Hace unas semanas, algunas cuentas verificadas en Twitter se vieron afectadas por un incidente de seguridad. Las cuentas de Twitter de personalidades como Elon Musk, Jeff Bezos, Bill Gates, Barak Obama y Joe Biden fueron el principal objetivo. Por medio de un mensaje en dicha red social, estas celebridades invitaban a las personas a donar en contra de Covid-19. Por ejemplo, en la cuenta de Barak Obama, el mensaje fue: «¡Estoy devolviendo a mi comunidad debido a Covid-19! Todos los bitcoins enviados a mi dirección a continuación serán devueltos duplicados. ¡Si envías $ 1,000, te devolveré $ 2,000! ”. Después de este incidente, Twitter explicó que la red social detectó lo que ellos consideraron como un ataque coordinado de ingeniería social «por personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internos». Indicó públicamente la Red Social.
¿Qué es exactamente la ingeniería social?
La ingeniería social es la manipulación psicológica de las mentes de las personas en un intento de influir en ellas para que divulguen información confidencial. “Un atacante trabajará diligentemente para ganar la confianza del usuario a fin de obtener acceso a la información o al sistema, y lo hacen proporcionando información falsa”, explica Avesta Hojjati, jefe de I + D de DigiCert.
Los ataques de datos empresariales basados en humanos implican la interacción entre dos personas, para obtener información confidencial o son actos maliciosos realizados en la empresa. Teniendo en cuenta la declaración de Twitter, en este tipo de ataque, el autor actúa como un usuario válido del sistema o un empleado.
«Como tal, el atacante puede obtener datos valiosos de escritorios, botes de basura y sistemas de PC, el atacante puede hacerse pasar por un empleado de la mesa de ayuda, un contratista, soporte técnico u otro tercero para obtener un acceso fácil a la información que están buscando ”, agregó Hojjati.
Los atacantes también podrían hacerse pasar por una persona autorizada válida con acceso completo a un sistema o información, que no está disponible para ellos por alguna razón.
El atacante (ingeniero social) se hace pasar por la persona autorizada y alienta a los terceros a compartir detalles confidenciales o permitirles invadir el sistema, acceder a los datos o eludir los procesos comerciales. Para evitar que su empresa sufra ataques de ingeniería social, Avesta Hojjati comparte 3 consejos sencillos para proteger su empresa de este tipo de delitos:
- Crear capacitación efectiva en políticas de seguridad
La mayoría de las políticas de seguridad son documentos ocultos para los usuarios empresariales típicos. Puede ser un documento firmado el primer día en el trabajo y luego raramente discutido nuevamente. Educar a los usuarios sobre las prácticas de seguridad debe ser más que un paso en la orientación de los empleados o un elemento de la lista de verificación una vez al año.
- Use lecciones de la vida real
Señalar casos reales de ingeniería social en las noticias puede ayudar a aumentar la conciencia del usuario sobre la amenaza que representa el ataque para los datos empresariales. Si los usuarios son notificados de intentos o ataques en las noticias, los hará más aptos para reconocer los signos de un ataque de ingeniería social cuando les ocurra.
- Implemente la autenticación multifactor para personas y procesos
Es fundamental que los administradores empresariales apoyen a los usuarios con los procesos correctos para proteger los datos cuando la capacitación y la conciencia del usuario se rompen. Agregar capas de protección a la seguridad de los datos empresariales puede garantizar que la información permanezca segura incluso cuando algunos de los elementos de la política de seguridad se rompan.
La autenticación multifactor es una clave para ayudar a las empresas a mantener la información fuera del alcance de los malos actores. Los administradores pueden usar la autenticación multifactor para agregar restricciones para acceder a los datos más confidenciales en los recursos de la red. Si un usuario de la red puede acceder a un sistema, pero el sistema requiere que los usuarios verificados tengan un token o certificado para acceder a los datos, las empresas permanecen seguras, incluso de los ataques de ingeniería social.
