Estrategias de protección frente a los riesgos de las redes sociales
- Seguridad
Las redes sociales son herramientas fundamentales para muchas organizaciones, pero su uso esconde riesgos que deben ser abordados con cuidado para protegerse frente a los ciberdelincuentes. Estas plataformas representan un canal muy importante para la comunicación, pero los empleados corren el riesgo de caer en las cada vez más sofisticadas técnicas de ingeniería social, cuyo objetivo es recabar información para acceder a los sistemas, robar datos y cometer otros delitos.
Desde su creación, las redes sociales han evolucionado y su popularidad entre los consumidores y las empresas ha ido aumentando, hasta el punto de que se han convertido en un canal de comunicación y ventas clave para muchas organizaciones. Las plataformas sociales proporcionan un acceso muy directo a los clientes potenciales y permiten obtener un feedback valioso para el negocio. Pero además de estos beneficios, la interacción con las redes sociales plantea riesgos, ya que abre las puertas a que los ciberdelincuentes recopilen información que pueden utilizar para desplegar técnicas de ingeniería social con fines maliciosos.
El riesgo proviene sobre todo de la información que comparten los empleados y los líderes empresariales en estas plataformas, y los expertos alertan sobre cómo esto puede afectar a la vida personal y laboral. En un artículo publicado por la revista Forbes, el experto Emil Sayegh, presidente y director ejecutivo de la firma de seguridad cibernética Ntirety, ahonda en los riesgos inherentes a las redes sociales y en cómo las empresas pueden protegerse frente a ellos.
Sayegh recomienda a las organizaciones que se centren en mitigar las amenazas provenientes de la ingeniería social y en protegerse mejor contra los ataques que se originan en las redes sociales. Y uno de los pilares principales de esta estrategia está en formar a los empleados sobre las buenas prácticas en el uso de las redes sociales y sobre los riesgos que genera el intercambio excesivo de información en estos canales. Señala que las plataformas sociales son un subconjunto de objetos de los ataques de ingeniería social de los ciberdelincuentes, en los que “el phishing, el smishing y las llamadas telefónicas inesperadas forman parte del espectro de amenazas”.
Para ilustrar esta idea hace referencia a la violación de datos sufrida el año pasado por el hotel Ritz de Londres, que se convirtió en un sofisticado ataque de vishing (phishing de voz) contra huéspedes de alto poder adquisitivo. Este despliegue de creatividad es una muestra de la complejidad y el realismo que pueden alcanzar los ataques basados en la ingeniería social, pero Sayegh aclara que estos siempre se basan en la manipulación de la mente humana, y es posible protegerse contra estos riesgos.
El objetivo de estas técnicas es crear lapsus mentales que induzcan una falsa sensación de confianza entre los empleados, y que estos acaben divulgando información confidencial. Y esta confianza también sirve para lanzar ataques posteriores más elaborados y de mayor calado. Estos ataques no son muy dañinos per se, pero cuando se combinan con otros subterfugios sí pueden tener consecuencias graves para la organización.
Como explica Sayegh, la ingeniería social que aplican actualmente los ciberdelincuentes ha evolucionado hasta el punto de que los atacantes logran una comprensión casi científica de lo que sucede cuando se empela el miedo como herramienta o se genera una falsa urgencia. Así son capaces de aprovechar los momentos de debilidad para provocar que se tomen decisiones apresuradas que permitan obtener información confidencial.
Gracias a estas técnicas, que para muchos no son tan peligrosas como el ransomware y otros tipos de malware, los ciberdelincuentes han logrado robar credenciales, comprar e intercambiar cookies y credenciales en foros públicos, acceder a empleados con credenciales de seguridad de primer nivel, suplantar la identidad de empleados y, finalmente, violar los sistemas y robar datos críticos de grandes empresas de la talla de Microsoft, Samsung, Nvidia, entre otras.
Teniendo en cuenta que el factor de error humano es difícil de eliminar, los líderes empresariales deben integrar la mitigación de estos riesgos en sus estrategias de ciberseguridad. Una forma de lograrlo es construir un sistema de protección de múltiples capas alrededor de la información confidencial y las cuentas privilegiadas. Con ello se pueden prevenir los ataques más comunes, pero también es vital invertir en la capacitación de los empleados, y actualizarla con regularidad para que estén al tanto de los nuevos riesgos que van surgiendo. Además, se recomienda realizar pruebas éticas de phishing para comprender cuáles son los puntos débiles de la organización y mitigarlos.
Por otro lado, los expertos señalan la necesidad de establecer una estrategia basada en Zero Trust, cuyo fundamento está que no se puede confiar en nada ni nadie, y todo debe ser validado y cifrado en todo momento y lugar. Esto se puede combinar con software y dispositivos de seguridad con capacidades antiphishing, sandbox y otras herramientas enfocadas a la prevención. Aunque protegerse de la ingeniería social es complicado, una estrategia de seguridad integral es el mejor camino para blindar la organización contra la mayor parte de las amenazas. Añadiendo a esto una monitorización continua y mecanismos de alerta ante todo tipo de comportamientos sospechosos se puede lograr una protección sólida que también ayudará a evitar las amenazas de ingeniería social.
