Vulnerabilidades humanas y riesgo cibernético

En esta segunda entrega de la serie "creación de una cultura de ciberseguridad" explicamos cómo las vulnerabilidades humanas pueden ser explotadas por los ciberdelincuentes para atacar organizaciones.

Back view of female employee communicate on video call with diversed colleagues, woman worker conducts webcam group conference with business partners uses laptop and app
Esta es la segunda entrega de blogs de la serie “Creación de una cultura de ciberseguridad”. 

El 2020 experimentó un incremento significativo de ataques cibernéticos relacionados con el phishing debido, en gran parte, al aumento de trabajadores remotos. De acuerdo a nuestro reporte Estado del Riesgo Cibernético en Latinoamérica en tiempos de COVID-19, realizado por Marsh y Microsoft, la exposición a algún tipo de incidente cibernético aumentó considerablemente debido a que el 70% de las organizaciones en nuestra región permitió que su fuerza laboral trabajara con dispositivos personales. 

Ingeniería social y su uso

El phishing es una de las técnicas de ingeniería social más utilizadas para distribuir malware y robar credenciales, lo que derivará en cometer fraude. Recordemos que la ingeniería social es el arte de explotar la psicología humana para ganar acceso a edificios, sistemas o información sensible

El uso de esta técnica implica ejercer poder social sobre los individuos para inducirlos a tomar una decisión equivocada a favor del atacante. Se habla de 6 tipos de poder social que les permiten a los atacantes pasar desapercibidos y entender cómo explotar las vulnerabilidades de las personas para así lograr que el ataque resulte exitoso:

  • Poder de recompensa: incentiva a terminar una tarea prometiendo una recompensa.
  • Poder coercitivo: usa el miedo para manipular la conducta humana.
  • Poder referente: utiliza a los ídolos de las personas para manipularlos.
  • Poder informativo: usa información privilegiada para convencer que el atacante es una fuente confiable.
  • Poder legítimo: utiliza una posición privilegiada para manipular a los individuos.
  • Poder experto: se hace pasar por un individuo con información detallada o experta.

Técnicas de ataque

Una vez que el atacante ejerce la presión necesaria sobre la víctima, selecciona el método de ataque que más lo beneficie para lograr sus objetivos. Algunas de las técnicas de ataque más comunes son:

Baiting: se distingue por la promesa de un objeto para atraer al objetivo. 

Tailgating: técnica que se aprovecha de las oportunidades para obtener acceso sin tener la autenticación necesaria. 

  • Vishing: uso de ingeniería social a través de llamadas telefónicas.  
  • Smishing: uso de ingeniería social a través de mensajes de texto.
  • Phishing: uso de ingeniería social a través de correo electrónico.
  • Spear phishing: correo electrónico dirigido a personas específicas. 
  • Whaling: correo electrónico usualmente dirigido a altos ejecutivos o usuarios con accesos privilegiados. 

Business Email Compromise (BEC)

Además de las técnicas mencionadas anteriormente, el Business Email Compromise es un tipo de ataque que se desprende del spear phishing. Consiste en que un atacante suplanta la identidad de un empleado de la compañía para robar dinero o información sensible, pidiendo a otros empleados que realicen acciones específicas como envío de documentación confidencial o transferencias bancarias. 

Muchos de estos ataques se materializan a través de transferencias a cuentas falsas por supuestos cambios en los números de cuenta de proveedores, sin una adecuada validación.

¿Cómo se realizan estos ataques?

Las diferentes técnicas de ataque contra las vulnerabilidades humanas siguen el patrón que presentamos abajo, el cual les permite explotar el proceso de toma de decisiones:

  1. Las técnicas de ataque utilizan el poder social para generar estrés en la víctima.
  2. Esta presión conlleva a tomar una decisión.
  3. De aquí se pueden tomar dos caminos:
    • Una respuesta adecuada que no genera impacto para la empresa y el ataque se ve frustrado.
    • Una respuesta que despierte un sesgo cognitivo producido por el atacante de manera específica.
  4. Si el sesgo cognitivo se produce, es fácil para el atacante predecir el error a cometer.
  5. El error es cometido por la víctima.

La manera en la que se utilizan las técnicas depende de los escenarios, pero lo cierto es que son creados específicamente para sus objetivos y así no dejan espacio para el error. 

En la siguiente entrega, conoceremos cómo se debe construir una cultura de la ciberseguridad en las empresas orientada a las personas y sus vulnerabilidades. 

Para conocer cómo puede ayudar Marsh a mejorar la cultura de ciberseguridad en su organización, contacte a nuestros profesionales.

Autores

Image placeholder

Ángela Cubillos

Cyber Risk Senior Consultant en Marsh Latinoamérica

Image placeholder

Ángel Del Ángel

Cyber Risk Senior Consultant en Marsh Latinoamérica