MANUAL DE INGENIERÍA SOCIAL

MANUAL DE INGENIER?A SOCIAL

?C?mo actuar de la manera correcta?

Contenido

? ?Por qu? a las PYME deber?an preocuparles los ataques de

3

ingenier?a social?

? Introducci?n

4

? T?cnicas de ingenier?a social

5

? Phishing

6

? Suplantaci?n de identidad: ?cuando un atacante se hace

11

pasar por el CEO?

? (S)extorsi?n

15

? Otras t?cnicas de ingenier?a social que deber?a conocer

19

? Lista de verificaci?n para administradores de TI

20

Manual de ingenier?a social | C?mo actuar de la manera correcta

2

?Por las PYME deber?an preocuparse por los ataques de ingenier?a social?

Las PYME son cada vez m?s conscientes de que se han convertido en objetivo de los ciberdelincuentes. Seg?n la encuesta de 2019 que realiz? Zogby Analytics por encargo de la Alianza Nacional de Ciberseguridad de los Estados Unidos, casi la mitad (44%) de las empresas con entre 251 y 500 empleados afirmaron haber sufrido una vulneraci?n de datos oficial en los ?ltimos 12 meses. La encuesta revel? que el 88% de las peque?as empresas creen que son al menos un objetivo "algo probable" para los ciberdelincuentes, incluyendo a casi la mitad (46%) que creen que son un objetivo "muy probable".

El da?o es real y extenso, lo que queda claramente reflejado en el informe anual del Centro de Denuncias sobre Delitos por Internet (IC3) del FBI. Tan solo en 2020, el IC3 recibi? 19.369 denuncias de compromiso del correo electr?nico corporativo (BEC)/compromiso de cuentas de correo electr?nico (EAC), con p?rdidas calculadas de m?s de 1.800 millones de d?lares. Para quienes no lo saben, los ataques BEC y EAC son estafas sofisticadas dirigidas tanto a empresas como a particulares para realizar transferencias de fondos.

El 33% de las vulneraciones incluyeron ataques mediante ingenier?a social, la segunda t?ctica m?s utilizada despu?s del hacking, afirma el Informe de Investigaciones sobre Vulneraciones de Datos 2019.

Tras sufrir una vulneraci?n,

37%

25%

de las PYME experimentaron

una p?rdida financiera

de las PYME se declararon en

quiebra

Manual de ingenier?a social | C?mo actuar de la manera correcta

10%

de las PYME cerraron la empresa

Fuente: NCSA

3

Introducci?n

El objetivo de este manual es ayudarlo a presentar el tema de la ingenier?a social y sus riesgos a todos los empleados de la empresa. Los humanos somos seres emocionales, y la ingenier?a social es una forma muy eficaz de aprovecharse de ello. Es m?s, los ataques de ingenier?a social no suelen requerir conocimientos t?cnicos demasiado espec?ficos por parte del atacante. A decir verdad, forzar a miles de usuarios a entregar informaci?n confidencial o a realizar acciones perjudiciales hasta ahora ha resultado bastante sencillo.

En las siguientes p?ginas, encontrar? informaci?n general sobre las tendencias en ingenier?a social, as? como ejemplos de los tipos de ataques m?s comunes que pueden afectar la forma en que los empleados act?an online. Tambi?n aprender? a reconocer estos ataques y a protegerse a s? mismo y a su empresa.

Las soluciones de seguridad deben protegerlo de los ataques t?cnicos.

Pero las t?cticas de ingenier?a social est?n basadas en la psicolog?a: aprovechan la

confianza, el miedo o la falta de atenci?n de las personas.

Manual de ingenier?a social | C?mo actuar de la manera correcta

4

T?cnicas de ingenier?a social

Phishing dirigido (o spear phishing) Es un ataque dirigido a una persona, organizaci?n o empresa espec?fica, a diferencia de las campa?as t?picas de phishing, que no est?n dirigidas a las v?ctimas en forma individual, sino que a cientos de miles de destinatarios.

Phishing de voz (o vishing) Es un m?todo similar al phishing pero que utiliza llamadas telef?nicas fraudulentas en lugar de emails, en las que los ciberdelincuentes suelen hacerse pasar por representantes de bancos o compa??as de seguros.

Phishing por SMS (o smishing) Es un intento de ingenier?a social que se lleva a cabo a trav?s de SMS. En la mayor?a de los casos, tiene como objetivo redirigir a los destinatarios a un sitio web donde se recopilan sus datos. Sin embargo, tambi?n hay campa?as en las que se pide a las v?ctimas que env?en datos confidenciales directamente respondiendo con otro SMS.

(S)extorsi?n La (S)extorsi?n es una estafa por correo electr?nico que intenta chantajear a las v?ctimas mediante reclamos y acusaciones sin fundamento.

Suplantaci?n de identidad

Esta t?cnica es la misma que en el mundo f?sico. Los ciberdelincuentes se

PAY

ponen en contacto con los empleados, normalmente haci?ndose pasar por

su CEO (director general), e intentan manipularlos para que realicen alguna

acci?n, como solicitar y aprobar transacciones fraudulentas.

Scareware Es un software que utiliza diversas t?cnicas para generar ansiedad en las v?ctimas y obligarlas a instalar m?s c?digos maliciosos en sus dispositivos. Por ejemplo, un falso producto antivirus enga?a a los usuarios para que instalen un software espec?fico que eliminar?a el problema, pero en realidad se trata de un programa da?ino.

Estafas de soporte t?cnico Los atacantes intentan vender servicios falsos, eliminar problemas inexistentes o instalar una soluci?n de acceso remoto en los dispositivos de las v?ctimas para obtener acceso no autorizado a sus datos.

Manual de ingenier?a social | C?mo actuar de la manera correcta

5

 ................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download