Hoy en día, la industria de la ciberseguridad se centra mucho más en soluciones y herramientas complicadas. Las empresas siempre buscan mejorar sus medidas de seguridad con las últimas tecnologías. Sin retención, los atacantes suelen nominar las formas más sencillas de atacar. Utilizan el camino más acomodaticio porque funciona mejor. Esta idea sigue la Cortaplumas de Occam, lo que significa que la posibilidad más simple suele ser la mejor.
Los atacantes se dirigen a las personas porque es una de las formas más fáciles de romper las medidas de seguridad. No importa cuán vanguardia sea la tecnología, son las personas las que tienen entrada a ella. La ingeniería social simple utiliza la naturaleza humana para obtener sus objetivos, lo que la convierte en una poderosa útil para los ciberdelincuentes.
Efectividad de los ataques simples en el mundo verdadero
Los métodos simples como el vishing (phishing por voz) o los ataques combinados funcionan proporcionadamente en situaciones de la vida verdadero. Por ejemplo, en una flamante simulación de ataque a un cliente “híbrido”, un correo electrónico de phishing parecía un ticket de soporte interno. Dirigió al objetivo a tachar a un número de teléfono, lo que llevó a obtener información confidencial, como credenciales de inicio de sesión y códigos MFA. Este enfoque fundamental y directo hizo que casi todos los que llamaron al número revelaran la maduro parte de su información corporativa confidencial.
Lo que es aún más sorprendente es que muchas de estas personas proporcionaron sus nombres de sucesor, contraseñas y códigos MFA, con poca o ninguna Perplejidad. Esto resalta no sólo la competencia de un enfoque híbrido, sino que incluso revela la confianza inherente que los empleados depositan en solicitudes que suenan familiares. Cuando los empleados se comprometen a iniciar la señal telefónica, se sienten obligados a cumplir con las solicitudes realizadas durante la señal. Este compromiso percibido hace que sea probable que cumplan con nuevas solicitudes de revelar información durante la duración de la señal.
Las estadísticas respaldan esta tendencia. Según el Documentación de investigaciones de violaciones de datos de Verizon (DBIR) de 2024, el 68% de las filtraciones involucraron un ambiente humano no pillo. Esto demuestra que los métodos básicos siguen siendo una gran amenaza. Estos ataques no necesitan tecnología vanguardia. Más proporcionadamente, influyen en el comportamiento humano, lo que suele ser más sencillo que romper sistemas de redes complejos.
Por qué funcionan las tácticas simples de ingeniería social
Los métodos simples de ingeniería social funcionan porque utilizan desencadenantes psicológicos esencia. Los atacantes suelen utilizar la autoridad o el miedo para engañar a las personas. En el ejemplo precedente, nosotros, los que atendíamos las llamadas, éramos vistos como figuras de autoridad. Las personas que llamaban tenían curiosidad o buscaban ayuda con el supuesto “multo” que habían recibido. Esta autoridad, contiguo con el sentido de aprieto del correo electrónico de phishing, hizo que los empleados actuaran rápidamente sin pensar profundamente en el mensaje. Esta aprieto es un divisor global en los ataques humanos, que provoca errores y potencialmente termina con una violación de la seguridad.
Es más probable que las personas respondan a solicitudes simples y aparentemente legítimas. Confían en sus colegas, personal de apoyo y jefes. Cuando las solicitudes parecen normales, los empleados bajan la retén. Los atacantes utilizan estas tendencias naturales para ceder a información confidencial.
Por otra parte, los atacantes aprovechan la franqueza. Podrían copiar el jerigonza y el tono de cierto que el empleado conoce. Esto hace que la interacción parezca verdadero, aumentando las posibilidades de éxito. Los atacantes pueden utilizar inteligencia de código franco (OSINT) para compilar la información necesaria para esta franqueza. Esto es exactamente lo que hicimos para la simulación de ataque de nuestro cliente.
Construyendo un firewall humano musculoso
Para acogerse contra la ingeniería social, es esencial evaluar y capacitar a todos los empleados. La construcción de un musculoso cortafuegos humano comienza con la educación. Es fundamental enseñar al personal a declarar y replicar a los intentos de ingeniería social informando de toda actividad sospechosa. Las sesiones de capacitación periódicas ayudan a que la seguridad sea importante.
Por otra parte, crear un entorno de apoyo anima a los empleados a participar y instruirse de sus errores sin miedo al castigo. Un enfoque positivo como este conduce a una formación más eficaz y a una cojín fortalecida de empleados.
Los ataques simulados son una útil de formación útil. Al copiar ataques reales, los empleados pueden practicar la identificación y notificación de amenazas. Esta experiencia maña hace que la capacitación sea más efectiva y crea una civilización de seguridad interiormente de la ordenamiento.
Por otra parte, la implementación de políticas y procedimientos claros refuerza las buenas prácticas de seguridad. Los empleados deben enterarse los pasos a seguir cuando encuentren amenazas potenciales. Esta claridad reduce las posibilidades de cometer errores y fortalece la seguridad universal.
Medidas efectivas para contrarrestar la ingeniería social
Incluso cuando las defensas de ciberseguridad se vuelven más complicadas, los atacantes continúan utilizando la simplicidad. Los ataques básicos de ingeniería social siguen siendo una gran amenaza porque tienen como objetivo a personas. Centrarse en las medidas de seguridad humana es esencial para una protección eficaz.
Fortalezca su firewall humano con nuestro Servicio Híbrido, que combina fundamentos de phishing, smishing y vishing. Nuestras simulaciones tienen como objetivo replicar vectores de ataque del mundo verdadero, ayudando a los empleados a instruirse a identificar y replicar a amenazas de ingeniería social. Estas pruebas simuladas, combinadas con capacitación y educación continuas, pueden mejorar la postura de seguridad de una ordenamiento frente a las tácticas más comunes y en crecimiento.
Conozca más sobre nuestro Servicio Híbrido aquí:
https://www.social-engineer.com/managed-services/hybrid-service/
Escrito por:
Carter Zupancich
Analista de Riesgos Humanos en Social-Engineer, LLC
