¿Quién no ha recibido nunca un correo electrónico invitándole a conectarse a un lugar donde se le ofrece algo que le resulta atractivo? ¿Quién no ha recibido una carta o una notificación de un desconocido diciéndole que un familiar lejano le ha dejado una herencia?
Cuando eso ocurre muchos pensarán que no se puede ser más ingenuo y caer en un engaño tan evidente. Pero ¿qué pasaría si el correo que recibimos es de nuestro jefe, de nuestro banco, de nuestra compañía eléctrica o de un amigo?
Los ataques llamados de ingeniería social están a la orden del día. Y es que ya lo decía Maquiavelo en su libro “El Príncipe”: “no intentes conseguir por la fuerza lo que puedas conseguir a través del engaño”. Y el engaño tiene muchas aristas.
Un gran número de ataques de seguridad hoy en día se realizan a través de una técnica conocida como “phishing”. Se trata de un mecanismo de engaño mediante el cual un hacker se hace pasar por alguien en quien confiamos para solicitarnos información o pedirnos que realicemos alguna acción que puede poner en riesgo no solo a nuestra economía y credibilidad sino también la de nuestra compañía.
Las campañas de phishing proliferan como el champiñón, utilizando técnicas de ingeniería social cada vez más sofisticadas. La mayor parte de ellas recurren a elementos sociales y emocionales como el ejercicio de la autoridad, el reconocimiento social, la reciprocidad en el trato, etc. que nos hacen creer que estamos actuando de forma correcta. Y es que los hackers lo saben: el usuario final es el eslabón más débil de la cadena. De nada sirve armar una arquitectura de seguridad suficientemente compleja si al final uno de nuestros empleados le dará las claves de acceso de nuestros sistemas a un desconocido engañado por un simple correo electrónico.
Detectar este tipo de ataques resulta extremadamente complejo. Identificar la suplantación de identidad en las comunicaciones electrónicas es a menudo una tarea imposible. Ya no se habla de las “cartas nigerianas” sino del “ataque del CEO” o del “preaviso de Hacienda”. A algunos estos términos no les resultarán ya tan desconocidos ¿verdad?
Por ello no hay más remedio que recurrir a la sensibilización de los empleados; a su formación y a su permanente estado de alerta. El empleado como elemento central de la seguridad de nuestra compañía. Es lo que se conoce ya como la seguridad centrada en las personas.
Una sensibilización que puede conseguirse a través de cursos de formación o campañas de simulación de ataques que pongan de relevancia nuestras debilidades, cara a reforzar nuestras futuras actuaciones. Al igual que se realizan campañas de simulaciones de hacking a las plataformas de seguridad para auditar el grado de vulnerabilidad de nuestras infraestructuras e introducir mejoras dirigidas a solventarlas, también debemos realizar acciones orientadas a mantener y mejorar la sensibilidad de nuestros empleados para velar por la seguridad de los recursos que utilizan habitualmente.
Planificar periódicamente este tipo de actuaciones puede protegernos de los modernos “timos de la estampita”. ¿A alguien le suena?
