¿En qué consiste el texto cifrado?
El texto cifrado se refiere a los datos cifrados e ilegibles. La única forma de leer los datos cifrados es descifrándolos utilizando una clave de cifrado. Dado que el texto cifrado no se puede leer sin...
El pretexting puede producirse en cualquier momento y en cualquier lugar, por lo que es importante comprender qué es y cómo puede proteger de él a los empleados. Puede proteger a su organización del pretexting si no hace clic en enlaces no solicitados, no comparte información personal online e imparte formación a los empleados sobre las técnicas de pretexting.
Siga leyendo para obtener más información sobre el pretexting y las técnicas que utilizan los cibercriminales para que las víctimas les revelen información sensible.
El pretexting es un tipo de ataque de ingeniería social en el que un cibercriminal se inventa una historia para convencer a la víctima de que debe revelarle información sensible, gracias a la cual el cibercriminal obtendrá un acceso no autorizado a los sistemas.
El pretexting puede producirse de muchas formas; por ejemplo, en persona, mediante una llamada telefónica o un mensaje de texto. El cibercriminal intentará entablar una relación con la víctima para ganar su confianza. A menudo utiliza la información que encuentra online sobre la víctima para convencerla de que es quien dice ser. De modo que el cibercriminal utilizará el historial laboral de la víctima, su empleo actual y otra información similar para que la víctima confíe en él.
Hay muchos tipos de técnicas de pretexting que los cibercriminales utilizan para que las víctimas les revelen información sensible. De esta forma, el cibercriminal podrá obtener acceso no autorizado a los sistemas. A continuación, le explicamos algunas de las muchas técnicas de pretexting que utilizan los cibercriminales.
El piggybacking es uno de los tipos de técnicas de pretexting cuando el cibercriminal intenta obtener acceso a una red, a un sistema o a un edificio físico. Los cibercriminales pueden acceder a una red o un sistema si la conexión wifi no es segura. Además, los cibercriminales pueden acceder físicamente al edificio abusando de la amabilidad de un empleado que les deje pasar por la puerta abierta.
Si los cibercriminales lograran penetrar físicamente en un edificio en el que muchos empleados a menudo dejan sin supervisión sus dispositivos con sesiones iniciadas, el ataque podría ser particularmente peligroso. El cibercriminal podría activarse con total facilidad y a golpe de un par de teclas apoderarse de información sensible.
El objetivo del cibercriminal que hace uso de la técnica de piggybacking es acceder a una red o a un edificio físico para llevar a cabo actividades malintencionadas.
El tailgating es similar al piggybacking, pero hay una gran diferencia. Durante el tailgating, al igual que ocurre con el piggybacking, los cibercriminales intentan acceder a un edificio físico al que no tienen acceso, pero lo que hace que el tailgating sea diferente es que en el caso del tailgating los cibercriminales acceden al edificio sin que otras personas lo sepan. Los cibercriminales pueden colarse inadvertidos por una puerta justo en el momento en el que esta se está cerrando, lo cual podría dar la impresión de que han accedido al edificio con la debida autorización. La técnica de tailgating hace que los empleados no sean conscientes de quién ha entrado en el edificio, lo cual expone al riesgo de violación la totalidad de los datos de la empresa.
El phishing es una de las técnicas más utilizadas de pretexting. En el tercer trimestre de 2022, el Grupo de trabajo contra el phishing (el «APWG», por sus siglas en inglés) informó de que se habían producido un total de 1 270 883 ataques de phishing, cifra que según el propio APWG constituía un nuevo récord.
Un ataque de phishing pretende persuadir a la víctima de que revele información sensible como credenciales, números de tarjetas de crédito, etc. Los intentos de phishing suelen adoptar la forma de un correo electrónico urgente que afirma provenir de una fuente de confianza. El objetivo de un ataque de phishing es causar que la víctima actúe de inmediato al abrir un archivo adjunto o un enlace sin dudarlo. Si hace clic en enlaces y archivos adjuntos no solicitados, su equipo podría infectarse con un malware, lo que pondría en riesgo toda su información.
El vishing es como un ataque de phishing, pero es más eficaz y sofisticado. El vishing se produce cuando una persona real le llama y dices ser alguien que no es. El objetivo es el mismo que con un ataque de phishing, conseguir que la víctima revele información sensible para utilizarla con fines malintencionados.
Siga estos consejos para protegerse y proteger a su organización del pretexting.
Si recibe un correo electrónico o un mensaje de texto que no espera, evite hacer clic en enlaces o archivos adjuntos. Como se ha explicado, hacer clic en esos enlaces o archivos podría provocar una infección de malware y los cibercriminales podrían acceder a toda su información.
Hoy, existen muchas plataformas de redes sociales y puede ser tentador compartir su vida entera y todas sus experiencias en dichas plataformas. Sin embargo, conviene hacerlo con precaución. Evite compartir información personal que los cibercriminales podrían utilizar contra usted ya sea físicamente u online.
Aunque es importante adoptar precauciones al compartir información online, no lo es menos cuando alguien le pide que revele información personal. Cuando alguien le solicita información personal o sensible, pregúntese para qué la necesitan.
No tiene ninguna obligación de revelar información personal o sensible a personas que no conoce, así que no ceda a la presión.
Las técnicas de pretexing (por ejemplo, el piggybacking o el tailgating) pueden ejecutarse en tiempo real. Asegúrese de que sus empleados siempre miren atrás al entrar en el edificio de oficinas, para que nadie pueda entrar sin autorización. Incluso podría plantearse contratar personal adicional para la recepción de sus edificios para impedir que personas no autorizadas puedan colarse.
Además de las técnicas de pretexting que requieren presencia física, es importante que los empleados conozcan además el resto de las técnicas de pretexting (por ejemplo, el phishing y el vishing). Impartir formación sobre el phishing en su organización es una de las formas de hacerlo. La formación sobre el phishing puede ayudar a los empleados a identificar los correos electrónicos de phishing para que sepan a lo que deben prestar atención. Uno de los programas de formación sobre la sensibilización en materia de seguridad es KnowBe4. KnowBe4 es un programa de formación que puede implementar en su organización. Cuenta con varios módulos de formación para los empleados. Además, permite enviar correos electrónicos de phishing simulados para que los empleados puedan identificarlos con total seguridad.
Cuando hablamos del pretexting, una de las soluciones de seguridad cibernética más importantes que puede implementar para proteger los datos de la empresa es un gestor de contraseñas para empresas. Un gestor de contraseñas para empresas es una herramienta para asegurarse de que los empleados cumplan los requisitos aplicables a contraseñas, además de almacenarlas de forma segura. Un password manager le permite compartir información sensible y credenciales de forma segura, sin exponerlas al riesgo de vulneración.
Si su organización fuera víctima del pretexting, con un gestor de contraseñas podría proteger sus cuentas con total facilidad porque un password manager permite generar contraseñas nuevas únicas y seguras para cada una de las cuentas y así evitar daños adicionales.
Es fácil caer víctima de las técnicas de pretexting porque intervienen muchos aspectos relacionados con la ingeniería social, pero si consigue concienciar a los empleados sobre los peligros y los indicios de las técnicas de pretexting, la tarea ya no parece tan imposible.
Solo tiene que asegurarse de que sus empleados conozcan los riesgos de compartir información personal online. Así habrá dado un paso importante para proteger toda su organización. Invierta en una solución de seguridad cibernética como Keeper para que sus datos sensibles estén protegidos en todo momento. Obtenga Keeper para su empresa hoy mismo.