Lo que COVID-19 nos enseña sobre ingeniería social


A menos que hagamos algo de manera proactiva, se espera que el impacto de la ingeniería social siga empeorando a medida que aumenta la dependencia de la gente en la tecnología y que más de nosotros nos vemos obligados a trabajar desde casa.

Rastreo de contactos, superespagadores, aplanamiento de la curva: conceptos que en el pasado eran dominio de expertos en salud pública ahora son familiares para las personas de todo el mundo. Estos términos también nos ayudan a comprender otro virus, uno que es endémico del mundo virtual: la ingeniería social que se presenta en forma de campañas de phishing, pretexting y noticias falsas.

Tan rápido como el coronavirus comenzó a propagarse, informes de noticias advirtieron a los usuarios sobre ataques de ingeniería social que promocionan curas falsas y aplicaciones de rastreo de contactos. Esto no fue una coincidencia. De hecho, hay una serie de paralelismos entre la transmisión humana de COVID-19 y los brotes de ingeniería social:

1. Al igual que el coronavirus se transmite de persona a persona a través de gotitas respiratorias, la ingeniería social también pasa de los usuarios a través de dispositivos informáticos infectados a otros usuarios. Debido a esta similitud de transmisión, al igual que las personas infectadas, debido a su proximidad física con muchas otras, actúan como superespagadores para COVID-19, algunos usuarios de tecnología actúan de manera comparable. Estos tienden a ser personas con muchos amigos virtuales o aquellos que se suscriben a muchos servicios en línea que, en consecuencia, tienen dificultades para discernir una notificación o comunicación serious de una de estas personas o servicios de una falsa. Dichos usuarios son objetivos principales para los ingenieros sociales que buscan una víctima que pueda establecerse en las redes informáticas de una organización.

2. La gran mayoría de las personas infectadas con este coronavirus tienen síntomas leves a moderados. Lo mismo ocurre con la mayoría de las víctimas de la ingeniería social porque los piratas informáticos suelen acechar de manera imperceptible mientras se abren camino a través de las redes corporativas. A menudo pasan desapercibidos durante meses. en promedio, al menos 101 días – no muestra signos o síntomas.

3. Así como nadie tiene inmunidad contra COVID-19, nadie es inmune a la ingeniería social. En este momento, todos, en todo el mundo, han sido atacados por ingenieros sociales, y muchos, usuarios capacitados, profesionales de TI, expertos en ciberseguridad y directores ejecutivos, han sido víctimas de un ataque de phishing.

4. Los resultados de COVID-19 son peores para las personas que tienen afecciones médicas previas y para las personas mayores. Del mismo modo, los resultados de la ingeniería social son peores para los usuarios con malos hábitos informáticos y capacidades técnicas deficientes. Muchos de estos tienden a ser personas mayores y personas jubiladas que carecen de sistemas operativos actualizados, parches que los protegen de la infiltración y acceso a servicios de seguridad administrados.

5. Finalmente, la higiene particular (lavado de manos, uso de máscaras, aislamiento social) es la principal protección contra la infección por coronavirus. Del mismo modo, para protegerse contra la ingeniería social, la higiene digital (proteger dispositivos, mantener protecciones y parches de virus actualizados y tener cuidado cuando está en línea) es la única protección que todos tienen FBI a INTERPOL tiene en su arsenal.

Pero más allá de estas similitudes, los brotes de ingeniería social son en realidad más difíciles de controlar que las infecciones por coronavirus:

1. Las infecciones de ingeniería social pasan a través de dispositivos de forma inalámbrica, lo que dificulta el contacto para rastrear fuentes de infección, aislar máquinas y contenerlas.

2. Existen procesos científicos bien establecidos que la comunidad médica ha desarrollado para identificar lagunas de conocimiento sobre el coronavirus. Esto ayuda a los investigadores a concentrarse. En contraste, incluso los fundamentos de la ingeniería social, como cuando es correcto llamar a un ataque una violación o un hack, carece de claridad. Es difícil hacer una investigación en un área cuando no hay consenso sobre cómo debería llamarse el problema o dónde comienza y termina.

3. Si bien la higiene humana está bien investigada, las prácticas de higiene electronic no lo están. Por ejemplo, en 2003, NIST desarrolló pautas de higiene de contraseñas pidiendo que todas las contraseñas contengan letras y caracteres especiales y se cambien cada 90 días. La guía se desarrolló al estudiar cómo las computadoras adivinan las contraseñas, no cómo los humanos las recordaban. En consecuencia, los usuarios de todo el mundo usaron contraseñas reutilizadas, las escribieron en papel para ayudar a su memoria, o las ingresaron a ciegas en correos electrónicos de phishing que imitaban varios correos electrónicos de restablecimiento de contraseña, hasta 2017, cuando se reconocieron estos problemas y la política fue revocada.

4. La evidencia apunta a aquellos que se han recuperado del coronavirus que tienen al menos inmunidad a corto plazo. En contraste, las organizaciones que han tenido al menos un ataque de ingeniería social significativo tienden a ser atacados nuevamente dentro del año. Debido a que los piratas informáticos aprenden de cada ataque, esto sugiere que las probabilidades de ser violadas por la ingeniería social en realidad aumentan con cada ataque posterior.

5. Nuestra respuesta a COVID-19 se informa mediante informes en todo el sistema de atención médica. Desafortunadamente, no existe un mecanismo de reporte comparable para la ingeniería social. Por esta razón, un pirata informático puede realizar un ataque en una ciudad y replicarlo en una ciudad contigua, todo utilizando el mismo malware contra el que podría haberse defendido fácilmente si alguien hubiera notificado a otros. Vimos esta tendencia en ataques de ransomware que paralizaron los sistemas informáticos en la parroquia de Vernon de Louisiana en noviembre de 2019, seguido rápidamente por otras seis parroquias y continuando por el resto del estado en febrero de 2020.

Debido a estos factores, el impacto económico de la ingeniería social continúa creciendo. Ha habido una 67% de aumento en violaciones de seguridad en los últimos cinco años y el año pasado Se esperaba que las compañías gastaran $ 110 mil millones globalmente para protegerse contra ella. Esto hace que la ingeniería social sea una de las mayores amenazas para la economía mundial fuera de los desastres naturales y las pandemias.

Así como estamos luchando contra la pandemia, debemos coordinar nuestros esfuerzos para combatir la ingeniería social. Sin ella, no habrá vacuna ni cura. Para este fin, debemos desarrollar portales de informes intraorganizacionales y sistemas de alerta temprana para advertir a otras organizaciones de violaciones. También necesitamos fondos federales para la investigación básica sobre la ciencia de la ciberseguridad junto con el desarrollo de iniciativas de higiene digital basadas en evidencia que brinden las mejores prácticas que tengan en cuenta al usuario y sus casos de uso. Finalmente, debemos enlistar plataformas de redes sociales para rastrear a los superespagadores en sus usuarios y desarrollar iniciativas de capacitación y conciencia de código abierto para protegerlos a ellos y a los ciber-vulnerables de futuros ataques.

A menos que hagamos algo de manera proactiva, se espera que el impacto de la ingeniería social continúe empeorando a medida que aumenta la dependencia de la gente en la tecnología y que más de nosotros nos vemos obligados a trabajar desde casa, lejos de los enclaves de TI protegidos de las organizaciones. Al last, podemos ganar la lucha contra el coronavirus, pero la guerra contra la ingeniería social aún no ha comenzado.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Arun Vishwanath, Ph.D., MBA, es uno de los principales expertos en los «problemas de personas» de la ciberseguridad. Su investigación sobre la ciencia de la ciberseguridad se centra en la mayor vulnerabilidad en la seguridad empresarial: sus usuarios. Su cuerpo de trabajo incluye el desarrollo de … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia initial