La ingeniería social estuvo en el centro del Cybermonth de este año. Al jugar con las vulnerabilidades y la confianza de las personas para manipularlas con fines de fraude, esta táctica hace que los nuevos empleados de las empresas sean particularmente vulnerables.
Cada vez es más común recibir SMS, correos electrónicos o mensajes de Whatsapp haciéndose pasar por nuestros directivos, nuestros compañeros o incluso nuestros proveedores. Si bien algunas parecen claramente falsas, otras son más perniciosas y realistas. Por lo tanto, ya no es tan obvio como antes distinguir la realidad de la ficción y, en caso de que surja un problema, las consecuencias financieras y de reputación pueden ser importantes para la empresa afectada.
Técnicas cada vez más específicas
El año 2024 habrá estado marcado por la prevalencia de varias formas de phishing utilizando ingeniería social. Además del phishing “clásico” que se hace pasar por organizaciones públicas que solicitan información personal por correo electrónico o SMS, cada vez más técnicas se dirigen a personas en su contexto profesional.
Anuncio
El “fraude presidencial”, en el que un hacker se hace pasar por un líder empresarial, está muy extendido. De manera muy similar, el ‘Compromiso del correo electrónico empresarial’ (BEC) también es particularmente peligroso. Este compromiso de los correos electrónicos profesionales implica que un hacker se haga pasar por una fuente conocida con la que el destinatario se comunica periódicamente (un proveedor o un cliente) con una solicitud realista y legítima (un cambio de datos de contacto, el envío de una factura, una solicitud de firma electrónica…). . Los piratas informáticos pueden utilizar la “suplantación de identidad”, es decir, falsificar una dirección de correo electrónico con ligeras variaciones que parecen auténticas a primera vista; o el Spearphishing, que consiste en mensajes con un altísimo grado de personalización de contenidos. Todos estos métodos operativos juegan con la confianza, la prisa y, a veces, el “miedo” a la autoridad de los destinatarios.
Mayor vulnerabilidad para los nuevos empleados
El hecho más notable en la evolución de estos ataques es que son cada vez más específicos y realistas. Anteriormente, por ejemplo, era común que toda la fuerza laboral de una empresa fuera blanco de una serie de correos electrónicos spam de “fraude del CEO”, en los que se hacía pasar por el CEO solicitando información confidencial o exigiendo una llamada. A partir de ahora sólo se contacta con determinadas direcciones, con una temática específica.
Por lo tanto, los piratas informáticos están muy bien informados (en particular gracias a su penetración en redes sociales como LinkedIn) y utilizan previamente la ingeniería social para aplicar los métodos con los que trabajan de forma especialmente eficaz. En el caso de este tipo de fraude, escuchar a la autoridad es lo que mejor funciona, especialmente con los nuevos empleados. Estos últimos son especialmente vulnerables porque a menudo aún no están familiarizados con los procesos de la empresa. Esto les dificulta evaluar qué tan realista es recibir un mensaje de un superior con una solicitud específica.
Formación, anticipación, soluciones unificadas: mejores prácticas
¿Qué hacer ante un peligro multifacético y creciente? Las empresas pueden adoptar varias estrategias para proteger y apoyar mejor a sus empleados.
La formación sigue siendo esencial. Para los nuevos empleados, integrar la presentación de políticas de seguridad y ejemplos de comportamientos riesgosos durante la incorporación puede resultar productivo. De acuerdo a un estudio reciente de Ipsos realizado para CLUSIFsi bien los empleados franceses son en gran medida conscientes de los riesgos relacionados con los ciberataques, lo cierto es que persiste una gran necesidad de formación continua. Por tanto, son necesarias simulaciones periódicas y escenarios interactivos.
Paralelamente a la evolución de las técnicas, también es fundamental tener en cuenta las actitudes de las distintas generaciones que componen el mundo del trabajo frente a las ciberamenazas. Varios estudios recientes De hecho, muestran diferencias reales de comportamiento entre la generación Z, los ‘millennials’ y los ‘boomers’. Por lo tanto, las empresas deben centrarse en educar a las generaciones más jóvenes (y a los directivos) sobre las consecuencias concretas del comportamiento arriesgado, teniendo en cuenta al mismo tiempo su comodidad con la tecnología. Para las generaciones mayores, es esencial garantizar que se sientan equipadas para el cambiante panorama digital.
Igualmente importante es el uso de herramientas de seguridad de correo electrónico claras e intuitivas que se integren con los flujos de trabajo existentes, ya sea cifrado, verificación mejorada de la identidad del remitente, software antiphishing, tecnologías de espacio aislado o soluciones específicamente adaptadas, por ejemplo, al “fraude presidencial”. ¿El objetivo? Establezca el máximo control sobre cada mensaje entrante y saliente. Permita que todos los empleados identifiquen el spam, facilite su denuncia y minimice el riesgo de spam.
Tomar medidas unificadas es esencial para combatir la ingeniería social, especialmente para proteger a los nuevos empleados. Probablemente nunca exista el riesgo cero, pero es crucial adoptar una postura más proactiva que reactiva para garantizar la seguridad de los empleados.