M

Rexistro

Promocions

Por que .gal

Como .gal

Rexistradores

Axuda

Preguntas frecuentes

Mapa do sitio

Ferramentas

Guías

i.gal

velaqui.gal

DGI

Actualidade

Novas

Comunicación

Historias PuntoGal

Nós

O dominio

O equipo

A asociación

Rexistrar ou revender .gal

Dominio

PuntoGal

Rexistro

Promocións

Por que .gal

Como .gal

Rexistradores

Actualidade

Novas

Comunicación

Historias PuntoGal

Nós

O dominio

O equipo

A asociación

Rexistrar ou revender .gal

Axuda

Preguntas frecuentes

Mapa do sitio

Ferramentas

Guías

i.gal

velaqui.gal

21/04/22
Como protexerse dos ataques de enxeñaría social

O nivel de seguridade alcanzable a nivel de software e hardware é elevadísimo, e cada día refórzase máis esa seguridade e son xeneradas novas proteccións. Con todo, nada diso é efectivo perante un ataque de enxeñaría social, por iso esta ameaza é tan perigosa.

A enxeñaría social non é outra cousa que a manipulación para obter información confidencial. Esta manipulación é dirixida cara as persoas, empregados de calquera nivel que dispoñen das súas propias credenciais de acceso, con maiores ou menores permisos. Sexa cal sexa o nivel de acceso ou de permisos, ao obter eses datos ábrese a porta da rede empresarial e os equipos e servizos corporativos quedan expostos.

Estes ciberataques poden chegar a ser indetectables. Ademais, son altamente eficientes e aproveitan da falta de información, de formación e tamén da inxenuidade humana. As persoas poden confiar abertamente nos seus compañeiros, incluso tratándose dunha nova incorporación.

Os ataques soen comezar gañándose a confianza o obxectivo, comezando cunha conversa, unha chamada, un SMS ou cun regalo tecnolóxico. É, en realidade, como a historia do cabalo de Troia, que non era outra cousa que un agasallo con aires de boa vontade que levaba o perigo no interior. Os troianos introducirono intramuros da cidade,e os soldados aqueos sairon pola noite para eliminar aos centinelas e abrir as portas da cidade aos seus exércitos.

Por analoxías, protexer os nosos sistemas con devesas, antivirus e demais ferramentas non vai ser dabondo se os usuarios non cumpren a machada con todas as directrices de seguridade, ou cometen descoidos imperdoables.

A enxeñaría social é rendible para os cibercriminais

Da igual se o obxectivo do cibercriminal é inxectar malware, robar credenciais, conseguir accesos… O caso é que é moito máis barato, por así dicilo, que calquera outro método. Pensemos nunha analoxía sinxela, por exemplo, tratar de entrar nun domicilio. Que é máis custoso, utilizar ferramentas para abrir a porta e saltarse a alarma, ou conseguir que o inquilino nos abra a porta?

Os ataques de enxeñaría social soen pasar por catro fases:

1.- Recopilar información sobre a vítima. Esta información pode ser de calquera tipo, pero o obxectivo é saber todo o que se pode saber sobre esa persoa para poder establecer contacto sen levantar sospeitas, de maneira máis natural posible.

2.- Desenvolver unha relación de confianza coa vítima a partir da información recopilada. Así, trázase un plan de ataque baseado nos intereses da vítima. A única intención neste punto é a de gañar a confianza desa persoas, de maneira que calquera mensaxe ou contacto posterior pareza lexítimo.

3.- Abuso da confianza. Feito o contacto e unha vez gañada a confianza da vítima, aproveitando a identidade falsa creada con anterioridade, o atacante vai pedir algo á vítima: que lle envíe credenciais de acceso baixo calquera pretexto ou que instale un software por algún motivo. Deste xeito establécese a base para o ataque.

4.- Execución do ciberataque. Coas portas abertas, o atacante pode entrar no sistema e facer o que pretendía dende o comezo. Obtida a información ou cumprido o obxectivo, o atacante retirarase tratando de eliminar calquera rastro.

Así que, como protexo a miña empresa dos ataques de enxeñaría social?

A chave esta na formación e concienciación dos empregados. Un equipo coa formación adecuada é a mellor medida de protección contra a enxeñaría social. Por moi eficiente que sexa a técnica empregada polos cibercriminais, canto máis informado estea o equipo, máis tempo resistirá os atques e máis desconfianza sentirá ante peticións que salten os protocolos.

Por iso é fundamental, ademais de dispor de ferramentas de seguridade avanzada, que o persoal coñeza as técnicas máis comúns para que as poida anticipar e detectar a tempo, aforrando custes (e disgustos) á empresa. Manterse ao día en cuestións de ciberameazas é vital.

Compartir

Compartir