Empresas mexicanas han sido víctimas de ataques por ingeniería social, un 41% por suplantación de identidad de proveedores y personas en los correos electrónicos corporativos y 32% de phishing, según el estudio El impacto de los delitos financieros, prevención, detección y respuesta realizado por KPMG en México.
Hace unos días, el Instituto Federal de Telecomunicaciones (IFT) alertó sobre un correo electrónico falso que instaba a los usuarios a dar clic en enlaces para compartir datos personales derivado de una cobranza inexistente.
Y el mes pasado, algunas cuentas verificadas de Twitter fueron blanco de un incidente de ciberseguridad.
Las cuentas de Twitter de personalidades como Elon Musk, Jeff Bezos, Bill Gates, Barak Obama y Joe Biden, fueron el blanco de un mensaje que invitaba a las personas a donar para hacer frente al Covid-19.
Después de esto, Twitter explicó que la red social había detectado lo que creen que es un ataque de ingeniería social coordinado, "por personas que exitosamente atacaron a nuestros empleados con accesos internos a las herramientas del sistema".
¿Qué es la Ingeniería Social?
La ingeniería social es la manipulación psicológica de la mente de las personas en un intento de influenciarlas a cambio de que divulguen información confidencial.
El atacante trabaja para ganar la confianza del usuario y así lograr acceder a la información o a un sistema, esto lo hacen proporcionando información falsa, explica Avesta Hojjati, Head de Investigación y Desarrollo en DigiCert.
Los ataques de personas que involucran datos empresariales involucran interacciones entre dos personas con el objetivo de obtener información sensible o realizar actos maliciosos contra las empresas.
Considerando la declaración de Twitter, en este tipo de ataques, los actos del perpetrador serán los de un usuario validado en el sistema o un empleado.
"Así como al atacante le es posible obtener información valiosa de las computadoras de escritorio, las bandejas de reciclaje y sistemas de las PC, el atacante puede hacerse pasar por un empleado de del servicio de ayuda, un contratista, un técnico de soporte o algún tercero con tal de ganar acceso sencillo a la información que están buscando", mencionó Hojjati.
Los atacantes también pueden pasar como personal autorizado con acceso completo al sistema o a la información que no está disponible para ellos por alguna razón.
"El atacante (Ingeniero Social) pasa como un usuario autorizado y alienta a la víctima para compartir información sensible que le permita invadir algún sistema, accediendo a datos o poder burlar procesos de negocios", destaca el directivo de DigiCert.