Ingeniería social: cómo la psicología y los empleados pueden ser parte de la solución


La ingeniería social está permitiendo la entrada de los ciberdelincuentes. Aprenda a cerrar esa puerta.

«data-credit =» Imagen: iStockphoto / BeeBright «rel =» noopener noreferrer nofollow «>ingeniería-social.jpg

Imagen: iStockphoto / BeeBright

Hay algo que los responsables de la ciberseguridad de una empresa deben aceptar: la tecnología por sí sola no va a hacer el trabajo. Es hora de cambiar parte del enfoque de la tecnología a la psicología, ya que incluso el sistema de ciberseguridad más sofisticado no ha impedido que las personas sean víctimas de la ingeniería social.

Puede que esté familiarizado o no con Kevin Mitnick: iluminó al mundo al poder de la ingeniería social. En su libro de 2002, El arte del engaño, Mitnick escribe que nunca usó programas de software program o herramientas de piratería para descifrar contraseñas o explotar la seguridad de la computadora o el teléfono. En cambio, comprometió las computadoras únicamente mediante el uso de contraseñas y códigos que obtuvo a través de la ingeniería social.

Hoy, Mitnick, director de piratería informática de KnowBe4, y Stu Sjouwerman, fundador de KnowBe4, se centran en educarnos para que ya no seamos la fruta más barata del árbol de los ciberataques. Actualmente, los dos están preocupados por un tipo específico de ingeniería social: el phishing. De acuerdo a Informe de investigaciones de filtración de datos 2020 de Verizon, el phishing es la forma en que comienza la gran mayoría de las violaciones de datos.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

«Si bien las empresas tienden a centrar sus esfuerzos de ciberseguridad en las defensas técnicas, la verdad es que la mayoría de los ciberataques se aprovechan de la falibilidad humana», escribe Sjouwerman en un artículo (patrocinado) de Corporate Compliance Insights, La psicología de las víctimas de phishing y cómo superarla. «Los ciberdelincuentes exitosos se aprovechan de las personas, explotando su patrón recurring de pensamiento para obtener acceso a información particular y cuentas».

¿Qué es la ingeniería social y por qué nos enamoramos de ella?

De Wikipedia, aquí hay un extracto de la definición de Ingeniería social: «En el contexto de la seguridad de la información, la ingeniería social es la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial. Un tipo de truco de confianza con el propósito de recopilar información, fraude o acceso al sistema, difiere de una &#39estafa&#39 tradicional. &#39porque a menudo es uno de los muchos pasos en un esquema de fraude más complejo «.

Algunas de las técnicas populares de ingeniería social entre los ciberdelincuentes, debido a su efectividad, son el phishing, vishing, pretexting, quid pro quo, baiting y water holing. En cuanto a por qué tendemos a dejarnos engañar por estas técnicas, Ga Crossland, investigadora de doctorado en el Centro de Formación Doctoral en Seguridad Cibernética, Royal Holloway, Universidad de Londres, en el artículo de Infosecurity Magazine. Sesgos en las percepciones de las amenazas a la seguridad de la información, sugiere que el optimismo y el pensamiento fatalista son las dos razones principales. Crossland define cada uno como:

  • Sesgo de optimismo se refiere al fenómeno por el cual las personas creen que tienen menos probabilidades que otras de experimentar un evento adverso.
  • Pensamiento fatalista se refiere a una perspectiva en la que las personas pueden creer que no tienen poder para influir en los riesgos personalmente por ejemplo, todo puede ser cooptado, por lo que no tiene mucho sentido intentar proteger.

Los ciberdelincuentes utilizan el sesgo optimista y el pensamiento fatalista para que las víctimas respondan a correos electrónicos falsos, proporcionen información personalized voluntaria, hagan clic en enlaces de malware y abran archivos adjuntos que contienen malware.

En lugar del problema, las personas pueden ser la solución

Crossland cree que no todo está perdido. Ella sostiene que «en lugar de ver al ser humano como el &#39problema&#39, empoderar a los empleados para que sean parte de la solución a los problemas de seguridad de la información podría ser el camino a seguir».

«Es crucial contar con un programa obligatorio de capacitación en conciencia de seguridad para sus empleados, pero no hay ninguna razón por la que no pueda ser inclusivo y divertido», dice Sjouwerman. «La ciberseguridad debería ser responsabilidad de todos los empleados, no una función abstracta de los profesionales de InfoSec o los departamentos de TI. Si logra que todos se comprometan, puede crear una cultura que reduzca drásticamente los riesgos de ciberseguridad».

VER: Política de formación y sensibilización sobre seguridad (TechRepublic High quality)

Sjouwerman luego se refiere a un artículo reciente de MIT Sloan Administration Assessment, La brecha no abordada en ciberseguridad: desempeño humano. Los autores Stephen A. Wilson, Dean Hamilton y Scott Stallbaum creen que incorporar nuevos comportamientos y un entendimiento compartido como parte de la cultura y el curso regular de los negocios es la mejor defensa contra los ciberataques.

Wilson, Hamilton y Stallbaum añaden: «Afortunadamente, existe un análogo para abordar este tipo de riesgo y aprovechar el desempeño humano como una capa crítica de defensa: la Organización de Alta Confiabilidad (HRO), que definimos como una organización que tiene un notable bajo número de contratiempos consistentemente durante un período prolongado de tiempo, pero realiza tareas altamente complejas e inherentemente peligrosas «.

Los autores del artículo de Sloan del MIT determinaron que los oficiales de derechos humanos exhiben las siguientes características:

  • Atención plena: Los oficiales de derechos humanos exhiben malestar crónico, un estado de hipervigilancia y vigilancia de las señales de peligro tempranas.
  • Sensibilidad: Los oficiales de derechos humanos identifican los problemas emergentes con anticipación y responden rápidamente para detener el desarrollo del incidente.
  • Capacidad de aprendizaje: Los oficiales de derechos humanos aprenden de cada evento y difunden conocimientos rápidamente para mejorar el sistema rápidamente.

Pensamientos finales

Los humanos tenemos características de comportamiento de las que se aprovechan los ciberdelincuentes Según ese artículo de Sloan del MIT, esos comportamientos pueden cambiarse o podemos ser conscientes de ellos. No es fácil de cambiar, pero es completamente posible.

Ver también



Enlace a la noticia primary