Saltar al contenido

17% de los empleados caen en ataques de ingeniería social

13 abril, 2018

Los empleados aún no entienden las técnicas de ingeniería social que les llevan a descargar archivos maliciosos. Menos hacer clic en enlaces de phishing, comunicarse con piratas informáticos e incluso compartir información de contacto para sus colegas. Esto reveló un estudio del especialista en seguridad empresarial Positive Technologies.

La compañía imitó las acciones de los piratas informáticos. Enviando correos electrónicos a los empleados con enlaces a sitios web, formularios de ingreso de contraseñas y archivos adjuntos. En total, se enviaron 3.332 mensajes. Si los ‘ataques’ hubieran sido reales, el 17% habría llevado al compromiso de la estación de trabajo del empleado. Y, en última instancia, de toda la infraestructura corporativa.

Los hallazgos muestran que el método más efectivo de ingeniería social es enviar un email con un enlace de phishing. El 27 por ciento de los destinatarios hizo clic en el enlace, que lo que condujo a un sitio web especial. Los usuarios a menudo miran o ignoran la dirección, dejándolos sin saber que están visitando un sitio falso.

Atacantes inteligentes con ingeniería social

Leigh-Anne Galloway, ciberseguridad líder en Positive Technologies, dice: «Para que los emails sean más efectivos, los atacantes pueden combinar diferentes métodos. Un solo mensaje puede contener un archivo malicioso y un enlace. Lo que lleva a un sitio web que contiene múltiples exploits y un formulario de ingreso de contraseña».

Galloway afirma que los archivos adjuntos maliciosos pueden ser bloqueados por una protección antivirus configurada correctamente. Sin embargo, no hay forma segura de evitar que los usuarios sean engañados para que divulguen su contraseña. Los destinatarios a menudo abren archivos desconocidos y hacen clic en enlaces sospechosos. En algunos casos incluso se quejan de que los archivos o vínculos maliciosos no se abren.

Por su parte, los empleados que no pueden abrir un archivo de inmediato, a menudo lo reenvían al departamento de TI para obtener ayuda. Esto aumenta aún más los riesgos, ya que es probable que el personal de TI confíe en sus colegas. Y ejecute el archivo ‘roto’.

El envío de mensajes de compañías falsas se está convirtiendo en una táctica menos efectiva. Pero igualmente causa solo el 11 por ciento de las acciones riesgosas. Sin embargo, el envío de mensajes desde la cuenta real de una empresa aumenta las probabilidades de éxito. Hasta en un 33 por ciento.

Más que emails engañosos

Las técnicas de ingeniería social no solo están restringidas al correo electrónico. Los delincuentes a menudo llaman a los empleados por teléfono, alegando que provienen de soporte técnico. Y solicitan cierta acción o información del empleado.

Podría ser una llamada telefónica el domingo por la mañana pidiendo al empleado que venga a la oficina, por ejemplo. El delincuente le dice al empleado irritado que todo se puede arreglar y que no hay necesidad de ir en persona. Siempre y cuando el empleado brinde su contraseña por teléfono.

Leigh-Anne Galloway agrega: «Para reducir el riesgo de ataques exitosos de ingeniería social, es importante realizar entrenamientos regulares. Y evaluar qué tan bien cada empleado sigue los principios de seguridad en la práctica”.

Aunque las personas a menudo son el eslabón más débil de su organización, las empresas pueden beneficiarse mucho fomentando una cultura de seguridad positiva. Puede encontrar más información en el informe completo en el sitio web de Positive Technologies.