Identificarse


0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Por: Javier Fernando Klus, MBA, CIA. Colaborador de Auditool

¿Qué es la Ingeniería Social?

Cada vez y de forma más recurrente en esta pandemia hemos recibido algún mail de una persona supuestamente conocida diciéndonos que tenemos que ingresar a una determinada dirección o ver una foto porque es muy importante, hemos visto a los bancos decirnos que nuestra clave está por expirar, hemos visto a nuestro WhatsApp decirnos que si queremos sacar un turno para vacunarnos debemos ingresar a un determinado link, hemos recibido llamadas telefónicas diciéndonos que es importante que cambiemos nuestra clave de cajero electrónica porque está por expirar y no podremos sacar nuestro dinero. Nos han dicho que una empresa de zapatillas, por la pandemia, está regalando zapatillas y que si ingresamos a un link seremos los únicos 1000 afortunados en obtener ese privilegio.

Todas estas situaciones ficticias han ocurrido, no son simulaciones, y tienen una característica particular: explotan alguna vulnerabilidad, ya sea por nuestra curiosidad, codicia, desconocimiento o inseguridad. Lamentablemente son explotadas en perjuicio nuestro.

Un estudio realizado en marzo de 2021, en conjunto por Marsh y Microsoft, señala algunos datos interesantes:

  • El 31% de las empresas encuestadas en Latinoamérica han percibido un aumento en los ataques cibernéticos a partir de la pandemia, siendo la industria bancaria la más afectada.
  • Solo en el 27% de las empresas que implementaron trabajo remoto, la fuerza laboral trabaja exclusivamente con dispositivos de la organización. 

Como resumen del artículo, se establece que la Ingeniería Social o Phishing es el ataque que más aumentó en Latinoamérica a raíz de la pandemia.

Por lo tanto, para entender este fenómeno primero hagamos una puesta en común y definamos lo que entendemos por Ingeniería Social. Se define como la técnica de manipulación dirigida a hacer uso del error humano con la intención de obtener la información de cuentas privadas.

Esta definición implica un punto muy importante para las organizaciones: el eslabón más débil dentro del esquema de seguridad de las organizaciones somos nosotros mismos, podemos tener implementados mecanismos de seguridad, firewall, antivirus, pero la primera puerta de entrada a una amenaza en la ciberseguridad son nuestros empleados.

Por lo tanto, la primera solución en un esquema de seguridad informática es la capacitación de nuestros empleados.

En este artículo de la revista Business Insider podemos ver cómo empezó el mayor ataque y robo de información y dinero en Twitter:

El histórico hackeo a Twitter pudo empezar con una simple llamada | Business Insider España

Este ataque no se inició con un sofisticado virus o hackers detrás de sus computadoras violando los firewalls de la empresa, simplemente fue una llamada de un adolescente que logró engañar a un empleado de la empresa, a partir de ahí, la historia ya la sabemos: cuentas de famosos diciendo que si depositaban bitcoins en determinados enlaces establecidos, ellos se comprometían a duplicar el dinero… y si lo dice Elon Musk, ¡debe ser cierto!

Es interesante, pues en este ataque, como muchos otros, se utilizó tecnología, pero como dice el artículo “el punto de inflexión llegó cuando uno de los jóvenes llamó por teléfono a uno de los empleados de la red social. En la llamada se habría hecho pasar por alguien del departamento de soporte técnico de la compañía. De este modo, el ciberdelincuente pudo conseguir las claves del trabajador para, de esta forma, conseguir entrar en las herramientas internas de la red social”. 

Por lo tanto, podemos invertir en tecnología, pero si no invertimos en capacitación de nuestros empleados, ellos son el eslabón más débil de la cadena, por esta razón, nosotros como auditores debemos tener en cuenta esta situación y determinar si la empresa que estamos auditando cuenta con programas de capacitación en seguridad informática. Por ejemplo, si nuestros empleados ante dudas tienen una línea directa de consulta para que puedan realizar denuncias. Lo recomendable es que también pongamos a prueba este mecanismo simulando un ataque de Ingeniería Social y verificar cómo los empleados se comportan ante el mismo y de esta forma corregir lo que deba ser corregido.

En resumen, es importante saber que en el mundo de la ciberseguridad nuestros empleados son el eslabón más débil y que toda estrategia de defensa debe considerarlos en primer término.

LIBRO DEL AUTOR DE ESTE ARTÍCULO EN AMAZON

Liderazgo y Administración: El Barco – El desafío de hacer llegar a su empresa hacia el éxito

 

Javier Fernando Klus, MBA, CIA.

 

Javier Klus fue gerente de auditoría en PwC Argentina con más de 20 años de experiencia profesional trabajando en la evaluación de entornos de control interno para empresas líderes en la industria energética. Se ha especializado en la evaluación de riesgos y controles y en el diseño e implementación de controles para el ciclo de adquisiciones. También ha liderado compromisos importantes en las áreas de revisiones de sistemas de implementación previas y posteriores; diseño e implementación de políticas y procedimientos para el área financiera, evaluación de riesgos y control de ERP y proyectos de preparación de Sarbanes Oxley. Especialidades:   Auditoría de Sistemas y Procesos, Gestión de Proyectos, Auditoría Interna, Cumplimiento SARBOX y AntiFraude. Colaborador de Auditool.

 


Regístrese para que pueda comentar este documento

Auditool.org

Es la Red Global de Conocimientos en Auditoría y Control Interno que le permite a los Auditores, tener acceso a metodologías de trabajo fundamentadas en buenas prácticas internacionales, entrenamiento en línea, listas de chequeo, modelos de papeles de trabajo, modelos de políticas, herramientas para la gestión de riesgos, entre otras. Permitiendo mejorar las prácticas de trabajo, ahorrando tiempo, creando y protegiendo valor en las organizaciones.
Este sitio web almacena cookies en su ordenador. Estas cookies se utilizan para recopilar información sobre cómo interactúa con nuestro sitio web y nos permiten recordarle. Utilizamos esta información para mejorar y personalizar su experiencia de navegación y para análisis y métricas sobre nuestros visitantes tanto en este sitio web como en otros medios. Para obtener más información sobre las cookies que utilizamos, consulte nuestra Política de privacidad.

Si rechaza, su información no será rastreada cuando visite este sitio web. Se utilizará una sola cookie en su navegador para recordar su preferencia de no ser rastreada.