Estrategia de ciberseguridad contra las técnicas de manipulación personal.
Los ciberdelincuentes utilizan diferentes técnicas de manipulación personal, conocidas como ingeniería social, para obtener información confidencial. El modelo de «no confiar en nada y verificar todo», la microsegmentación y el control de accesos multifactor biométrico, reducirían los impactos económicos y reputacionales de los ataques cibernéticos.
El principal ciberataque de ingeniería social es el Phishing, que en el segundo trimestre de 2022 alcanzó 1,097,811 de incidentes a nivel mundial.
Las soluciones de seguridad informática basadas en una arquitectura de Zero Trust, microsegmentación de grupos y gestión de accesos privilegiados (PAM) con biometría multifactor reducirían, en gran medida, los impactos causados por brechas de seguridad como el compromiso de credenciales, muchas veces obtenidas mediante ingeniería social, afirma IQSEC, líder en Ciberseguridad e Identidad Digital.
Debilidades personales: la puerta de entrada de los ciberdelincuentes
Tras el aumento de ciberataques basados en el aprovechamiento de las debilidades personales para obtener información privilegiada a fin de vulnerar los controles de seguridad, el equipo de expertos de IQSEC realizó un Resumen Técnico del ciberataque contra Uber, donde detalla las 5 principales actividades maliciosas, con una propuesta de soluciones de ciberseguridad que hubieran contrarrestado los daños económicos y reputacionales.
Por ello, insta a las organizaciones a implementar una estrategia de protección bajo el principio de Confianza Cero, segmentando las zonas internas, gobernar el acceso a la red y establecer Biometría multifactor para el control de permisos privilegiados.
“El modelo de «no confiar en nada y verificar todo» en conjunto con la división de segmentos para crear zonas seguras y la autenticación multifactor con biometría son soluciones que dan a las organizaciones la capacidad de minimizar la superficie de intrusión y, por ende, evitar que la información privilegiada sea comprometida con lo que se reduce la posibilidad de un impacto económico y reputacional”, explicó Manuel Moreno, Chief Security Sales Enablement Officer de IQSEC.
Técnicas de manipulación personal: Ingeniería social. El caso Uber
Este principio de “desconfianza” responde a la necesidad de establecer capas de seguridad, incluso para empleados, considerando que los ciberdelincuentes están utilizando diferentes técnicas de manipulación personal, conocidas como ingeniería social, para obtener información confidencial.
Ese fue el caso de la empresa de transporte por aplicación, en el cual un ciberdelincuente se hizo pasar por un empleado, logrando convencer a un trabajador de esa compañía, para
que le proporcionara sus credenciales de acceso a la red corporativa (VPN), lo que vulneró datos confidenciales.
“Las tácticas de ingeniería social superan la tecnología. Literalmente los ciberdelincuentes les dan la vuelta a las sofisticadas fortalezas tecnológicas para entrar por la puerta principal con llave de mano. Por ello, se debe limitar las superficies y los accesos con base en roles de seguridad”, recalcó Moreno Liy, experto en ciberseguridad.
Los ataques más comunes
Los ataques de ingeniería social más comunes son Pharming, Tabnabbing, Scareware, Business Email Compromise, Spam, Tailgating, Baiting, Quid pro quo, Smishing, Vishing y el conocido Phishing, que durante el segundo trimestre de 2022 alcanzó un récord histórico con 1,097,811 incidentes a nivel mundial, según datos del Grupo de Trabajo Anti Phishing (APWG, por sus siglas en inglés).
El APWG refiere que los foros más explotados son las redes sociales, donde crecieron 47% los ciberataques tipo phishing. También hubo un aumento en el fraude basado en teléfonos móviles como lo son el smishing y el vishing.
Ante este panorama, IQSEC es tu aliado idóneo con soluciones como ZTNA, Zero Trust, Microsegmentación y PAM + FIDO Biometric MFA, entre otras que se incluyen en el Resumen Técnico “UBER CyberAttack Exposed: IQSEC” y que dan a las organizaciones capacidades de acceso seguro a fin de evitar los riesgos de un ciberataque.