O nivel de seguridade alcanzable a nivel de software e hardware é elevadísimo, e cada día refórzase máis esa seguridade e son xeneradas novas proteccións. Con todo, nada diso é efectivo perante un ataque de enxeñaría social, por iso esta ameaza é tan perigosa.
A enxeñaría social non é outra cousa que a manipulación para obter información confidencial. Esta manipulación é dirixida cara as persoas, empregados de calquera nivel que dispoñen das súas propias credenciais de acceso, con maiores ou menores permisos. Sexa cal sexa o nivel de acceso ou de permisos, ao obter eses datos ábrese a porta da rede empresarial e os equipos e servizos corporativos quedan expostos.
Estes ciberataques poden chegar a ser indetectables. Ademais, son altamente eficientes e aproveitan da falta de información, de formación e tamén da inxenuidade humana. As persoas poden confiar abertamente nos seus compañeiros, incluso tratándose dunha nova incorporación.
Os ataques soen comezar gañándose a confianza o obxectivo, comezando cunha conversa, unha chamada, un SMS ou cun regalo tecnolóxico. É, en realidade, como a historia do cabalo de Troia, que non era outra cousa que un agasallo con aires de boa vontade que levaba o perigo no interior. Os troianos introducirono intramuros da cidade,e os soldados aqueos sairon pola noite para eliminar aos centinelas e abrir as portas da cidade aos seus exércitos.
Por analoxías, protexer os nosos sistemas con devesas, antivirus e demais ferramentas non vai ser dabondo se os usuarios non cumpren a machada con todas as directrices de seguridade, ou cometen descoidos imperdoables.
A enxeñaría social é rendible para os cibercriminais
Da igual se o obxectivo do cibercriminal é inxectar malware, robar credenciais, conseguir accesos… O caso é que é moito máis barato, por así dicilo, que calquera outro método. Pensemos nunha analoxía sinxela, por exemplo, tratar de entrar nun domicilio. Que é máis custoso, utilizar ferramentas para abrir a porta e saltarse a alarma, ou conseguir que o inquilino nos abra a porta?
Os ataques de enxeñaría social soen pasar por catro fases:
1.- Recopilar información sobre a vítima. Esta información pode ser de calquera tipo, pero o obxectivo é saber todo o que se pode saber sobre esa persoa para poder establecer contacto sen levantar sospeitas, de maneira máis natural posible.
2.- Desenvolver unha relación de confianza coa vítima a partir da información recopilada. Así, trázase un plan de ataque baseado nos intereses da vítima. A única intención neste punto é a de gañar a confianza desa persoas, de maneira que calquera mensaxe ou contacto posterior pareza lexítimo.
3.- Abuso da confianza. Feito o contacto e unha vez gañada a confianza da vítima, aproveitando a identidade falsa creada con anterioridade, o atacante vai pedir algo á vítima: que lle envíe credenciais de acceso baixo calquera pretexto ou que instale un software por algún motivo. Deste xeito establécese a base para o ataque.
4.- Execución do ciberataque. Coas portas abertas, o atacante pode entrar no sistema e facer o que pretendía dende o comezo. Obtida a información ou cumprido o obxectivo, o atacante retirarase tratando de eliminar calquera rastro.
Así que, como protexo a miña empresa dos ataques de enxeñaría social?
A chave esta na formación e concienciación dos empregados. Un equipo coa formación adecuada é a mellor medida de protección contra a enxeñaría social. Por moi eficiente que sexa a técnica empregada polos cibercriminais, canto máis informado estea o equipo, máis tempo resistirá os atques e máis desconfianza sentirá ante peticións que salten os protocolos.
Por iso é fundamental, ademais de dispor de ferramentas de seguridade avanzada, que o persoal coñeza as técnicas máis comúns para que as poida anticipar e detectar a tempo, aforrando custes (e disgustos) á empresa. Manterse ao día en cuestións de ciberameazas é vital.