Skip to main content

Comprender el riesgo para la seguridad

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Describir los métodos que usan los ciberdelincuentes para dañar su compañía.
  • Enumerar los principales hábitos de los usuarios que aprovechan los intrusos.
  • Describir los métodos que utilizan los delincuentes más frecuentemente para obtener acceso a la información.

Asegurar el comportamiento de los empleados es tan importante como asegurar la tecnología

Dado que usamos la tecnología a diario en nuestra vida privada y laboral, parece lógico que tengamos muy presente el riesgo de la ciberdelincuencia. Según un informe de investigación de vulneración de datos de 2021 realizado por Verizon, se registró un total de 157.525 incidentes, que se dividen en categorías que abarcan desde el malware hasta el hackeo, las vulneraciones de ingeniería social o el ransomware. Y la ciberdelincuencia sigue evolucionando. Algunos de los vectores de ataque más exitosos últimamente, como el phishing, están dirigidos a las personas, no a la tecnología. Según el reporte de 2022, las principales amenazas en 2021 fueron el phishing y el robo de credenciales de usuarios. 

El panorama de las amenazas es más complejo que nunca, y cada vez es más difícil para los equipos de seguridad prevenirlas, detectarlas, analizarlas y responder a ellas. Los ciberdelincuentes sustituyeron sus tácticas de ataque tecnológico por ataques dirigidos a los empleados mediante la manipulación de los comportamientos humanos básicos. Según avanza la tecnología de seguridad, los hackers buscan acceso al punto más débil de la red, y ese punto suelen ser los errores humanos. Las oportunidades de capacitación en seguridad, como esta insignia, son más importantes que nunca. Como los empleados son el objetivo más fácil para los hackers, es vital que todos aprendan a protegerse a sí mismos y a su compañía. Ahora más que nunca, cada persona influye en la seguridad con independencia de su función o cargo.

Solamente hace falta que un empleado abra un email de phishing para que se desencadene una cadena de eventos que ponga en peligro los datos de su compañía. Esto significa que la seguridad debe ser parte integral del trabajo de todos. En este módulo, vamos a examinar algunos comportamientos básicos que cada empleado puede adoptar para aumentar la seguridad de la compañía.

Los intrusos aprovechan comportamientos humanos

Hablemos de cómo la naturaleza humana facilita la ciberdelincuencia. Los delincuentes ya saben que pueden aprovechar las emociones y reacciones humanas típicas, como la curiosidad y el deseo de ayudar, para robar credenciales e infiltrarse en su red. Veamos algunos de los mensajes que activan esas emociones. 

  • Miedo: “Si no me proporciona la información, se lo comunicaré a su gestor”.
  • Confianza: “Acabamos de cerrar su cuenta bancaria. Haga clic aquí para reactivarla”.
  • Moralidad: “¿Podría mantener la puerta de la oficina abierta? Tengo el brazo roto y este paquete pesa bastante”.
  • Recompensas: “Mi compañía está considerando invertir en sus productos. ¿Puede responder a unas cuantas preguntas sobre su organización primero?”
  • Conformidad: “Bill Stevens, del departamento de finanzas, siempre me pone al día de las ganancias del segundo trimestre, pero no puedo localizarlo. ¿Podría ayudarme con el reporte?”.
  • Curiosidad: “Increíble… ¡vea este video de una serpiente gigante que devora a un empleado del zoológico!”.

Una persona chateando online con alguien que piensa que es confiable, pero en realidad es un hacker.

Detecte los métodos básicos de ataque

Los hackers consiguen acceso a sus objetivos de distintas formas. La siguiente lista de métodos de punto de entrada son técnicas que los ciberdelincuentes usan para acceder a información sensible o a las redes aprovechando los comportamientos humanos.

  • Phishing: Intento de adquirir información confidencial, como los nombres de usuario y contraseñas (también llamados credenciales de usuario), los datos de tarjetas de crédito o la información bancaria, haciéndose pasar por una entidad confiable. Existen varios tipos de phishing. Algunos de los métodos usados con más frecuencia son el phishing por email, el phishing por teléfono (llamado vishing), el phishing por mensajería de texto o SMS (smishing) y el phishing dirigido a una persona con un nivel de acceso elevado (spear phishing).
  • Malware: Consiste en engañar a los usuarios para que se descarguen software dañino (malware) diseñado para acceder a un dispositivo o red y dañarlo o controlarlo. A menudo, ese software se distribuye mediante un vínculo o archivo adjunto en un email de phishing.
  • Ingeniería social: Consiste en manipular a las personas para que realicen una acción o revelen información confidencial.
  • Aprovechamiento de información pública: Consiste en usar información que está disponible públicamente en Internet (por ejemplo, una plataforma de redes sociales) para ayudar a diseñar un ataque de ingeniería social, averiguar una contraseña o crear un email de phishing dirigido.
  • Tailgating: Consiste en acceder a un área protegida siguiendo al poseedor de una insignia o convencer de algún modo a esta persona para que le permita la entrada.
  • Intercepción: Escucha secreta de conversaciones privadas.
  • Búsqueda en la basura: Consiste en recopilar información de la papelera que no se destruyó de forma apropiada.
  • Instalación de dispositivos fraudulentos: Consiste en acceder a una red segura instalando un router inalámbrico o lápiz USB con software dañino.

Recursos

Comparta sus comentarios de Trailhead en la Ayuda de Salesforce.

Nos encantaría saber más sobre su experiencia con Trailhead. Ahora puede acceder al nuevo formulario de comentarios en cualquier momento en el sitio de Ayuda de Salesforce.

Más información Continuar a Compartir comentarios