¿Cómo evitar ataques de Phishing y de Ingeniería Social?

Hoy en día la aparición de conceptos y mecanismos de control para resguardar la tecnología de información y los procesos que respaldan, tienen un amplio alcance a lo largo y ancho de todos los sectores del mercado, así como también se expande de manera horizontal y vertical en cada organización. Sin embargo, esos mecanismos de control pudieran ser poco efectivos, sino están complementados con un “actitud adecuada” de los usuarios con respecto al uso de los activos de información. De allí, que la ingeniería social se ha convertido en un “problema serio”, y por tal razón se dice que “el eslabón más débil de la seguridad, es el factor humano”.

¿Qué son los ataques de ingeniería social?

La ejecución de ataques basados en ingeniería social, requiere que un atacante utilice la interacción humana (habilidades sociales) para obtener información de una organización, sus sistemas o tecnología de información. En este sentido, hay que tener mucha precaución, debido a que un atacante podría percibirse como una persona “confiable”, posiblemente indicando que es un nuevo empleado, una persona de servicio generales, o un consultor, mostrando inclusive identificación que avalen su identidad. El método más sencillo de realizar este tipo de ataque, es haciendo preguntas sencillas por medio de la cuales, una persona podría recopilar información suficiente para intentar vulnerar la red de una organización. En ocasiones, cuando un “intruso” no puede obtener información de una fuente, podría contactar a una persona dentro de la misma organización y usar la información parcial, obtenida de la primera fuente para tratar de validar su identidad.

¿Qué son los ataques de phishing?

Una de las variantes de ingeniería social es el “phishing”, en el cual se utiliza el correo electrónico o sitios Web “maliciosos” para solicitar información personal, y en particular, la relacionada a la información financiera, bancaria. Los atacantes envían falsos correos que aparentemente provienen de Instituciones Financieras confiables, para requerir información de su cuenta personal bancaria, a menudo sugiriendo que hubo un problema y que se debe reingresar los datos de identificación y la clave de acceso, de tal manera, que cuando los usuarios responden entregando la información referida anteriormente, los atacantes pueden usarla para ganar acceso a sus cuentas. De allí en adelante, la historia es triste…!!

¿Cómo evito ser una víctima?

Como hemos visto, la identificación y prevención de este tipo de ataques, sugiere que cada usuario debe estar alerta a quien entrega la información, y sobre todo, en qué condiciones o por cuáles medios. En este sentido, a continuación entrará una lista de algunos consejos que puede aplicar, para evitar se una víctima de un ataque de ingeniería social:

- No entregue información personal o de la organización para la cual trabaja (estructura organizativa, topología de red, debilidades conocidas, características de sistemas y tecnología), a menos que se asegure a quién está entregando la información, para que va ser utilizada, y los requerimientos de acceso que se requiere.

- No indicar información se sus cuentas personales por medios electrónicos (como por ejemplo, e-mails). No responda correos que solicitan esa información.

- Colabore con su empresa: no utilice medios como Internet, para el envío de información confidencial, sin antes verificar la seguridad del Web site a utilizar. Asimismo, verifique el sitio Web (URL) que está utilizando (a veces los sitios Web falsos, tienen tan sólo una pequeña variación de los sitios reales, por lo cual debemos ser muy cuidadosos).

- Sea precavido con llamadas o correos no solicitados.

- Si usted no está seguro de la legitimidad de un correo electrónico, trate de verificarlo contactando a la empresa que lo envió directamente.

> Instale y mantenga software antivirus, firewalls, sistemas de identificación de intrusos (IDSs) y filtros de correo electrónico para.

Pese a todas estas recomendaciones, es probable que usted pueda ser víctima de un ataque de ingeniería social, en consecuencia, tomen en cuenta las siguientes acciones:

¿Qué debe hacer si piensa que usted es una víctima?

- Si sospecha o cree que hubo de su parte una revelación de información confidencial, comuníquelo y repórtelo a las instancias adecuadas y por los canales regulares dentro de su organización. De esta forma, la organización podrá estar alerta ante cualquier actividad inusual.

- Si sospecha que sus cuentas bancarias están comprometidas, contacte a su Institución Financiera inmediatamente y trate de inhabilitar las cuentas que pudieran verse afectadas.

Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers