Auditoría de ingeniería social

Aunque tus sistemas sean seguros, cuando el usuario es el eslabón débil… cae todo

¿En qué consiste un ataque de Ingeniería Social?

Los ataques de Ingeniería Social manipulan y engañan a los empleados para obtener información confidencial con la que vulnerar la seguridad de la empresa.

Las personas, el eslabón débil de la ciberseguridad.

El eslabón más débil de la organización suele ser el usuario, los atacantes lo saben y suelen engañar a los usuarios para apoderarse de información sensible mediante acciones que pueden parecer normales de la empresa. Sin embargo, realmente están orientadas a crear una vulnerabilidad.

Mediante una auditoría de ingeniería social, tu organización podrá no solo tener un informe de su actual estado en cuanto a brechas de este tipo, sino que también contará con formación específica para concienciar a los usuarios sobre los riesgos existentes.

%

De los ciberataques que tienen éxito ocurren gracias a descuidos o errores humanos.

Casos reales de ataques mediante Ingeniería Social en distintos sectores

Banca

En 2007 un ladrón logró robar 21 millones de euros en diamantes de un banco de Bélgica utilizando únicamente ingeniería social. Creó una cuenta en el banco con un pasaporte robado, y se ganó la confianza de los empleados durante un año haciendose pasar por un empresario de éxito. Visitaba frecuentemente el banco y se fue ganando gradualmente la confianza de los empleados (con pequeños detalles como cajas de bombones), hasta hacerse amigo del personal.

Dado que los trabajadores pensaban que el estafador era un cliente especial y además tenían amistad con él, le dieron acceso a las bóvedas donde se encontraban los diamantes, oportunidad que el ladrón no desaprovechó.

Cabe destacar que el área robada había sido equipada con un sistema de seguridad que costaba más de 1 millón de euros.

Banca

En 2007 un ladrón logró robar 21 millones de euros en diamantes de un banco de Bélgica utilizando únicamente ingeniería social. Creó una cuenta en el banco con un pasaporte robado, y se ganó la confianza de los empleados durante un año haciéndose pasar por un empresario de éxito. Visitaba frecuentemente el banco y se fue ganando gradualmente la confianza de los empleados (con pequeños detalles como cajas de bombones), hasta hacerse amigo del personal.

Dado que los trabajadores pensaban que el estafador era un cliente especial y además tenían amistad con él, le dieron acceso a las bóvedas donde se encontraban los diamantes, oportunidad que el ladrón no desaprovechó.

Cabe destacar que el área robada había sido equipada con un sistema de seguridad que costaba más de 1 millón de euros.

Caso de ingeniería social en banco

Prensa

En 2013 fue hackeada la cuenta de Twitter de Associeted Press, una cuenta notable por su alto impacto en Estados Unidos con más de 1,9 millones de seguidores, y se publicó un tweet donde se indicaba que la casa blanca había sido bombardeada y el presidente Obama resultó herido en la explosión.

Ese tweet solo estuvo activo durante 3 minutos, sin embargo en ese tiempo la bolsa de Wall Street cayó 150 puntos, alrededor de 136 mil millones antes de que se recuperara cerca de su nivel anterior. Este correo electrónico podría haber tenido un efecto devastador en la economía de Estados Unidos, y gestionado adecuadamente, podría haber logrado que los atacantes obtuvieran una gran cantidad de dinero a través de operaciones a corto plazo en el mercado de valores.

El ataque se hizo enviando un correo electrónico de spear phishing enfocado a los empleados de Associated Press, como si proviniera de otros empleados de la misma empresa, aunque en realidad el ataque se envió desde un grupo denominado Ejército Electrónico Sirio. Dentro del correo el signo de que era un correo de phising fue el hecho de que el nombre del remitente del correo no coincidía con el nombre que aparecía en la firma del mail.

Prensa

En 2013 fue hackeada la cuenta de Twitter de Associeted Press, una cuenta notable por su alto impacto en Estados Unidos con más de 1,9 millones de seguidores, y se publicó un tweet donde se indicaba que la casa blanca había sido bombardeada y el presidente Obama resultó herido en la explosión.

Ese tweet solo estuvo activo durante 3 minutos, sin embargo en ese tiempo la bolsa de Wall Street cayó 150 puntos, alrededor de 136 mil millones antes de que se recuperara cerca de su nivel anterior. Este correo electrónico podría haber tenido un efecto devastador en la economía de Estados Unidos, y gestionado adecuadamente, podría haber logrado que los atacantes obtuvieran una gran cantidad de dinero a través de operaciones a corto plazo en el mercado de valores.

El ataque se hizo enviando un correo electrónico de spear phishing enfocado a los empleados de Associated Press, como si proviniera de otros empleados de la misma empresa, aunque en realidad el ataque se envió desde un grupo denominado Ejército Electrónico Sirio. Dentro del correo el signo de que era un correo de phising fue el hecho de que el nombre del remitente del correo no coincidía con el nombre que aparecía en la firma del mail.

Caso de ingeniería social en prensa

Retail

En 2013 un joven de 17 años fue despedido de su trabajo en Walmart después de robar dinero. Tras esto y aprovechando que todavía tenía el uniforme de la empresa, fue a otras 3 ubicaciones de Walmart y robó otros 30.000$.

Esto lo consiguió simplemente entrando a las tiendas con confianza, vestido con el uniforme de Walmat, y alegando que estaba llevando a cabo un inventario de las tiendas antes de que los gerentes generales realizaran una inspección tras las vacaciones. Los empleados de las tiendas creyeron su historia y le otorgaron acceso a las áreas restringidas que necesitaba, en algunas ocasiones el gerente de la tienda incluso le dio un abrazo de agradecimiento, aunque esa opinión cambió al darse cuenta de lo que en realidad había hecho el joven.

Retail

En 2013 un joven de 17 años fue despedido de su trabajo en Walmart después de robar dinero. Tras esto y aprovechando que todavía tenía el uniforme de la empresa, fue a otras 3 ubicaciones de Walmart y robó otros 30.000$.

Esto lo consiguió simplemente entrando a las tiendas con confianza, vestido con el uniforme de Walmat, y alegando que estaba llevando a cabo un inventario de las tiendas antes de que los gerentes generales realizaran una inspección tras las vacaciones. Los empleados de las tiendas creyeron su historia y le otorgaron acceso a las áreas restringidas que necesitaba, en algunas ocasiones el gerente de la tienda incluso le dio un abrazo de agradecimiento, aunque esa opinión cambió al darse cuenta de lo que en realidad había hecho el joven.

Caso de ingeniería social en Retail

Software

En 2013 la empresa de software Bit9 fue hackeada mediante la táctica “watering hole attack”, que consiste en infectar sitios web que es probable que visite el objetivo, y esperar hasta que su malware infecte con éxito un dispositivo de esa empresa. Por ejemplo, en este caso el atacante podría haber infectado un sitio web como Stack Overflow, que los programadores visitan con frecuencia para hacer o responder preguntas relacionadas con programación.

Como resultado del ataque de Bit9, los ciberdelincuentes lograron robar los certificados utilizados por Bit9 para la firma del código, lo que les permitió crear malware que pareciera un software legítimo desarrollado por Bit9, y atacar a las organizaciones que usan y confían en software firmado por Bit9.

Software

En 2013 la empresa de software Bit9 fue hackeada mediante la táctica “watering hole attack”, que consiste en infectar sitios web que es probable que visite el objetivo, y esperar hasta que su malware infecte con éxito un dispositivo de esa empresa. Por ejemplo, en este caso el atacante podría haber infectado un sitio web como Stack Overflow, que los programadores visitan con frecuencia para hacer o responder preguntas relacionadas con programación.

Como resultado del ataque de Bit9, los ciberdelincuentes lograron robar los certificados utilizados por Bit9 para la firma del código, lo que les permitió crear malware que pareciera un software legítimo desarrollado por Bit9, y atacar a las organizaciones que usan y confían en software firmado por Bit9.

Caso de ingeniería social en empresa de software

Cine

En 2014 Sony pictures es estaba preparando para lanzar la películo “The Interview”, una comedia sobre dos hombres que se entrenan para asesinar al líder de Corea del Norte. Como respuesta Corea del Norte amenazó con ataques terroristas contra salas de cine y supuestamente pirateó las redes informáticas de Sony Pictures (aunque Corea del Norte negó su implicación).

El ciberataque comenzó con un correo electrónico de phishing haciéndose pasar por Apple a varios ejecutivos de Sony, donde se solicitaba que verificaran sus credenciales. Usando los perfiles de Linkedin, los atacantes determinaron sus credenciales de inicio de sesión probables para la red de Sony, el identificaron al menos un ejecutivo que usaba la misma contraseña para sus cuentas de Apple y Sony. Con esas credenciales los credenciales lograron robar 100 terabytes de información confidencial de la empresa y los empleados.

Las principales cadenas de cines de EE.UU. suspendieron la exhibición de la película tras las amenazas vertidas por los ciberdelincuentes contra las salas que fueran a exhibir la película, y Sony Pictures suspendió el estreno de la película.

Cine

En 2014 Sony pictures es estaba preparando para lanzar la película “The Interview”, una comedia sobre dos hombres que se entrenan para asesinar al líder de Corea del Norte. Como respuesta Corea del Norte amenazó con ataques terroristas contra salas de cine y supuestamente pirateó las redes informáticas de Sony Pictures (aunque Corea del Norte negó su implicación).

El ciberataque comenzó con un correo electrónico de phishing haciéndose pasar por Apple a varios ejecutivos de Sony, donde se solicitaba que verificaran sus credenciales. Usando los perfiles de Linkedin, los atacantes determinaron sus credenciales de inicio de sesión probables para la red de Sony, el identificaron al menos un ejecutivo que usaba la misma contraseña para sus cuentas de Apple y Sony. Con esas credenciales los credenciales lograron robar 100 terabytes de información confidencial de la empresa y los empleados.

Las principales cadenas de cines de EE.UU. suspendieron la exhibición de la película tras las amenazas vertidas por los ciberdelincuentes contra las salas que fueran a exhibir la película, y Sony Pictures suspendió el estreno de la película.

 

Caso de ingeniería social en cine

Política

En 2016, durante las elecciones presidenciales, una variedad de sitios filtró más de 150.000 correos electrónicos robados de 12 empleados de la campaña de Hillary Clinton.

Esto se consiguió gracias a un correo de spear phishing donde unos ciberdelincuentes rusos enviaban un correo que parecía ser de Google, advirtiendo de una actividad inusual en sus cuentas de correo, e invitando al destinatario a hacer clic en un enlace para cambiar la contraseña.

Una vez los atacantes tenían las contraseñas correctas, tenían acceso a las cuentas de correo de sus objetivos, lo que les permitía descargar y filtrar miles de correos electrónicos que contenían información sensible a la campaña de Clinton.

Política

En 2016, durante las elecciones presidenciales, una variedad de sitios filtró más de 150.000 correos electrónicos robados de 12 empleados de la campaña de Hillary Clinton.

Esto se consiguió gracias a un correo de spear phishing donde unos ciberdelincuentes rusos enviaban un correo que parecía ser de Google, advirtiendo de una actividad inusual en sus cuentas de correo, e invitando al destinatario a hacer clic en un enlace para cambiar la contraseña.

Una vez los atacantes tenían las contraseñas correctas, tenían acceso a las cuentas de correo de sus objetivos, lo que les permitía descargar y filtrar miles de correos electrónicos que contenían información sensible a la campaña de Clinton.

Caso de ingeniería social en política

Existen dos tipos de empresas: las que han sido hackeadas y las que aún no saben que fueron hackeadas.

John Chambers

Realizar auditorías de ciberseguridad de forma periódica es imprescindible para evitar pérdidas de información, económicas, y de reputación de marca.

Muchas empresas tienen la creencia un antivirus o Firewall les protege suficiente, ya que los ciberdelincuentes nunca les han atacado específicamente y nunca lo harán porque no son interesantes para estos, pero la realidad es que todas las empresas pueden ser víctimas de ciberataques, y en ocasiones incluso lo han sido sin que la empresa llegue a ser consciente de ello.

Realizando una auditoría de ingeniería social en tu empresa no sólo lograrás detectar y entender las vulnerabilidades, sino también cómo solucionar dichas vulnerabilidades, una priorización de éstas dependiendo del nivel de criticidad, y recomendaciones en las políticas de seguridad.

s

¡Cuidado! Las pequeñas empresas también reciben Ciberataques.

%

De los ataques están dirigidos a PYMES.

¿Qué consigo realizando una auditoría de ingeniería social?

 

✅ Identificar vulnerabilidades en las personas de tu organización.

✅ Instrucciones para resolver las vulnerabilidades.

✅ Conocimiento de la situación de riesgo de la empresa.

✅ Conservar la confidencialidad de los datos.

✅ Protección frente a la pérdida y filtración de información.

✅ Aumento de la seguridad en los accesos a los recursos.

Contacta con un Especialista en Auditoría de Ingeniería Social

Otros tipos de Auditorías

Pentest

Un pentest consiste en una auditoría de seguridad informática en la que se ataca atacando a los sistemas de la empresa por las distintas brechas detectadas, analizando hasta dónde podría acceder un atacante real.

Auditoría de Código Fuente

En una Auditoría de Código Fuente evaluamos el grado de seguridad del código fuente de las aplicaciones utilizadas o desarrolladas por su empresa en busca de vulnerabilidades que podrían ser explotadas por los atacantes.

Auditoría Wifi

Esta auditoría analiza las posibles vulnerabilidades de las redes wifi de la empresa, ya que a través de esta, si no está protegida correctamente se se podría acceder a datos sensibles de la empresa y de los clientes.

Preguntas frecuentes sobre auditorías de ingeniería social

¿Qué consecuencias puede tener un ataque de ingeniería social?

Por supuesto, un ataque de ingeniería social puede tener consecuencias económinas para la empresa, pero además también puede traer consigo muchas consecuencias adicionales como robo de información confidencial, pérdida de clientes, daño a la reputación de la marca, etc.

¿Es peligroso realizar una auditoría de ingeniería social?

La auditoría se realiza siempre de forma controlada por lo que en ningún caso supone un peligro para el cliente.

¿Cuánto cuesta realizar una auditoría?

El precio varía dependiendo de cada cliente y los presupuestos son personalizados, ya que la situación en cada negocio puede ser muy distinta. No supone el mismo coste para un pequeño comercio que para una gran empresa. Si quieres obtener una estimación sin compromiso del precio que puede suponer para tu empresa puedes contactar con nuestros especialistas.

¿Es compatible realizar una auditoría de ingeniería social con otros tipos de auditorías?

Sí, es compatible y además es lo más recomentado, dado que de esta forma lograrás obtener un análisis totalmente completo de tu empresa.

Sí se encuentran vulnerabilidades, ¿será pública esa información?

No, Sofistic siempre garantiza la confidencialidad de los datos y se tratan con rigurosas políticas de privacidad, por lo que sólo el cliente podrá disponer de los datos obtenidos en la auditoría.

Tras realizar una Auditoría de Ingeniería Social, ¿la empresa está totalmente protegida contra futuras amenazas?

Tras la auditoría de ingeniería social es recomendable realizar una formación personalizada para la empresa en base a los resultados obtenidos para concienciar a los empleados. Aún así, estas auditorías se debería realizar de forma periódica para mantener la empresa protegida y que no salgan nuevas vulnerabilidades.