Las formas más comunes en las que lo engañan para que comprometa los datos de la empresa
por Eric Cole
Jake Olimb/Getty Images
Si bien las filtraciones importantes en las que se ven comprometidos millones de registros tienden a dominar las noticias, una amenaza mucho más peligrosa e insidiosa pasa prácticamente desapercibida: la de la información privilegiada. Un «informante accidental» es un empleado bien intencionado al que los adversarios o la competencia engañan para que revele contraseñas o instale códigos maliciosos sin querer en las redes de la organización. Alternativamente, un malicioso Un informante roba datos con fines personales o financieros con la intención de perjudicar al empleador.
¿Qué tan frecuente es el problema de las amenazas internas? Según un estudio realizado por Accenture y HFS Research, «2 de cada 3 encuestados declararon haber sufrido robos o corrupción de datos dentro de sus organizaciones». Un estudio del Instituto Ponemon revela que el 62 por ciento de los usuarios finales afirman tener acceso a datos de la empresa que probablemente no deberían ver.
Esto significa que la mayoría de los empleados tienen acceso a datos que podrían revelar sin darse cuenta si se dejan engañar por un adversario inteligente. Sin embargo, hay algunas formas relativamente fáciles de proteger a la organización de los trucos que suelen utilizar las personas ajenas para comprometer a las personas con información privilegiada:
Truco #1 — Suplantación de identidad mediante correos electrónicos convincentes
A medida que un correo electrónico viaja de un cliente a través de un servidor hasta un destinatario, hay posibles vulnerabilidades en la red a lo largo de su recorrido. De hecho, cuando recibe un correo electrónico, la dirección de origen de la lista tiene poco que ver con la procedencia real del mensaje. Esa información se puede falsificar fácilmente y su servidor de correo no hace nada para autenticar el origen del correo electrónico. A pesar de que un correo electrónico parezca que viene de una fuente confiable, los adversarios actuales son ingenieros sociales sofisticados y pueden engañar fácilmente a cualquiera.
Si bien muchas organizaciones emplean software de filtrado de spam y todos sabemos que no debemos abrir los correos electrónicos de misteriosos generales nigerianos, ¿qué pasa si un correo electrónico parece provenir de un colega o supervisor? Este escenario se ilustró recientemente cuando un Un hacker británico engañó a funcionarios de la Casa Blanca para que revelaran información personal.
Centro Insight
El elemento humano de la ciberseguridad
Patrocinado por Varonis
Refuerce la primera línea de defensa de su empresa.
¿Cómo puede saber si un correo electrónico que recibe es legítimo? Si un correo electrónico está especialmente bien redactado, es posible que no sepa inmediatamente si proviene de una fuente de confianza. Una buena regla general es que si el remitente le pide un nombre de usuario o contraseña, información personal sobre usted o un compañero de trabajo u otros datos de propiedad privada, no responda y comuníquelo inmediatamente a TI o a su equipo de seguridad. Una simple llamada de teléfono al supuesto remitente también sería una buena precaución. Es fácil preguntar: «Ey, ¿de verdad me acaba de enviar un correo electrónico pidiéndome una contraseña?»
Truco #2 — Inyectar código malicioso a través de enlaces y archivos adjuntos de correo electrónico
Al igual que el correo electrónico de suplantación de identidad, está el troyano, un código malicioso oculto en un archivo adjunto o enlace de un correo electrónico. Si bien el mensaje en sí no es peligroso, los enlaces y los archivos adjuntos sí lo son. Parece una locura no abrir un documento o un archivo adjunto de un colega, pero esos clics podrían abrir la puerta trasera a un adversario.
A nivel organizativo, una empresa puede invertir en productos de seguridad que ofrezcan una evaluación del malware en tiempo real de los enlaces y los archivos adjuntos. Si el sistema detecta algo sospechoso, pondrá en cuarentena un archivo adjunto o impedirá la conexión a un enlace peligroso.
Tenga especial cuidado con los correos electrónicos que reciba en el trabajo que no estén relacionados con el trabajo, como las direcciones de correo electrónico de amigos o familiares que normalmente no le envían correos a esa dirección. Siempre es una buena idea tener direcciones de correo electrónico distintas para el trabajo y el hogar, e incluso varias direcciones de correo electrónico para diferentes tipos de correspondencia. Por ejemplo, puede que quiera mantener una dirección de correo electrónico que solo utilice para la escuela de sus hijos o para un club o grupo al que pertenezca. Si recibe un correo electrónico en el trabajo que parece ser de su club de esquí, sabrá que es sospechoso porque su club no sabe el correo de su trabajo.
Truco #3 — Obtener acceso a la red a través de dispositivos personales
No todo el software es seguro y las aplicaciones se están convirtiendo en una forma fácil de obtener acceso ilícito a dispositivos y ordenadores. Muchas organizaciones tienen políticas de traiga su propio dispositivo (BYOD), en las que los usuarios pueden utilizar sus propios teléfonos, tabletas y ordenadores portátiles para realizar actividades empresariales. Estos dispositivos están listos para ser comprometidos y extenderse a los sistemas organizativos.
Para las organizaciones que proporcionan y controlan ordenadores portátiles para los empleados, es relativamente fácil impedir la instalación de aplicaciones no autorizadas. Esto se puede hacer convirtiendo a la persona en «usuario» de su máquina y no en administrador. Solo el administrador (el departamento de TI) puede instalar las aplicaciones.
Los dispositivos deben controlarse mediante políticas y educación, ya que un equipo de TI no puede bloquear los dispositivos personales de miles de usuarios. Sin embargo, pueden necesitar el uso de una aplicación de red privada virtual (VPN) para garantizar una conexión segura a las redes de la empresa.
Las organizaciones también pueden ofrecer servicios de protección antivirus y contra el malware para los dispositivos de los empleados, como los que ofrecen proveedores como Symantec y McAfee. Estas herramientas escanean continuamente para garantizar que el dispositivo esté limpio.
Si bien estas no son las únicas formas en que los adversarios pueden engañar a las personas con información privilegiada para que cumplan sus órdenes, son las más comunes. Debe recordar que los adversarios son persistentes y pacientes. Están dispuestos a trabajar duro, investigar y dirigirse por igual a los empleados vulnerables y a los ejecutivos de alto nivel. Comprender sus métodos e inculcar la vigilancia a todos los empleados es la mejor manera de evitar que una información privilegiada accidental perjudique a su empresa.
Artículos Relacionados
Investigación: La IA generativa hace que la gente sea más productiva y esté menos motivada
Arreglar los chatbots requiere psicología, no tecnología
Los chatbots dotados de IA se están convirtiendo en el nuevo estándar para la gestión de consultas, reclamaciones y devoluciones de productos, pero los clientes se alejan de las interacciones con los chatbots sintiéndose decepcionados. La mayoría de las empresas intentan solucionar este problema diseñando mejores modelos de IA en sus chatbots, pensando que si los modelos suenan lo suficientemente humanos, el problema acabará desapareciendo. Pero esta suposición es errónea. Esto se debe a que el problema de fondo no es tecnológico. Es psicológico: Hay que engatusar a la gente para que vea a los chatbots como un medio positivo de interacción. Los autores han analizado recientemente las últimas investigaciones sobre chatbots e interacciones IA-humanos, y en este artículo presentan seis acciones probadas que puede llevar a cabo al desplegar su chatbot de IA para impulsar la satisfacción, la percepción positiva de la marca y las ventas.
Investigación: ¿Está penalizando a sus mejores empleados por desconectar?
Para combatir el creciente desgaste del personal, muchas empresas han defendido programas de bienestar y han fomentado un enfoque renovado en el equilibrio entre la vida laboral y personal. Pero un nuevo estudio descubrió que incluso cuando los líderes reconocían que desvincularse del trabajo aumenta el bienestar de los empleados y mejora su rendimiento laboral, los directivos seguían penalizando a los empleados que adoptaban estos comportamientos cuando optaban a un ascenso o estaban siendo considerados para un nuevo puesto. Basándose en sus conclusiones, los investigadores ofrecen sugerencias para ayudar a las empresas a crear políticas y construir una cultura que proteja los límites de los trabajadores, evite el agotamiento y recompense el trabajo fuerte.