Categoría: Seguridad informática

Ingeniería social: la técnica para robar tu información

Posted on by E-systems

En el mundo de la tecnología y la informática la seguridad de la información es crucial, tanto para usuarios como para empresas. Por lo que protegerla e implementar medidas contra los hackers y sus técnicas de ingeniera social se convierte en una prioridad. Pero, ¿qué es la ingeniería social? Se trata de un conjunto de prácticas con las que los cibercriminales buscan, generando contextos de confianza, que los usuarios entreguen datos confidenciales o faciliten información relevante para robar.

Así entonces, ¿Cómo evitar caer en las técnicas de la ingeniería social? En este artículo te damos algunas claves para que no seas víctima de robo de la información, descúbrelo a continuación.

Te recomendamos leer: Seguridad Informática: 10 Recomendaciones para mejorarla en tu empresa

Definiendo la ingeniería social

Definición de ingeniería social

El término ingeniería social es tomado de las Ciencias Sociales, como aquella práctica que implica el uso de la manipulación con el fin de conseguir un objetivo, sea positivo o negativo. En otras palabras, es cualquier esfuerzo de los factores de cambio (medios de comunicación, gobiernos o grupos privados) con el propósito de influir o moldear el comportamiento de la población objetivo.

En el contexto de la seguridad de la información, la ingeniería social se ejecuta con el fin de engañar a víctimas inocentes para que compartan sus datos personales, al abrir enlaces hacia páginas web infectadas o permitir a los hackers que instalen un software malicioso en sus ordenadores inconscientemente.

¿Qué son las técnicas de ingeniería social?

Son las técnicas usadas por los ciberdelincuentes que se basan en la generación de confianza por medio del lenguaje amable, empático o atractivo. Estas llevan a que la víctima se sienta con la tranquilidad para dar continuidad a un proceso determinado.

Tanto las técnicas para personas como para empresas y organizaciones necesitan de la cooperación de la víctima sin que esta percate el peligro. Para ataques o robos de información a grandes compañías se eligen empleados de bajo nivel que tienen acceso a esta información.

Así mismo, se suele engañar a la víctima para que comparta esta información voluntariamente, infectando su ordenador con un software malicioso, monitoreando la actividad de su red y enviando informes detallados directamente al cibercriminal.

Ingeniera social: tipos de ataques

Tipos de ataques de ingeniería social

Los ataques a la seguridad se manifiestan de múltiples maneras y formas. Se pueden llevar a cabo fuera de la red, por una llamada telefónica o, incluso, con la visita inesperada de una persona a una oficina solicitando determinada información de la empresa.

Aquí presentamos los diferentes tipos de técnicas para que aprendas cómo identificarlas.

Spear Phishing

El phishing es un tipo de ataque de ingeniería social en el que los mensajes parecen provenir de una fuente fiable. Por lo que los usuarios no dudan de la legitimidad de un mensaje que, aparentemente, proviene de un amigo, un familiar o una tienda que visitan con frecuencia. Aquí, los mensajes están diseñados específicamente para engañar a las víctimas y que revelen sus datos personales o financieros.

Dentro de esta técnica también se emplea el logotipo oficial y el aspecto del banco en cuestión para hacer más difícil que la víctima pueda descubrir que el mensaje no es sospechoso.

Baiting

Este es un ejemplo de ingeniería social que no se origina en las redes, pues se refiere al caso en el que un atacante deja un dispositivo infectado con malware (por ejemplo, una USB) en algún lugar fácil de encontrar.

Estos dispositivos suelen tener etiquetas como «importante» o «confidencial», palabras que sean provocativas para curiosear. Si la víctima conecta la USB en su computador, esta instalará inmediatamente el software malicioso en el PC. Lo cual proporcionará al hacker una visión de su actividad online y fuera de la red, así como el acceso a sus archivos y carpetas.

Si el computador es parte de una red, el hacker también obtendrá acceso inmediato a todos los demás dispositivos que componen esa red.

Vishing o pretexting

También conocido como phishing por voz, es un tipo más actualizado de ataque de phishing. Esta técnica consiste en la suplantación de un número de teléfono para que parezca legítimo. Así los atacantes se hacen pasar por técnicos, compañeros de trabajo, personal de informática, e inclusive, familiares o amigos.

Seguramente, has recibido llamadas de un sobrino, primo o el nieto de un amigo que fue encarcelado por la policía y debe pagar una cuantiosa suma de dinero para que salga de ese problema.

Desafortunadamente, por las historias y discursos bien construidos, y con ayuda de un lenguaje de confianza, muchas personas son víctimas de este ataque. Compartiendo no solo sus datos personales o su cuenta bancaria una única vez, sino que pueden llegar a ser víctimas por un largo periodo de tiempo.

Smishing

Es un tipo de ataque de phishing que funciona por medio de mensajes de texto o SMS. Normalmente, estos ataques piden a la víctima que realice alguna acción inmediata a través de vínculos maliciosos en los que hacen clic o dan números de teléfono para llamar.

 4 tips para evitar ataques de ingeniería social

Tips para evitar ciberataques

 

Una vez que se cae en las redes de un ingeniero social, puede ser difícil librarse de ellas. Las técnicas de la ingeniería social están diseñadas para sacar provecho de los rasgos humanos como la curiosidad, la confianza y la voluntad de ayudar de sus víctimas. De modo que la mejor manera de protegerse es ser más desconfiado dentro del entorno online.

Aunque usar el mejor software antivirus sea realmente importante, también es necesario ser muy cuidadoso en internet. Además, de tener sentido común y seguir buenas prácticas para la gestión y el cuidado de la información, eso sin ser un experto en tecnología. A continuación, te presentamos 4 tips para que puedas identificar y disminuir los ataques de cibercriminales.

1. Investiga la fuente

  • Si recibes un email, SMS o llamada telefónica de una fuente desconocida, busca el número en internet para ver si encuentras información relacionada.
  • Comprueba hacia donde conducen los enlaces: los hipervínculos fraudulentos son fáciles de detectar con solo deslizar el cursor por encima (NO hagas clic en ellos).
  • Verifica la ortografía, ya que los bancos cuentan con equipos de personas cualificadas dedicadas a elaborar los comunicados que se envían a los clientes. Sí un mensaje de correo electrónico tiene faltas de ortografía clamorosas o una redacción incoherente, probablemente sea fraudulento.

2. Cambia la configuración de spam en el correo electrónico

Puedes ajustar la configuración del correo electrónico para fortalecer los filtros de spam si estos mensajes aparecen en la bandeja de entrada. Estos filtros pueden detectar archivos o enlaces maliciosos. Así como tener una lista negra de direcciones IP o remitentes sospechosos y analizar el contenido de los mensajes para determinar si es probable que sean falsos.

3. Razona antes de actuar

La ingeniería social genera una cierta sensación o situación de urgencia. Los atacantes esperan que sus objetivos no reflexionen demasiado sobre lo que está sucediendo. Por eso, es necesario tomarte un momento para pensar y demostrar que se trata de un fraude.

Llama al número o visita la URL oficial del remitente que te está contactando, en lugar de facilitar tus datos por teléfono o hacer clic en un enlace. Utiliza un método de comunicación distinto para comprobar la credibilidad de la fuente.

4. Instala y mantén actualizado el antivirus y antimalware

Un software antivirus capaz de detectar mensajes o páginas web sospechosos puede ahorrarte el tiempo y las molestias de tener que verificar las fuentes.

Reflexiona sobre la seguridad de tu información

Finalmente, te invitamos a reflexionar sobre la seguridad de tu información, ya que compartir gran cantidad de datos en Internet (redes sociales, foros, etc.) puede resultar de ayuda a los atacantes.

Por ejemplo, muchos bancos incluyen «Nombre de tu primera mascota» como posible pregunta de seguridad. ¿Lo has publicado alguna vez en Facebook? En caso afirmativo, eres vulnerable. Además, algunos ataques de ingeniería social intentan ganar credibilidad aludiendo a eventos recientes que tal vez hayas publicado en las redes sociales.

También, analiza otros aspectos de tu vida que compartes en Internet. Si tienes un currículum online, piensa si es conveniente indicar la dirección de tu residencia, número de teléfono o fecha de nacimiento. Todo esto es información útil para cualquiera que esté planeando perpetrar un ataque de ingeniería social.

La ingeniería social puede llegar a ser muy peligrosa porque parte de situaciones perfectamente normales y las manipula con fines delictivos. Aun así, entendiendo bien cómo funciona y tomando las precauciones básicas es mucho menos probable que te conviertas en una víctima de un ciberataque.

10 Recomendaciones para mejorar la seguridad informática en tu empresa

Posted on by E-systems

Durante las últimas décadas la seguridad informática ha jugado un papel fundamental en la productividad de nuestras organizaciones, manteniendo la información de los usuarios alejada de los hackers y programas maliciosos.

En nuestro día a día en Esystems, hemos visto paradójicamente que las pequeñas empresas y las pymes, al contrario de las grandes empresas, son escépticas frente a la protección de la información; escudándose en la premisa de que son empresas pequeñas, por lo que su información no es valiosa para un atacante, desconociendo así que los hackers no miran el tamaño de las empresas, si no los vulnerables o desprotegidas que estén. Es por ello que las pymes se vuelven un blanco perfecto para este tipo de prácticas.

Este artículo creado por nuestros especialistas y enfocado a las pymes, te permitirá definir el estado de la seguridad informática de tu empresa, igualmente aplicable a cualquier organización. Al final encontrarás instrucciones que puedas calificar y puntuar el estado actual de la seguridad en tu empresa.

1. Antivirus Corporativo

Aunque para muchos parece lógico este primer punto, muchas empresas carecen de un antivirus adecuado, tienen la premisa mal concebida de que tienen un antivirus “gratis” y así se lo instalan sus asesores técnicos. Aunque sí existen versiones de antivirus Gratis, al leer el acuerdo de licencia de estos antivirus, se puede ver que es gratis para uso personal y académico, nunca uso empresarial. Adicionalmente, estos antivirus carecen de una consola que los administre, característica muy importante al momento de tener un antivirus en la empresa. Dentro de las Marcas que recomendamos esta Sophos Endpoint y Kaspersky Endpoint Security.

2. Firewall Perimetral

Todas las empresas poseen una conexión a internet la cual llega a través de su ISP, dicho servicio debería ir conectado a un dispositivo Firewall que controla el tráfico que entra y sale de la empresa. Este dispositivo protege el internet de atacantes externos, también permite controlar la utilización que los usuarios le dan al internet, optimizando de esta manera el ancho de banda contratado. En algunos casos el personal técnico coloca un enrutador para cumplir esta función; aunque es mejor que nada, un router no cumple los mismos parámetros de seguridad que un firewall, por lo que no llega a ser una protección adecuada.

Aunque existen muchas marcas en el mercado nosotros recomendamos para las pymes Firewall Sophos o Firewall Fortinet.

3. Software Licenciado

Uno de los errores más grandes que cometen las pequeñas empresas y las pymes es tener software pirata, no solamente por el tema económico y de “ahorrarse” la licencia, sino porque a través de este se abre la puerta para que software malicioso se instale paralelamente. Esto debido a que el sistema que burla u omite la licencia es manipulado por terceros, abriendo “backdoors” o puertas traseras  por las cuales los atacantes pueden tomar control de una red o de un servidor. Aquí si aplica que lo barato sale caro. Así que procura tener TODO el software de tu negocio licenciado, es un ahorro en la estabilidad y seguridad de la compañía.

4. Mantenimiento preventivo periódico

El mantenimiento preventivo es uno de los aspectos más importantes en la estabilidad y seguridad informática de una empresa, dado que los sistemas se van deteriorando, van acumulando basura, archivos temporales y software malicioso. El mantenimiento preventivo a los computadores, a los servidores y a toda la infraestructura informática, se convierte en una herramienta que deja los computadores y servidores libres de este tipo de basura.

Adicionalmente, un buen mantenimiento preventivo asegura que el rendimiento de sus equipos aumente, por lo tanto, aumentando la productividad.

Siempre nos preguntan cada cuánto hacer mantenimiento preventivo a las computadoras y mantenimiento preventivo a los servidores. Aunque la respuesta depende de muchas variables, si nos atrevemos a decir que una empresa debe realizar por lo menos dos veces por año un mantenimiento preventivo a toda su infraestructura informática.

5. Usuarios básicos en los computadores

Un aspecto superimportante para tener una red segura es el tema de los usuarios creados en los computadores. Resulta que cuando un virus o software malicioso ingresa a un sistema, dependiendo del origen, el malware va a tomar los permisos que se tenga en el computador y en la red; así que si se tienen privilegios de administrador o de superusuario el software va a tomar estos mismos permisos.

Si se tienen permisos básicos, el malware va a tener esos mismos permisos y por lo tanto su alcance será limitado. Así que la recomendación es que SIEMPRE se trabaje con el usuario con los mínimos privilegios, no con permisos administrativos. Y como vamos a ver en el siguiente tip, lo mejor es tener un servidor que administre todos los permisos en la red.

6. Servidor Principal Dedicado

Se definen un servidor dentro de la organización como un equipo principal con características especiales en Hardware, sistema operativo y software. Así entonces, los servidores se pueden tener dentro de la organización (On-premise) o por fuera de ella (en la nube o Cloud). Muchas empresas creen que tener un servidor en la empresa aplica solo para empresas grandes o multinacionales y no saben lo equivocadas que están. Se recomienda tener un servidor en el momento en que en la organización ya cuenta con más de 5 computadores lque comparten recursos o información.

El servidor cumple muchos roles y dependiendo de esto se pueden tener varios servidores en la organización, lo importante es tener bien dimensionada la arquitectura de la red y tener todo centralizado en este servidor. Una mala práctica es tener la información regada o fragmentada en los diferentes computadores de la organización, ya que eso aumenta el riesgo de pérdida de la misma.

7. Dominio de Windows

Este es uno de los puntos de debate del personal técnico y de soporte en una organización, omiten este punto por desconocimiento, porque es un servicio que requiere tiempo para su instalación y afinación, pues tiene un gran impacto al momento de habilitarlo en la red. Para resumir, el dominio de Windows (el cual es distinto al dominio de internet) es un servicio que se apoya en los servicios de Directorio Activo de Windows Server, esta característica “básica” impacta fuertemente la seguridad de la red.

Lo poderoso de esta configuración es que centraliza en el Directorio Activo la base de datos de usuarios de la red. Los computadores y demás servidores se unen al servidor principal mediante este servicio, lo que potencializa la administración de los recursos y la seguridad de la red, aumentando el nivel de control de la misma.

Una pregunte frecuente que surge es ¿a partir de cuantos computadores en la red se debe instalar un controlador de dominio?, la respuesta es: Microsoft recomienda que sea desde 10 computadores en la red, pero mi recomendación es que a partir del momento en que se cree una red se debe hacer uso de este servicio. Nos hemos encontrado escenarios de 300 – 500 computadores sin un controlador de dominio en su red; en los cuales se posterga la instalación de esta funcionalidad por el impacto que le genera a la operación, sacrificado mucho en administración y seguridad.

Te recomendamos que si tienes una red, configura este servicio desde el inicio, evitando dolores de cabeza más adelante.

8. Gobernanza de las Contraseñas

Es muy normal que en las empresas pequeñas las contraseñas están regadas o fragmentadas en varias personas y no solamente las contraseñas personales, sino también las contraseñas que impactan el negocio. El personal de sistemas gestiona unas, el financiero que posee las tarjetas de crédito autoriza para compras tiene otras, la de contabilidad tiene otras y así sucesivamente.

El problema es cuando una de estas personas sale de la compañía, la cantidad de tiempo y recursos que hay que invertir en recuperar las contraseñas es muy grande, con la agravante que hay veces que no se recuperan, generando sobrecostes, pérdidas de información o en algunos casos he visto empresas que les toca cambiar el dominio de su página web y de sus correos, porque la persona que los gestionó ya no existe (Curiosamente) o porque no los quiere devolver.

Las principales contraseñas que debería tener en el radar un gerente o administrador de un negocio son:

a. Contraseña del dominio de su negocio.

b. Contraseña del hosting contratado para la página Web.

c. Contraseña del administrador de la red.

d. Contraseña del Firewall de red.

e. Contraseña(s) de los dispositivos AP que proveen el wifi.

f. Contraseña del portal de administración del Antivirus.

g. Contraseña administradora del correo electrónico.

h. Contraseñas de usuarios principales de ERP – CRM

i. Contraseña de DVR de las cámaras de seguridad

j. Cientos de contraseñas más

Estas contraseñas deben ser almacenadas en una base de datos centralizada, NO un archivo de Excel con contraseña, hoy en día existen soluciones de administración de contraseñas muy prácticas, tales como KeePass, 1Password, LastPass entre otras. Es de vital importancia tener gestionadas las contraseñas por un programa de estos.

9. Copia de seguridad o backup de la información

En este punto si se rajan muchas empresas, paradójicamente los gerentes o administradores de empresas pequeñas o pymes “suponen” siempre que el de sistemas está haciendo la copia de seguridad de la información y pocas veces auditan que este proceso se está ejecutando bien.

Muchas veces suponen erróneamente que las empresas que les prestan servicio técnico ya tiene incluido el servicio de copia de seguridad, esto hay que dejarlo claro desde el contrato de soporte inicial, así como las responsabilidades, el alcance del servicio, la custodia de la información.

También es muy común que creemos que tenemos toda la información de la empresa respalda, pero muchas veces los usuarios están guardando la información de manera local y no queda en la estrategia de backup de la compañía. Hemos visto de computadores portátiles que se los roban a los empleados de una empresa y esa información no quedaba en el backup, perdiéndose información muy importante para la empresa sin posibilidades de recuperación.

Existen muchos programas para facilitar las copias de seguridad, nosotros descartamos los que supuestamente son gratis porque por lo general presentan muchas fallas, recomendamos especialmente ARCServe, Acronis y Azure Backup.

10. Correo electrónico seguro – No gratis

El correo electrónico es el medio de comunicación principal en las empresas, nos volvimos demasiado dependiente de este, paradójicamente resulta que algunas empresas dedican pocos recursos a este servicio, ya que tienen el paradigma erróneo de que el correo electrónico es un servicio gratis, dado que en algunos servicios de hosting de páginas web el servicio electrónico lo dan como un val agregado; sin embargo, estos servicios son los que más problemas tienen, pues al ser gratis, muchos usuarios van por el mismo canal (dirección IP), por lo que los servicios antispam los clasifica mal de forma errónea, generando problemas de envío y recepción de correo. Lo ideal es que las. Compañías usen servicios de correo robustos, tales como Microsoft 365 o G Suite de Google, ya que actualmente son los mejores proveedores de servicio de correo.

Califica tu empresa 

Revise cuáles de los servicios resumidos en este artículo usted tiene en su empresa y califíquese de la siguiente manera:

1 – 5: Su empresa necesita urgente un diagnóstico de seguridad informática, tiene demasiados puntos débiles y tienen riesgo de ser atacado con posibilidades altas de perder información.

6 – 8: La seguridad informática va por buen camino, trate de reforzar los puntos débiles, ya que estos serán los puntos de entrada de un atacante a su organización.

9 – 10: Te recomendamos que por lo menos cada seis meses revises este test, una buena auditoria hace más fuerte tu seguridad informática.

Somos el área experta en tecnología, seguridad, servicios Cloud e infraestructura de sistemas, que garantiza la continuidad de su negocio.

Síguenos

empresa-de-tecnologia-certificada-en-iso-9001-1 (1)

Todos los derechos reservados ® E-Systems ® 2022

AVISO DE PRIVACIDAD Y PROTECCIÓN DE DATOS

Siendo titular de los datos personales que serán registrados en el presente formulario para los fines de identificación y vinculación en calidad de usuario/Afiliado, manifiesto que OTORGO AUTORIZACIÓN LIBRE, EXPRESA y CONSENTIDA a E-SYSTEMS S.A.S, en adelante “LA EMPRESA” identificada con NIT 811.039.154-7, para el tratamiento de datos personales, recolección, almacenamiento, uso y circulación de Datos con la finalidad ya indicada y las demás que se encuentren en la página web https://www.esystems.com.co/terminos-y-condiciones/ , de acuerdo con las funciones propias de LA EMPRESA y la plataforma E-SYSTEMS S.A.S. Reconozco y acepto que sean tratados los datos personales como son: información personal (nombre y cédula), datos de contacto, teléfonos y correo electrónico, y otros que se encuentran consignados en el presente formulario. Declaro igualmente que he leído, comprendido y acepto los términos y condiciones publicados en la página web, https://www.esystems.com.co/politicas-de-privacidad/ Recuerde que usted podrá ejercer sus derechos a acceder, actualizar, rectificar, suprimir y revocar la autorización a través del correo [email protected] o en la dirección calle 49 # 68-42 Medellín, Antioquia, Colombia.

He leído y acepto las condiciones de privacidad y protección de datos