Según un estudio realizado por Check Point Software Technologies,un <048% de las empresas encuestadas ha sido víctima de 25 o más ataques de ingeniería social en los dos últimos años. El costo empresarial de estos incidentes de seguridad está entre 18.000 y 73.000 dolares.
El informe “Riesgo de la ingeniería social en la seguridad informática” de Check Point señala el phishing y las redes sociales como las principales fuentes de amenazas en ingeniería social y anima a las empresas a combinar estrategias tecnológicas y de concienciación para minimizar la frecuencia y el coste de los ataques.
Tradicionalmente, estos ataques tenían como objetivo a personas con información delicada o que tienen acceso a la misma. En la actualidad, los hackers recurren a una amplia gama de técnicas y aplicaciones de ingeniería social para obtener información personal y profesional y detectar el eslabón más débil en una organización.
Las fuentes más comunes de ataques de ingeniería social son los correos electrónicos de phishing (47%), seguidos de las redes sociales, donde se expone información personal y profesional (39%) y dispositivos móviles inseguros (12%). El ánimo de lucro es la principal motivación de estos ataques (51%), por delante del acceso a información propietaria (46%), la obtención de ventajas competitivas (40%) y la venganza (14%).
“Los resultados de la encuesta muestran que casi la mitad de las empresas son conscientes de que han sufrido ataques de ingeniería social. Sabiendo que muchos de estos ataques pasan desapercibidos, debemos tener en cuenta que este es un vector de ataque muy amplio y peligroso que no debe ser ignorado”, señala Oded Gonda, vicepresidente de productos de seguridad de red de Check Point Software Technologies.
Si bien las técnicas de ingeniería social confían en aprovecharse de las vulnerabilidades de una persona, la omnipresencia de la Web 2.0 y las tecnologías móviles también han incrementado las alternativas de cara a acceder a información personal, creando nuevas vías de penetración para la ejecución de estos ataques concretos. Los nuevos empleados (60%) y contratistas (44%), menos familiarizados con las políticas de seguridad corporativas, fueron señalados como los colectivos más susceptibles de convertirse en víctimas de estas amenazas, seguidos por personal de contratas, administrativos, recursos humanos y el departamento de informática.
“A fin de cuentas, las personas son un componte crítico del proceso de seguridad, en tanto y en cuanto son susceptibles ser víctimas de los engaños de los criminales y cometer errores que pueden llevar a infecciones por malware o pérdidas de datos no intencionadas. Muchas organizaciones no ponen suficiente empeño en involucrar a sus usuarios, cuando, de hecho, los empleados deberían ser la primera línea de defensa”, añade Gonda. “Una buena manera de hacer que los usuarios sean más conscientes de su importancia es involucrarlos en el proceso de seguridad, otorgándoles capacidades para evitar y remediar incidentes de seguridad en tiempo real.”
Shane O’Neill, CIO