Cuando pensamos en estafas online, a casi todos nos vienen varias imágenes a la cabeza: el príncipe nigeriano que necesita que le hagamos una transferencia para ser millonarios, la web que te hace regalos por ser su visitante un millón, etc.
Sin embargo, la cosa se ha sofisticado mucho. No solo porque la forma de engañar sea más compleja de detectar, sino también porque los amigos de lo ajeno han aprendido una lección: su mayor fuente de riqueza no son los usuarios aislados, sino las empresas en las que trabajan. Por eso, el centro de trabajo puede convertirse en su principal objeto de deseo.
Tipos de ataque de ingeniería social
La trampa ya no reside necesariamente en introducir un virus en un ordenador ajeno, sino en que sea el propio usuario el que propicie esa vulnerabilidad. Es lo que conocemos como ingeniería social, un método mediante el que el delincuente nos usará para que llevemos a cabo una acción que comprometerá gravemente la seguridad informática de nuestra empresa.
Grosso modo, hay de varios tipos:
1.- Soporte técnico. Una de las más frecuentes en los últimos años. Ya sea a través de un email, de una web sospechosa o incluso de una llamada de teléfono, nos llegará un aviso de que algo en nuestro software o sistema operativo está fallando y debemos contactar cuanto antes con el soporte técnico. Aquí el tiempo es la parte clave del engaño: si el delincuente lo hace bien, te convencerá de que cuanto más tardes en aplicar la solución, peor será para toda la empresa. Una vez contactes con él, habrá un amplio abanico de posibles engaños: instalarse un software malicioso, proporcionar tarjetas de crédito, dar información confidencial de la empresa, etc. Si el empleado accede, la estafa habrá comenzado.
No es cosa de poco. Según un estudio de Microsoft, las estafas de soporte técnico son las más numerosas y las más peligrosas. De hecho, en 2017 recibieron incidencias de 153.000 usuarios denunciando estafas de este tipo, un 24% más que el año anterior. Además, las quejas llegaron desde 183 países diferentes, lo que nos ofrece un peligroso retrato de un timo que ya se produce a nivel global.
2.- Actualización de software. Similar a la estafa de soporte técnico, pero en este caso casi siempre a través de webs, nos encontraremos con un banner que nos avisará de un problema en nuestro navegador o sistema operativo: ha entrado un virus, hay que descargarse la nueva versión de Flash, etc. Si pinchamos en ellos, acabaremos instalando en nuestro ordenador un software malicioso.
3.- Suplantación de identidad. Especialmente frecuente a través de email: nos llega un correo electrónico de alguien que se hace pasar por una persona de nuestro entorno (un jefe, un compañero…) o por un responsable al que deberíamos hacer caso. Si caemos en la trampa, nos engañará para que instalemos según qué software o para que demos datos personales, financieros o corporativos.
¿Qué hacer para evitarlo?
Lo peor de estos ataques es que no solo afectan al usuario: si los recibe en su ámbito laboral, la ciberseguridad empresarial de toda la compañía estará en serios problemas. Es por eso que conviene llevar a cabo medidas para evitar vulnerabilidades:
1.- Concienciación de los empleados. A menudo los empleados suelen pensar que, en caso de posibles estafas, estas serán dirigidas a núcleos altos de la compañía. Sin embargo, precisamente los eslabones más débiles de la cadena son los de abajo. Cualquier compañía debe asegurarse de que sus empleados son conscientes de que ellos también están expuestos.
2.- Algunas claves. Si el email que ha recibido el empleado parece ser el corporativo de la empresa, ¿ha comprobado que realmente lo sea? Si el nombre de la empresa tiene la letra ‘l’, ¿ha comprobado que el email recibido no lleve una ‘i’ mayúscula para despistar? Si el aviso llega a través de una web, ¿se ha planteado por qué un soporte de este tipo iba a saltar en un navegador? Si recibe una llamada, ¿por qué iba a recibirla en su móvil personal? Este tipo de trucos no nos mantendrán totalmente a salvo, pero pueden ser muy útiles.
3.- Más vale ser desconfiado. Ante la duda, más vale desconfiar de todo antes que poner en peligro la ciberseguridad de una compañía. Si el empleado tiene cualquier tipo de duda, será mejor que se dirija a un responsable para comprobar la información antes de hacer nada.
4.- Tecnología de detección de amenazas. Solventado el problema humano, hay que solucionar también el tecnológico. Para ello las empresas deben contar con tecnologías EDR, que identificarán las posibles amenazas, previéndolas y actuando frente a ellas en caso de peligro. Es lo que hace Panda Adaptive Defense 360, que, ante cualquier amenaza, bloquea todo tipo de peligro o software malicioso antes de que sea instalado a consecuencia de una estafa de este tipo.