La ingeniería social al servicio del cibercrimen

Lima.- La falta de implementación de programas de concientización en seguridad de la información a directivos y empleados de las compañías se ha convertido en una de las causales de ciberdelincuencia más relevantes en 2017; aumentando los riesgos informáticos y grandes pérdidas económicas en el mundo corporativo.

“Este es el caso de Joaquín Rozo, trabajador de un prestigioso banco del país, quien un día accedió a prestarle su computador de la compañía a una de sus clientas frecuentes por unos minutos, para que ella descargará unos archivos que eran requeridos por la entidad.

Días después, la compañía confirmó haber sido víctima de robo de información; pues la señora Rozo, instaló un programa malicioso que de acuerdo con el reporte por parte del departamento IT, sustrajo información de más de 47 mil empleados y exempleados, además de150.000 datos de clientes empresariales y naturales de los últimos años.”

Este ejemplo representa miles de casos en donde los colombianos, sin tener intención, son víctimas de ataques de ingeniería social, los cuales se realizan a través de técnicas de manipulación o persuasión por un tercero que hacen que los encargados de la información compartan datos confidenciales y/o privilegiados. Esta práctica lleva más de 15 años captando información tanto personal como empresarial convirtiéndose en el procedimiento de ofensiva digital número uno por los delincuentes informáticos.

Patricia Gaviria, Directora de Educación en ETEK International indica: “Los resultados de diversos estudios evidencian la importancia de tener en las compañías programas de Security Awareness, como una estrategia que apoya a las organizaciones en la tarea de concientizar a su equipo de trabajo sobre el cuidado, la navegación y la protección de la información que manejan a diario”.

Según datos del Informe de Seguridad 2016 de Check Point, uno de cada cinco de los trabajadores es responsable de alguna brecha que afecta los datos corporativos y descargan ‘malware’ en el servidor de su empresa cada cuatro segundos, por lo que la concienciación del personal es una de las claves de seguridad para las compañías.

En este contexto, el factor humano es el eslabón más débil en términos de riesgos de seguridad de la información, ya que en algunas ocasiones el usuario no es consciente de la importancia de la información que maneja a diario, lo que un delincuente puede hacer con esta, la utilidad que le puede dar un tercero y las consecuencias que esto genera.

El panorama en Perú en riesgo de incidentes de seguridad frente a otros países, demuestran que el 93% de las empresas aún no están lo suficientemente consientes ni educadas para hacer frente a las amenazas informáticas actuales. En el país la cifra de casos de phishing aumentó de 2015 a 2016 en un 22,6%, según la policía peruana, cada semana se denuncian entre 30 y 35 delitos informáticos, es decir, al menos 120 casos al mes, en donde más del 50% de casos son de suplantación de identidad. Por su parte RSA señala que este tipo de ataques cibernéticos aumentan entre un 30% y un 40% cada año, por ende, equivale a un nuevo ataque de phishing cada 30 segundos.

¿Pero qué hacer y cómo protegerse de la ingeniería social?

• Capacite y concientice al personal de la compañía con programas de Security Awareness y establezca un área de TI que promueva los procesos en seguridad de la información.

• Verifique el dominio de donde provienen los correos, agregue a favoritos los sitios web de confianza, nunca haga clic en enlaces sospechosos, consulte la información o datos que ponen en duda su navegación y socialice la información de acuerdo con las políticas de seguridad definidas por su compañía.

• Invierta en una solución de seguridad eficaz y proteja su sistema de información.

• Ponga especial atención a sus correos, lea con atención el contenido con links, peticiones urgentes o que induzcan a compartir información.

• Preste atención al comportamiento anómalo en el teléfono, como llamadas o SMS de números desconocidos en el historial.

ETEK International:

ETEK Internacional, es una compañía que busca avanzar en el tema de la concientización en temas de seguridad de la información, llegó a Latinoamérica hace 35 años; su portafolio se especializa en prevenir, controlar, detectar, neutralizar y disminuir los eventos que representan riesgo para la integridad y confidencialidad de sus clientes; cuentan con la certificación CSIRT (Computer Security Incident Response Team) por parte del FIRST (Forum of Incident Response and Security Teams) esto los acredita como un equipo de respuesta a incidentes de seguridad de la información de talla mundial.