Cerrar Menú
Cerrar
Buscar
Cree una cuenta
Ingrese o regístrese
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

¿Qué es la Ingeniería Social?

Por:

Ingrese o regístrese acá para seguir este blog.

Seguir este blog

Por: Javier Fernando Klus, MBA, CIA. Colaborador de Auditool

¿Qué es la Ingeniería Social?

Cada vez y de forma más recurrente en este pandemia hemos recibido algún mail de una persona supuestamente conocida diciéndonos que tenemos que ingresar a una determinada dirección o ver una foto porque es muy importante, hemos visto a los bancos decirnos que nuestra clave del banco está por expirar, hemos visto a nuestro WhatsApp decirnos que si queremos sacar un turno para vacunarnos debemos ingresar a un determinado link, hemos recibido llamados telefónicos diciéndonos que es importante que cambiemos nuestra clave de cajero electrónica porque el mismo está por expirar y no podremos nunca más sacar nuestro dinero. Nos han dicho que una empresa de zapatillas por la pandemia está regalando zapatillas y que si ingresamos a un link seremos los únicos 1000 afortunados que tendremos ese privilegio.

Todas estas situaciones ficticias han ocurrido, no son simulaciones, y todas ellas tiene una característica particular, explotan alguna vulnerabilidad nuestra, sea curiosidad, sea codicia, sea desconocimiento, sea inseguridad. Lamentablemente son explotadas en perjuicio nuestro.

Un estudio realizado en conjunto por Marsh y Microsoft de Marzo del 2021 señala algunos datos interesantes:

  • 31% de las empresas encuestadas en Latinoamérica han percibido un aumento en los ataques cibernéticos a partir de la pandemia, siendo la industria bancaria la más afectada.
  • Sólo en el 27% de las empresas que implementaron trabajo remoto, la fuerza laboral trabaja exclusivamente con dispositivos de la organización

Como resumen del artículo se establece que la Ingeniería Social o Pishing es el ataque que más aumentó en Latinoamérica a raíz de la Pandemia.

Por lo tanto, para entender este fenómeno primero hagamos una puesta en común y definamos lo que entendemos por Ingeniería Social. Se define como la técnica de manipulación dirigida a hacer uso del error humano con la intención de obtener la información de cuentas privadas.

Esta definición implica un punto muy importante para las organizaciones, el eslabón más débil dentro del esquema de seguridad de las organizaciones somos nosotros mismos, podemos tener implementados mecanismos de seguridad, firewall, antivirus, pero la primera puerta de entrada a una amenaza en la ciberseguridad son nuestros empleados.

Por lo tanto, la primera solución en un esquema de Seguridad informática es la capacitación de nuestros empleados.

En este artículo de la revista Business Insider podemos ver cómo empezó el mayor ataque y robo de información y dinero en Twitter:

El histórico hackeo a Twitter pudo empezar con una simple llamada | Business Insider España

Y este ataque no se inició con un sofisticado virus, o hackers detrás de sus computadoras violando los firewalls de la empresa, simplemente fue una llamada de un adolescente que logró engañar a un empleado de la empresa, a partir de ahí, la historia ya la sabemos: cuentas de famosos diciendo que si depositaban bitcoins en determinados enlaces establecidos ellos se comprometían a duplicar el dinero… y si lo dice Elon Musk debe ser cierto!!.

Es interesante pues en este ataque como muchos otros se utilizó tecnología, pero como dice el artículo “el punto de inflexión llegó cuando uno de los jóvenes llamó por teléfono a uno de los empleados de la red social. En la llamada se habría hecho pasar por alguien del departamento de soporte técnico de la compañía. De este modo, el ciberdelincuente pudo conseguir las claves del trabajador para, de esta forma, conseguir entrar en las herramientas internas de la red social

Por lo tanto, podemos invertir en tecnología, pero si no invertimos en capacitación de nuestros empleados ellos son el eslabón más débil de la cadena, por esta razón, nosotros como auditores debemos tener en cuenta esta situación y determinar si la empresa que estamos auditando cuenta con programas de capacitación en seguridad informática. Por ejemplo, si nuestros empleados ante dudas tienen una línea directa de consulta para que puedan realizar denuncias.  Lo recomendable es que también pongamos a prueba este mecanismo simulando un ataque de Ingeniería Social y verificar cómo los empleados se comportan ante el mismo y de esta forma corregir lo que deba ser corregido.

En resumen, es importante saber que en el mundo de la ciberseguridad nuestros empleados son el eslabón más débil y que toda estrategia de defensa debe considerarlos en primer término.

 

Javier Fernando Klus, MBA, CIA.

Javier Klus fue gerente de auditoría en PwC Argentina con más de 20 años de experiencia profesional trabajando en la evaluación de entornos de control interno para empresas líderes en la industria energética. Se ha especializado en la evaluación de riesgos y controles y en el diseño e implementación de controles para el ciclo de adquisiciones. También ha liderado compromisos importantes en las áreas de revisiones de sistemas de implementación previas y posteriores; diseño e implementación de políticas y procedimientos para el área financiera, evaluación de riesgos y control de ERP y proyectos de preparación de Sarbanes Oxley. Especialidades:   Auditoría de Sistemas y Procesos, Gestión de Proyectos, Auditoría Interna, Cumplimiento SARBOX y AntiFraude.

(Visited 211 times, 1 visits today)

Etiquetas

PERFIL
Profile image
Auditool.org Buenas prácticas de auditoría y control interno en las organizaciones

Auditool.org, es una red de conocimientos especializada en temas de auditoría y control interno, creada para permitir la transferencia de conocimiento de buenas prácticas a profesionales que laboran en estas áreas.

    Siga a este bloguero en sus redes sociales:

Más posts de este Blog

Ver más

Lo más leído en Blogs

1

¿Cuáles personas naturales deben entregar...

Lo primero que debemos saber es que la información exógena es el(...)

2

Nos llega invitación de la SMP de Medellín al...

Es fin de semana, así que en vez de hablar de temas(...)

3

Empresas inmortales, sí… pero modelos de...

En un entorno cada vez más rápido, más volátil y más incontrolable,(...)

0 Comentarios
Ingrese aquí para que pueda comentar este post
Reglamento de comentarios

PORTAFOLIO no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto por comentario.
Acepto
¿Encontró un error?

Para PORTAFOLIO las observaciones sobre su contenido son importantes. Permítanos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de nuestra compañía.


El reporte de error ha sido enviado con éxito.

Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Su calificación ha sido registrada.
Su participación ya fue registrada.
Haga su reporte
Cerrar
Debe escribir su reporte.
Su reporte ha sido enviado con éxito.
Debe ser un usuario registrado para poder reportar este comentario. Cerrar