¿Qué es la Ingeniería Social?

Por: Javier Fernando Klus, MBA, CIA. Colaborador de Auditool

¿Qué es la Ingeniería Social?

Cada vez y de forma más recurrente en este pandemia hemos recibido algún mail de una persona supuestamente conocida diciéndonos que tenemos que ingresar a una determinada dirección o ver una foto porque es muy importante, hemos visto a los bancos decirnos que nuestra clave del banco está por expirar, hemos visto a nuestro WhatsApp decirnos que si queremos sacar un turno para vacunarnos debemos ingresar a un determinado link, hemos recibido llamados telefónicos diciéndonos que es importante que cambiemos nuestra clave de cajero electrónica porque el mismo está por expirar y no podremos nunca más sacar nuestro dinero. Nos han dicho que una empresa de zapatillas por la pandemia está regalando zapatillas y que si ingresamos a un link seremos los únicos 1000 afortunados que tendremos ese privilegio.

Todas estas situaciones ficticias han ocurrido, no son simulaciones, y todas ellas tiene una característica particular, explotan alguna vulnerabilidad nuestra, sea curiosidad, sea codicia, sea desconocimiento, sea inseguridad. Lamentablemente son explotadas en perjuicio nuestro.

Un estudio realizado en conjunto por Marsh y Microsoft de Marzo del 2021 señala algunos datos interesantes:

• 31% de las empresas encuestadas en Latinoamérica han percibido un aumento en los ataques cibernéticos a partir de la pandemia, siendo la industria bancaria la más afectada.

• Sólo en el 27% de las empresas que implementaron trabajo remoto, la fuerza laboral trabaja exclusivamente con dispositivos de la organización

Como resumen del artículo se establece que la Ingeniería Social o Pishing es el ataque que más aumentó en Latinoamérica a raíz de la Pandemia.

Por lo tanto, para entender este fenómeno primero hagamos una puesta en común y definamos lo que entendemos por Ingeniería Social. Se define como la técnica de manipulación dirigida a hacer uso del error humano con la intención de obtener la información de cuentas privadas.

Esta definición implica un punto muy importante para las organizaciones, el eslabón más débil dentro del esquema de seguridad de las organizaciones somos nosotros mismos, podemos tener implementados mecanismos de seguridad, firewall, antivirus, pero la primera puerta de entrada a una amenaza en la ciberseguridad son nuestros empleados.

Por lo tanto, la primera solución en un esquema de Seguridad informática es la capacitación de nuestros empleados.

En este artículo de la revista Business Insider podemos ver cómo empezó el mayor ataque y robo de información y dinero en Twitter:

El histórico hackeo a Twitter pudo empezar con una simple llamada | Business Insider España

Y este ataque no se inició con un sofisticado virus, o hackers detrás de sus computadoras violando los firewalls de la empresa, simplemente fue una llamada de un adolescente que logró engañar a un empleado de la empresa, a partir de ahí, la historia ya la sabemos: cuentas de famosos diciendo que si depositaban bitcoins en determinados enlaces establecidos ellos se comprometían a duplicar el dinero… y si lo dice Elon Musk debe ser cierto!!.

Es interesante pues en este ataque como muchos otros se utilizó tecnología, pero como dice el artículo “el punto de inflexión llegó cuando uno de los jóvenes llamó por teléfono a uno de los empleados de la red social. En la llamada se habría hecho pasar por alguien del departamento de soporte técnico de la compañía. De este modo, el ciberdelincuente pudo conseguir las claves del trabajador para, de esta forma, conseguir entrar en las herramientas internas de la red social”

Por lo tanto, podemos invertir en tecnología, pero si no invertimos en capacitación de nuestros empleados ellos son el eslabón más débil de la cadena, por esta razón, nosotros como auditores debemos tener en cuenta esta situación y determinar si la empresa que estamos auditando cuenta con programas de capacitación en seguridad informática. Por ejemplo, si nuestros empleados ante dudas tienen una línea directa de consulta para que puedan realizar denuncias.  Lo recomendable es que también pongamos a prueba este mecanismo simulando un ataque de Ingeniería Social y verificar cómo los empleados se comportan ante el mismo y de esta forma corregir lo que deba ser corregido.

En resumen, es importante saber que en el mundo de la ciberseguridad nuestros empleados son el eslabón más débil y que toda estrategia de defensa debe considerarlos en primer término.

 

Javier Fernando Klus, MBA, CIA.

Javier Klus fue gerente de auditoría en PwC Argentina con más de 20 años de experiencia profesional trabajando en la evaluación de entornos de control interno para empresas líderes en la industria energética. Se ha especializado en la evaluación de riesgos y controles y en el diseño e implementación de controles para el ciclo de adquisiciones. También ha liderado compromisos importantes en las áreas de revisiones de sistemas de implementación previas y posteriores; diseño e implementación de políticas y procedimientos para el área financiera, evaluación de riesgos y control de ERP y proyectos de preparación de Sarbanes Oxley. Especialidades:   Auditoría de Sistemas y Procesos, Gestión de Proyectos, Auditoría Interna, Cumplimiento SARBOX y AntiFraude.