El arte y la ciencia de manipular el comportamiento humano se llama ingeniería social . En un escenario de ingeniería social, el objetivo es lograr que el objetivo realice algún tipo de acción, desde comprar un boleto hasta comenzar una nueva dieta. Por ejemplo, todos los anuncios son una forma de ingeniería social. Los anunciantes tienen el objetivo de atraer a sus destinatarios, los consumidores, a que compren sus productos, como una determinada marca de cereales. A veces, esta técnica se puede utilizar para buenos propósitos, como animar a las personas a reciclar. Pero los ciberdelincuentes no son tan altruistas. Utilizan la ingeniería social para atraer a sus víctimas a que emprendan una acción que dañe la seguridad de su empresa y ayude a los malos a lograr sus objetivos, y en un año de ciberdelitos récord., están teniendo un éxito histórico. Obtenga información sobre la ingeniería social para comprender realmente cómo evitar que utilicen con éxito uno de sus esquemas en su negocio.  

La gran mayoría de los delitos cibernéticos contienen un elemento de ingeniería social. Eso es lo que hace que estos esquemas sean difíciles de detectar y difíciles de resistir. Los ciberdelincuentes quieren evocar un sentimiento en ti que te incite a emprender una acción, y los inteligentes son extremadamente inteligentes. En realidad, hay dos sentimientos principales de los que se aprovechan: el miedo y la confianza. Los malos actores necesitan atraer a su objetivo para que haga clic en su enlace o descargue su archivo adjunto, por lo que usan trucos como la suplantación de identidad para engañarlo y que compre sus mentiras haciéndose pasar por fuentes confiables. También sacarán provecho del caos y la incertidumbre. Esa es una gran razón para el auge masivo de los delitos cibernéticos en 2020: una gran cantidad de objetivos que estaban desconcertados, asustados y estresados ​​crearon un entorno rico en objetivos.

Los ciberdelincuentes se han vuelto cada vez más sofisticados en el diseño y la entrega de su cebo, utilizando  extensos recursos de la web oscura  para crear señuelos de spear phishing hechos a medida para sus posibles víctimas. Las estafas de ingeniería social que emplean spear phishing pueden ser tan simples como un correo electrónico falso de una tienda pidiéndole que cambie la contraseña de su cuenta en línea y tan complejas como imitar la identidad de un ejecutivo de manera creíble. También es una forma probada y verdadera de engañar a las víctimas para que descarguen ransomware. Es rápido, fácil y rentable: los ataques de ransomware diseñados socialmente ya han aumentado un 40% año tras año, y eso es comparar 2021 con las cifras récord de delitos cibernéticos de 2020. Estafas como estas solo se volverán más influyentes en el futuro a medida que el conjunto de información disponible para los malos actores crezca en la web oscura. Solo en 2020,   se agregaron 22 mil millones de registros más.  

Estos son algunos ejemplos de ingeniería social en lo que respecta a la ciberseguridad: 

• Atraer a una víctima a un sitio web falso para “actualizar su contraseña” cuando realmente se la están entregando a los ciberdelincuentes. 
• Convencer a las víctimas de que descarguen un documento que describe una nueva política empresarial que en realidad es una bomba de ransomware. 
• Engatusar a una víctima para que envíe información confidencial a los delincuentes pretendiendo ser un ejecutivo de la organización objetivo. 

Además, los ciberdelincuentes no son las únicas personas que realizan la ingeniería social en muchos casos, ni son las únicas influencias. Cultura de ciberseguridad, política de la empresa, miedo, estrés, agotamiento: todos estos factores combinados pueden generar circunstancias que pueden  hacer que los empleados tomen ciertas medidas en  torno a la ciberseguridad. 

Eche un vistazo a estas estadísticas para ver la imagen real de esta amenaza. 

• El 98%  de los ciberataques se basan en la ingeniería social. 
• El 43%  de los profesionales de TI afirman que la ingeniería social se ha centrado en ellos durante el último año. 
• El 45%  de los empleados hacen clic en los correos electrónicos que consideran sospechosos “por si acaso es importante”. 
• El 47%  de los empleados mencionaron la distracción como el factor principal en su fracaso para detectar los intentos de phishing. 
• En promedio,  los ataques de ingeniería social cuestan $ 130,000   
• El   tipo número uno de ataque de ingeniería social es el phishing. 
• IC3 informa que el compromiso del correo electrónico empresarial diseñado socialmente   es el delito cibernético más costoso.  
• Los ciberataques de ingeniería social tienen una  efectividad inferior al  80% . 
• Se estima que entre el  70 y el 90%  de las infracciones son causadas por ingeniería social. 
• El 45%  de los empleados no reportan mensajes sospechosos por temor a meterse en problemas. 

Crear una  cultura de ciberseguridad saludable  es esencial para defender a las empresas de las consecuencias de la ingeniería social ciberdelincuente. Al hacer de la ciberseguridad una prioridad y  capacitar a todos para que reconozcan las amenazas , está logrando que todos los empleados se sientan parte del equipo de seguridad también. Eso es lo que hace que el entrenamiento de resistencia al phishing sea tan vital. Si solo un empleado detecta y detiene un correo electrónico de phishing porque está invertido en mantener una defensa sólida, eso puede ahorrarle a la empresa millones de dólares, así como innumerables dolores de cabeza para recuperarse de un ciberataque. 

Fuente: ID Agent.