El usuario no prevenido y la ingeniería social

El usuario no prevenido y la ingeniería social

30 julio, 2020 Seguridad, Vulnerabilidad 0

USUARIO NO PREVENIDO e INGENIERÍA SOCIAL (IS) son dos términos no tan populares.

Sin embargo, no están relacionados con amenazas en “una galaxia muy muy lejana”. Por el contrario, la ingeniería social puede derrumbar una seguridad robusta y convirtiendo al usuario en el conocido “eslabón más débil”.

Por eso, aprende más sobre el tema y su importancia para la seguridad de tu empresa.

No existe vacuna ni inmunidad

Leí una vez un aviso de seguridad industrial:

“Accidentarse no es cuestión de mala suerte, la suerte es para aquellos que no están preparados”.

En el caso de la ingeniería social ninguno de nosotros puede decir que es inmune a ella, estar convencidos de eso simplemente nos convierte en una presa fácil.

Simplemente podemos disminuir el riesgo de que seamos víctimas de la ingeniería social evitando en lo posible aquellas cosas que faciliten sufrir sus consecuencias.

No podemos confiarnos que la solución solo se encuentra en la tecnología informática (TI). Más bien debemos tener presente que la mejor solución se encuentra en las personas que la emplean.

Entonces podemos llegar a la conclusión que es importante la educación de los usuarios, en especial de aquellos usuarios con conocimientos básicos.

No obstante, los usuarios expertos o avanzados tampoco son invencibles ni poseen súper poderes para evitar ser víctimas del crimen informático en todas sus modalidades, ni caer en la trampa de la ingeniería social.

Es ahí donde nace el término usuario no prevenido. ¿Por qué? Porque aunque tenga conocimientos informáticos:

  • Desconoce el concepto de la IS.
  • Ignora el alcance de la IS.
  • No está prevenido ni preparado.
  • No toma las medidas necesarias.

Por tal motivo, baja la guardia, y, finalmente se convierte en víctima.

Afirmaciones erróneas comunes acerca de la seguridad

El usuario no prevenido comete el error de estar convencido de algunas afirmaciones que al final son falsas y terminan perjudicándolo. Aquí les comparto algunas de ellas.

“Mi sistema no es importante para un cracker”.

Esta afirmación se basa en la idea de que no introducir contraseñas seguras en una empresa no entraña riesgos pues ¿quién va a querer obtener mi información?

Sin embargo, dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc.

Por tanto, abrir sistemas y dejarlos sin claves es entrar a la boca del lobo.

“Estoy protegido pues no abro archivos que no conozco”.

Esto es falso, pues existen múltiples formas de contagio. Además, los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.

“Como tengo antivirus estoy protegido”.

En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicación.

“Como dispongo de un firewall no me contagio”.

Esto es parte de la solución ideal. Las formas de infectarse en una red son múltiples.

Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege).

Emplear usuarios con altos privilegios para realizar conexiones puede entrañar riesgos.

Importancia de la educación para el usuario no prevenido

Ahora bien, es necesario crear conciencia en los usuarios sobre los riesgos y daños potenciales frente a un ataque de IS.

La educación es importante para todos. Es la forma en la cual podemos estar preparados.

¿Por qué es esencial?

Existen muchas razones, pero nos enfocaremos en las principales:

  • Las personas son vulnerables a la manipulación y engaño.
  • Desafortunadamente la mayoría de los usuarios no prevenidos, no están preparados para identificar y reaccionar ante un ataque de IS.
  • El IS solo necesita dos cosas para atacar: un sistema de acceso y una víctima.

Además uno de los inconvenientes de luchar contra IS es que va más allá del elemento tecnológico.

Explota los sentimientos de la víctima, fundamentándose en:

  • Ingenio
  • Sutileza
  • Persuasión

Frente a ellos, el sentido común y la cautela son las mejores armas para combatirla. Estas “habilidades” se pueden obtener por la educación y la práctica.

Conclusión

Así, como la radio no ha desaparecido aunque han surgido nuevas y mejores tecnologías. Algunas amenazas a la seguridad informática siguen siempre presentes, como la ingeniería social.

Para combatirla se necesita una estrategia efectiva que ataque todos los frentes posibles. De esta manera puedes reducir el riesgo.

Recuerda, no estás solo en esta batalla. En RET te ofrecemos consultoría y capacitación. Igualmente, ESET ofrece innovadoras soluciones que le cierran el paso a los ataques en múltiples capas.

Contáctanos si deseas más información, adquirir licencias o programar una capacitación.

Además, te compartimos algunos artículos para que puedas profundizar sobre el tema:

Sobre el autor

Sarai Méndez: Soy ingeniera de sistemas por vocación y migrante digital como todos los de mi generación. Me encanta aprender y apasiona el marketing digital.

0 Comments

¿Quieres compartir tu opinión?

No publicamos correos electrónicos | Campos requeridos (*)

Deja un comentario