17% de los empleados caen en ataques de ingeniería social

Los empleados aún no entienden las técnicas de ingeniería social que les llevan a descargar archivos maliciosos. Menos hacer clic en enlaces de phishing, comunicarse con piratas informáticos e incluso compartir información de contacto para sus colegas. Esto reveló un estudio del especialista en seguridad empresarial Positive Technologies.

La compañía imitó las acciones de los piratas informáticos. Enviando correos electrónicos a los empleados con enlaces a sitios web, formularios de ingreso de contraseñas y archivos adjuntos. En total, se enviaron 3.332 mensajes. Si los ‘ataques’ hubieran sido reales, el 17% habría llevado al compromiso de la estación de trabajo del empleado. Y, en última instancia, de toda la infraestructura corporativa.

Los hallazgos muestran que el método más efectivo de ingeniería social es enviar un email con un enlace de phishing. El 27 por ciento de los destinatarios hizo clic en el enlace, que lo que condujo a un sitio web especial. Los usuarios a menudo miran o ignoran la dirección, dejándolos sin saber que están visitando un sitio falso.

Atacantes inteligentes con ingeniería social

Leigh-Anne Galloway, ciberseguridad líder en Positive Technologies, dice: “Para que los emails sean más efectivos, los atacantes pueden combinar diferentes métodos. Un solo mensaje puede contener un archivo malicioso y un enlace. Lo que lleva a un sitio web que contiene múltiples exploits y un formulario de ingreso de contraseña”.

Galloway afirma que los archivos adjuntos maliciosos pueden ser bloqueados por una protección antivirus configurada correctamente. Sin embargo, no hay forma segura de evitar que los usuarios sean engañados para que divulguen su contraseña. Los destinatarios a menudo abren archivos desconocidos y hacen clic en enlaces sospechosos. En algunos casos incluso se quejan de que los archivos o vínculos maliciosos no se abren.

Por su parte, los empleados que no pueden abrir un archivo de inmediato, a menudo lo reenvían al departamento de TI para obtener ayuda. Esto aumenta aún más los riesgos, ya que es probable que el personal de TI confíe en sus colegas. Y ejecute el archivo ‘roto’.

El envío de mensajes de compañías falsas se está convirtiendo en una táctica menos efectiva. Pero igualmente causa solo el 11 por ciento de las acciones riesgosas. Sin embargo, el envío de mensajes desde la cuenta real de una empresa aumenta las probabilidades de éxito. Hasta en un 33 por ciento.

Más que emails engañosos

Las técnicas de ingeniería social no solo están restringidas al correo electrónico. Los delincuentes a menudo llaman a los empleados por teléfono, alegando que provienen de soporte técnico. Y solicitan cierta acción o información del empleado.

Podría ser una llamada telefónica el domingo por la mañana pidiendo al empleado que venga a la oficina, por ejemplo. El delincuente le dice al empleado irritado que todo se puede arreglar y que no hay necesidad de ir en persona. Siempre y cuando el empleado brinde su contraseña por teléfono.

Leigh-Anne Galloway agrega: “Para reducir el riesgo de ataques exitosos de ingeniería social, es importante realizar entrenamientos regulares. Y evaluar qué tan bien cada empleado sigue los principios de seguridad en la práctica”.

Aunque las personas a menudo son el eslabón más débil de su organización, las empresas pueden beneficiarse mucho fomentando una cultura de seguridad positiva. Puede encontrar más información en el informe completo en el sitio web de Positive Technologies.

Sobre el Autor

ElTecnólogoEM

Técnico en Informática, apasionado y amante de todo lo relacionado con Internet, juegos, consolas, software y las nuevas tecnologías.

Cada día, trato de crear nuevo contenido para ti. Sígueme en las redes sociales y suscríbete a mi canal.

Si no sirves para servir, tampoco sirves para vivir. By: ElTecnólogoEM

Deja un comentario

Centro de preferencias de privacidad

Necessary

Las webs propiedad de BlogTi Media utilizan "cookies". Las cookies son ficheros creados en el navegador por medio de un servidor web para registrar las actividades del Usuario en una web determinada. Usamos esta información en formatos estadísticos y agregados para evaluar la eficacia y calidad de nuestras webs. Gracias a estos datos podemos mejorar tu experiencia al visitar alguna de nuestras web, tomando en cuenta prioridades e intereses de los visitantes. No recogeremos información personal sin tu consentimiento como por ejemplo nombre, apellido, correo electrónico, dirección postal o alguna otra de carácter privado.

Además se instalan cookies sobre servicios de terceros: • Facebook: Tiene como objetivo compartir los contenidos en Facebook. Sus finalidades están descritas en la Página de Cookies de Facebook. • Twitter: Permite compartir contenidos en Twitter. Sus finalidades están descritas en la Página de Privacidad de Twitter. • Google+: Permite compartir contenidos en Google+. Sus finalidades están descritas en la Página de Cookies de Google.

Advertising

Las políticas de Google Adsense y Bing Ads ayudan a los anunciantes a saber cómo crear un buen anuncio y lo que se puede incluir y no se puede incluir en ellos. Revisamos los anuncios y las palabras clave en función de estos requisitos para proporcionarte a ti y a tus clientes una fantástica experiencia en nuestra red publicitaria. Debes cumplir todas las políticas de Bing Ads. Usa las siguientes políticas para ayudar a que tus anuncios reciban la aprobación rápidamente y para evitar las consecuencias resultantes o retrasos. Nos reservamos el derecho de rechazar o eliminar cualquier anuncio, a nuestra entera discreción y en todo momento.