Comprender los riesgo de seguridad
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Explicar las distintas maneras en las que los delitos cibernéticos pueden dañar a su empresa.
- Enumerar los principales comportamientos humanos de los que se aprovechan los intrusos.
- Describir los métodos más comunes que utilizan los criminales para conseguir acceso a la información.
El comportamiento seguro de los empleados es igual de importante que la tecnología segura
Teniendo en cuenta que utilizamos la tecnología en nuestra vida personal y en el trabajo a diario, tiene sentido que los delitos cibernéticos estén en mente de todos. En el informe 2021 Verizon Data Breach Investigation Report se habla de un registro total de 157 525 incidentes en categorías que oscilan desde malware hasta hacking, pasando por vulneraciones de ingeniería social o ransomware. Los delitos cibernéticos continúan evolucionando. Algunas de las formas de ataques con más éxito de los últimos años (como el phishing), se dirigen a las personas, no a la tecnología. De acuerdo con el informe de 2022, el phishing y el robo de credenciales de usuarios fueron las principales formas de amenaza en 2021.
El panorama de amenazas es más complejo que nunca, y a los equipos de seguridad cada vez les resulta más difícil prevenir, detectar, analizar y responder ante las amenazas. Los ciberdelincuentes han cambiado sus tácticas y han pasado de realizar ataques tecnológicos a dirigir sus ataques a los empleados aprovechándose de los comportamientos básicos humanos. A medida que la tecnología de seguridad ha ido avanzando, los hackers buscan acceder al punto más débil de la red; la mayoría de las veces suele ser un error humano. Las oportunidades de formación de seguridad, como esta insignia, son más importantes que nunca. Ya que los empleados resultan ser el blanco más fácil para los hackers, es fundamental que todos aprendan a protegerse a ellos mismos y a su empresa. Ahora más que nunca, todas las personas tienen impacto en la seguridad, independientemente de su función o título.
Basta con que un empleado abra un correo electrónico de phishing para desencadenar una serie de sucesos que pueden poner en riesgo los datos de su empresa. Esto significa que la seguridad debería formar parte del trabajo de cada persona. En este módulo, veremos algunos comportamientos básicos que puede adoptar cada empleado para ayudar a que la empresa esté más segura.
Los intrusos se aprovechan de los comportamientos humanos
Hablemos sobre el papel que desempeña la naturaleza humana en los delitos cibernéticos. Los criminales han aprendido que pueden aprovecharse de los sentimientos humanos típicos, como la curiosidad y el deseo de complacer, con el fin de robar credenciales e infiltrarse en su red. Veamos con más profundidad algunos mensajes que provocan estas emociones.
-
Miedo: "Si no me da la información, lo denunciaré a su jefe".
-
Confianza: "Su cuenta bancaria acaba de cerrarse. Haga clic aquí para volver a activarla".
-
Moralidad: "¿Puede dejar la puerta de la oficina abierta para que pueda entrar? Tengo el brazo roto y el paquete pesa".
-
Premio: "Mi empresa se está pensando invertir en sus productos. ¿Puede responder algunas preguntas sobre su organización?"
-
Conformidad: "Bill Stevens del departamento de finanzas siempre me mantiene informado sobre las ganancias del segundo trimestre, pero no consigo contactar con él. ¿Puede ayudarme usted?"
-
Curiosidad: "Vaya, mire este vídeo de una serpiente gigante comiéndose al guardián del zoológico".
Detectar métodos de ataque básicos
Los hackers consiguen acceso a sus objetivos de muchas formas. La siguiente lista de métodos de puntos de entrada son técnicas comunes que utilizan los ciberdelincuentes para apoderarse de los comportamientos humanos y conseguir acceso a información confidencial o a redes.
-
Phishing: Intentar adquirir información confidencial, como nombres de usuario y contraseñas (también conocidos como credenciales de usuario), detalles de tarjetas de crédito e información bancaria haciéndose pasar por alguna entidad de confianza. Hay varios tipos de phishing. Algunos de los métodos utilizados más comunes son phishing por correo electrónico, phishing por teléfono (llamado vishing), phishing por mensajes de texto o SMS (smishing) y phishing dirigido directamente a una persona con un alto nivel de acceso (spear phishing).
-
Malware: Engañar a los usuarios para que se descarguen software malicioso (malware) que tiene como fin acceder, dañar o controlar un dispositivo o una red; normalmente se envía mediante un vínculo o un archivo adjunto en un correo electrónico de phishing.
-
Ingeniería social: Manipular a las personas para que actúen o para que revelen información confidencial.
-
Explotación de la información pública: Utilizar información pública disponible en internet (por ejemplo, en una red social) para ayudar a diseñar un ataque de ingeniería social, descifrar una contraseña o crear un correo electrónico de phishing con un objetivo.
-
Tailgating: Conseguir acceso a una zona segura, siguiendo al propietario de una tarjeta identificativa o persuadiendo a alguien para que les deje pasar.
-
Eavesdropping: Escuchar en secreto conversaciones privadas.
-
Dumpster Diving: Recolectar información confidencial de la papelera que no se destruyó de la manera apropiada.
-
Instalación de dispositivos no autorizados: Conseguir acceso a una red segura mediante la instalación de un enrutador inalámbrico o una unidad USB que contenga software malicioso.
Recursos
- Ayuda de Salesforce: Guía de seguridad de Salesforce
- Salesforce: Prácticas recomendadas de seguridad de Salesforce