Por estrategiaynegocios.net
La ingeniería social o “phishing”, es una modalidad de ataque utilizada por los ciberdelincuentes para engañar a los usuarios por medio de mensajes con enlaces maliciosos y así robar sus datos.
El objetivo principal es la obtención de credenciales que pueden ser usadas para acceder a sistemas empresariales y hasta gubernamentales, o ser vendidas en la “Dark y Deep Web” a otros “hackers”.
Según el análisis de datos del primer semestre de 2022 del Centro de Operaciones de Seguridad de Appgate, el 44 % del fraude fue realizado a través del uso no autorizado de marca; mientras que el “phishing”, con un 40 %, es el segundo tipo de ataque más empleado por los cibercriminales.
De interés: 2 de cada 3 empresas de América Latina no capacita a su personal en ciberseguridad
David López Agudelo, vicepresidente de ventas para Latinoamérica de Appgate, dice que estas modalidades usan recursos falsos y engañosos de ingeniería social para manipular a los usuarios, convirtiéndose en un foco de atención de gran importancia para los equipos y sistemas de ciberseguridad en todo el mundo.
Los ataques con ingeniería social son cada vez más sofisticados y masivos. No solo se hacen uso de redes sociales, apps móviles y canales de telecomunicación, sino que también adoptan logotipos de empresas, marcas y más, para que parezcan más realistas.
Para evitar ser víctima de estos ataques y poner en riesgo los demás sistemas de los que se hace uso, es necesario conocer cómo actúan los cibercriminales y ser capaces de identificar un mensaje de phishing.
Puede leer: Ataque a UBER deja a la vista su falta de protocolos ante un incidente de ciberseguridad
Appgate da a conocer algunas de las estrategias de ingeniería social más utilizadas:
*Estados Bancarios: Los cibercriminales han aprovechado esta amplia superficie de ataque, convirtiéndola en la segunda industria con más incidentes de “phishing”, según APWG, con un 17,3 % de los casos.
Los atacantes envían SMS o e-mails con mensajes falsos, relacionados con fallos en las cuentas, reportes de movimientos sospechosos, o hasta cobros que no se han realizado; esto con el fin de que las personas se preocupen por su dinero y accedan a links falsos en los que supuestamente pueden arreglar el inconveniente.
*Asuntos gubernamentales: Muchos gobiernos han optado por migrar al mundo digital, llevando actividades burocráticas, trámites o procesos jurídicos de forma virtual. Con este tipo de procesos, los ciberdelincuentes engañan a los usuarios para compartir información personal o corporativa, que posteriormente puede ser usada en otros ciberataques mucho más sofisticados.
“Durante la pandemia vimos cómo aumentó el número de casos de phishing, llegando a más de 316.000 incidentes para el 2021, esto debido al teletrabajo, procesos de vacunación y control sanitario, temas que fueron aprovechados como fachada por los cibercriminales para crear formularios falsos a nombre de entidades del gobierno o de salud, con el fin de robar todo tipo de datos de los ciudadanos”, comenta Agudelo.
*Situaciones personales: Apelar a la vida de las personas, sus sentimientos y relaciones con seres queridos, ha sido una estrategia empleada por los delincuentes para engañar en momentos de angustia. Haciéndose pasar por familiares, suplantando sus identidades e inventando situaciones falsas, los cibercriminales buscan confundir a la víctima por medio de SMS o llamadas para lograr sus objetivos.
*Redes sociales: Esta es una masiva fuente de información que contiene datos de usuarios, relaciones personales y laborales, y hasta información sobre gustos o intereses particulares. Esto atrae la atención de ciberdelincuentes que pueden acceder fácilmente a información usada para crear estrategias ingeniería social mucho más creíbles. También, suelen ser una forma de robar las credenciales al reportar fallos en sus cuentas de correo u otro tipo de aplicaciones, dándole acceso a bandejas de entrada con diversa información personal y hasta corporativa, aprovechable para ejecutar ataques a gran escala.
