispositivo móvil, generalmente a través de hacer clic en un enlace malicioso.
Vishing: ataque telefónico en el que los cibercriminales llaman a un teléfono celular y fingen ser de una fuente legítima, como un banco u oficina pública, para tratar de convencer al objetivo de que divulgue información confidencial como información de tarjetas de crédito o números de seguridad social.
Fortalezca su seguridad tomando estos simples pasos para proteger su información personal
Sospeche de cualquier correo electrónico o mensaje de texto que solicite información confidencial o transacciones financieras.
Desplace el cursor y revise todos los hipervínculos antes de hacer clic para confirmar que provienen de fuentes legítimas.
Utilice la autenticación multifactor para obtener acceso seguro a sistemas y bases de datos confidenciales.
Asegúrese de que su navegador, dispositivos móviles y sistemas informáticos estén actualizados con las protecciones más recientes.
Nunca reutilice las contraseñas en múltiples cuentas y dispositivos. La singularidad y la complejidad de las contraseñas son fundamentales para salvaguardar nuestras redes contra riesgos adicionales.
Si bien nuestro objetivo es adelantarnos a los ataques, incluso la tecnología más avanzada no siempre puede proporcionar bloqueos suficientes contra el aluvión constante de ataques cibernéticos, especialmente contra la ingeniería social. El problema es que el error humano está involucrado en el 95% de todas las violaciones de seguridad. Es por eso que es imperativo garantizar que cada uno de nosotros nos convirtamos en la primera línea de defensa, y eso requiere ser conscientes de la seguridad.
Todos estamos practicando el distanciamiento social en las últimas semanas para protegernos contra virus y enfermedades. Del mismo modo, debemos considerar el ciber distanciamiento de nuestros atacantes. Mantenga su distancia cibernética evitando solicitudes sospechosas, intentos desconocidos de contacto e información no solicitada y proteja su información, sus redes y su salud.
