La próxima filtración de datos que exponga su información probablemente no involucre a un pirata informático de élite que perfeccione algún código para perforar el sistema de una empresa. En su lugar, el atacante puede preguntar amablemente a las personas adecuadas en un correo electrónico de aspecto normal.
La ingeniería social, el arte de la piratería de persuadir a las víctimas para que hagan su trabajo por usted, no es algo nuevo. Pero como lo atestigua el Informe de investigaciones de violación de datos de 2023 de Verizon, la táctica aún funciona.
Este proyecto anual del Centro Asesor de Investigación de Amenazas de Verizon(Se abre en una nueva ventana)—basado en un análisis de 16 312 incidentes de seguridad categorizados por VTRAC y organizaciones asociadas entre el 1 de noviembre de 2021 y el 31 de octubre de 2022, de los cuales 5199 calificados como violaciones de datos— encontró que un 74 % de esas violaciones involucraron acciones humanas.
Esa categoría puede incluir fallas humanas tales como errores del usuario (con el error principal «enviar algo al destinatario equivocado») y empleados que abusan de los privilegios (generalmente de manera maliciosa). Pero el informe comienza señalando que los correos electrónicos diseñados de manera persuasiva para los ejecutivos adecuados pueden ser especialmente efectivos para lograr que los destinatarios entreguen las credenciales de inicio de sesión o incluso envíen dinero directamente.
El término técnico para ese tipo de ataque de pretexto es compromiso de correo electrónico comercial, a menudo abreviado como «BEC», aunque preferiríamos ver esa abreviatura reservada para «tocino, huevo y queso».(Se abre en una nueva ventana) Los investigadores de Verizon descubrieron que representaba más de la mitad de los incidentes de ingeniería social.
La buena noticia en este informe de 89 páginas, a menudo escrito con descaro, también disponible como resumen ejecutivo de 18 páginas y en forma de infografía, es que otra plaga corporativa común, el ransomware, puede haber alcanzado su punto máximo. El nuevo informe tiene ransomware en el 24% de las infracciones, casi lo mismo en la versión anterior.
Y aunque los atacantes chinos, rusos y de otros gobiernos extranjeros reciben mucha atención por su posible uso de la piratería como herramienta de política nacional, el informe de Verizon sugiere que la mayoría de las empresas no deberían sentir angustia geopolítica. En cambio, la mayoría de sus adversarios solo están en esto por el dinero: «Los motivos financieros aún impulsan la gran mayoría de las infracciones», dice el informe, estimando que condujeron al 94,6% de las infracciones.
El informe, el último de una serie que Verizon ha estado publicando durante más de una década, no abre nuevos caminos en su breve lista de recomendaciones. Éstos cubren conceptos básicos como realizar capacitación en seguridad con regularidad (esperemos que no sea del tipo punitivo que la gente odia), configurar la autenticación de múltiples factores (el informe pierde la oportunidad de respaldar formularios a prueba de phishing como claves de seguridad USB y claves de acceso biométricamente seguras), y tener un proceso definido de respuesta a incidentes.
En un panel el martes por la mañana organizado en una de las oficinas de Verizon en Washington, Chris Novak, director gerente de consultoría de seguridad cibernética de la compañía y también miembro de la Agencia de Seguridad de Infraestructura y Seguridad Cibernética(Se abre en una nueva ventana) junta asesora, amplió ese consejo.
Cuando se le preguntó acerca de una defensa contra las filtraciones de datos que no se mencionó en el informe (retener menos datos para reducir las consecuencias de una, un paso básico que exigiría alguna legislación de privacidad propuesta), Novak señaló que la industria de tarjetas de pago es una buena adoptante de datos. prácticas de minimización.
“Hemos visto que la industria avanza a pasos agigantados”, dijo. “Creo que esa noción está comenzando a extenderse a otras industrias”.
Recomendado por Nuestros Editores
Novak agregó que si bien las empresas deben preguntarse qué datos necesitan y cuánto tiempo deben conservarlos, no deben olvidar trazar el camino de esa información: «También hay un elemento de saber a dónde van esos datos».
También enfatizó la frecuencia con la que los ataques dirigidos a las vulnerabilidades humanas, lo que llamó «brechas de ombligo», no se pueden solucionar con tecnología siempre que se pueda convencer a alguien para que reduzca una de esas defensas.
Ese alguien podría ser un alto ejecutivo que no quiere que lo molesten con una seguridad más estricta, dijo: «No queremos molestarlos, por lo que les permitimos tener una contraseña fácil».
Como observó Novak: “Tratar de cambiar el comportamiento humano es difícil”.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.