Aumento de ciberdelitos impulsado por estafas de ingeniería social

Los ataques de ingeniería social están en aumento en el lugar de trabajo, lo que se suma a las preocupaciones generalizadas sobre las crecientes amenazas de ciberseguridad, según datos recientes de Ernst & Young LLP. Es notable que los empleados de la Generación Z y los millennials tienen menos confianza en identificar y responder a las amenazas cibernéticas que sus colegas mayores. A pesar de ser una generación digital, la Generación Z está perdiendo confianza en su capacidad para reconocer intentos de phishing, en los cuales un usuario hace clic en un enlace malicioso que instala malware, revela información sensible o congela sistemas como parte de un ataque de ransomware.

Solo el 31% de la Generación Z se siente segura de poder identificar intentos de phishing, y el 72% afirma haber abierto un enlace desconocido que parecía sospechoso en el trabajo, cifra mucho mayor que la de los millennials (51%), la Generación X (36%) y los baby boomers (26%), según la Encuesta de EY 2024 sobre Riesgo Humano en Ciberseguridad, un estudio realizado a 1,000 estadounidenses empleados en sectores públicos y privados.

La ingeniería social manipula la psicología humana, a diferencia de los métodos tradicionales de pirateo que explotan vulnerabilidades técnicas. “Incluso las defensas más financiadas, donde las inversiones en tecnología cibernética líder se han construido a lo largo de los años, pueden fallar o ser eludidas si un empleado es engañado para dar acceso a un ladrón cibernético”, dice Jim Guinn II, Líder de Ciberseguridad para las Américas de EY. "Y puede suceder rápidamente, en cuestión de minutos".

Los atacantes pueden pretender ser un colega angustiado que intenta desesperadamente recuperar información vital en un teléfono perdido, restablecer una contraseña o necesitar ayuda para transferir dinero a una cuenta. El objetivo deseado es ayudar a un compañero de trabajo necesitado. Este deseo de ayudar puede socavar rápidamente incluso los planes de seguridad mejor concebidos. Un ciberataque exitoso podría interrumpir las operaciones básicas, comprometer la privacidad de los datos de clientes y empresas, amenazar la reputación de una empresa y crear consecuencias legales y económicas significativas.

Tres tipos comunes de ataques de ingeniería social son el phishing, el pretexting y el baiting. El phishing implica correos electrónicos que parecen confiables pero enlazan o contienen contenido malicioso que se ejecuta tan pronto como los usuarios hacen clic, cifrando sus datos y generando un ataque de ransomware. Los ataques de spearphishing se dirigen a una persona o grupo específico. Los actores de amenazas también han expandido el "smishing", que consiste en enviar mensajes de texto maliciosos que pueden llevar al autorizar una acción o divulgar información personal.

Guinn señala que los ataques de ingeniería social a menudo comparten un tono común. “A menudo hay una sensación de que el tiempo apremia para mantener a la víctima desequilibrada”, dice Guinn. “Por ejemplo: los fondos son necesarios hoy, o el trabajo de alguien está en juego. La condición humana de ayudar puede convertir a empleados bien intencionados en víctimas”.

La pandemia de COVID-19 llevó a muchos empleados a trabajar desde casa. Muchos aún lo hacen. La gran dependencia de las comunicaciones electrónicas remotas puede hacer que los empleados confíen en exceso en correos electrónicos y mensajes de texto. Con menos interacción cara a cara y más dependencia de la comunicación electrónica, algunos profesionales de seguridad sienten que una víctima potencial puede ser menos vigilante y bajar la guardia.

Las preocupaciones también se centran en el papel de la inteligencia artificial (IA), que puede difundir desinformación y mensajes fraudulentos a una escala y sofisticación sin precedentes. Un ejemplo son los deep fakes generados por IA, medios sintéticos que crean videos, imágenes, audio y texto increíblemente realistas. Pueden imitar de manera convincente la voz, rostro y gestos de una persona y emplearse en contra de las empresas.

A través de la adopción de la nube, las superficies de ataque también han aumentado exponencialmente. Los servicios que solían operar en grandes centros de datos ahora residen en la nube. Si esos recursos están mal configurados, se expone información sensible, se otorgan privilegios excesivos o se crean brechas de seguridad.

Para proteger a su organización, es vital mantenerse informado sobre las amenazas cibernéticas, capacitar al equipo en habilidades de ciberseguridad, fomentar la participación de empleados a través de la gamificación y prever entrenamientos regulares en ciberseguridad. El enfoque debe ser una postura de seguridad sólida en toda la organización, con una cultura de seguridad arraigada que involucre a todos los miembros.