Invertir en concienciación para detener amenazas de ingeniería social

La ingeniería social es una técnica de ataque masivo a las empresas a través de usuarios no legítimos  y de personas. Las empresas deben tener como política de seguridad la concienciación  de sus colaboradores.

Para David Chiriboga, jefe de proyecto de GMS, es importante contar con un plan integral de seguridad de la información basado en tres factores: las personas, la tecnología y los procesos pero con un enfoque de protección al eslabón más débil de la cadena, que son las personas.

Las pérdidas en las organizaciones por ataques de ingeniería social son altas y es una amenaza frente a las empresas que se preparan a la transformación digital.

Chiriboga menciona que las empresas en la región han perdido más de 500 000 dólares por ataques de ingeniería social que bien puede reducirse tomando acciones y una inversión adecuada en concienciación. La inversión -dice- costaría a las empresas apenas el 2% de esa posible pérdida y se evitaría un impacto económico mayor. 

Existen metodologías efectivas para la concienciación de los usuarios. Chiriboga menciona la Gestión de Ingeniería Social de GMS que permite alcanzar conciencia con base en la experiencia del usuario. Los colaboradores son puestos a prueba con ataques simulados de ingeniería social luego de lo cual se genera un aprendizaje y las facilidades para detectar ataques futuros. Esta metodología se diferencia de las tradicionales charlas y/o capacitaciones esporádicas que tienen muy baja efectividad y ayuda a disminuir la vulnerabilidad de la ingeniería social.

1.- ¿Por qué la ingeniería social es una amenaza  frente a una empresa que se prepara para la transformación digital y la adopción de Big data?

En un proceso de transformación digital las personas y procesos son estratégicos. Con la ingeniería social, los cibercriminales pueden robar la información de estos procesos de transformación y las credenciales de acceso a las plataformas de big data; también pueden infectar con ransomware a los equipos que almacenan información.

2.- ¿En Ecuador, el oficial de Seguridad, o el CISO, está preparado para batallar con temas como ingeniería social?

Más del 90% de los OSI, Oficiales de Seguridad de la Información, en la región y no solo en el Ecuador, considera que la ingeniería social es un gran problema. Sin embargo, no suelen tener el apoyo de los tomadores de decisiones en sus empresas para lograr un plan de concienciación efectiva en el que se involucre a un socio estratégico externo con experiencia en seguridad de la información.

4. ¿Cuáles son los ataques técnicos de ingeniería social últimos que más daño han causado a nivel de Ecuador? ¿Cómo se los debe enfrentar? 

Recientemente, una empresa perdió 200 000 USD con un ataque de «fraude económico». El criminal suplantó la identidad de un proveedor y le envió mensajes de correo electrónico al jefe o al gerente financiero para que se autorice y se realice la transferencia por facturación pendiente a otra cuenta bancaria. La víctima cayó en la trampa y ejecutó las órdenes del mensaje, lo cual resultó muy perjudicial para la empresa.

Otro tipo de ataque es la infección con ransomware y funciona de tal manera que los ciberdelincuentes envían mensajes con asuntos de demandas legales o multas. Las personas caen en la trampa por el miedo que tienen a ser demandadas o multadas y descargan y ejecutan adjuntos que contiene el software malicioso, que después «secuestra» la información de los equipos y de las redes. Solucionar estos incidentes de seguridad genera pérdidas de tiempo y de dinero.El robo de información es otro tipo de ataque que usa ingeniería social. También hay los robos de credenciales mediante phishing, que sigue siendo una técnica muy efectiva.