Esta es una información que probablemente te preguntes por qué necesitas saberla… Sólo puedo decirte, que es mejor que lo conozcas tú primero y tomes cartas en el asunto, y no que lo descubra un ciberdelincuente antes, y se aproveche de él para atacar tu empresa, tus sistemas, tu información, y que los resultados sean mucho peor.
Partiendo de allí, desarrollaré este post, para que aprendas a identificar el eslabón más débil de tu empresa, y así puedas trabajarlo y fortalecerlo, evitando que un cibercriminal tome ventaja del asunto.
Índice de contenidos
Primero que todo debes saber que hay diferentes tipos de personas con un nivel de conocimiento de tecnologías en una compañía
Éste es el primer paso. Saber que todas las personas que conforman tu empresa no tienen el mismo conocimiento sobre tecnología o ciberseguridad, no todas siguen las buenas prácticas de seguridad, y algunos quizás ni sepan que es un cibercriminal.
Tú debes encargarte de educarlos, pero su conocimiento, conciencia y comportamiento preventivo realmente está en sus manos.
Por esta misma razón, decidí clasificar a los tipos de personas que podrás encontrar dentro de tu organización, o de la organización para la que trabajas.
I. Las personas que no tienen conocimiento alguno sobre tecnologías
Con ellos, me refiero a quienes no manejan ningún conocimiento en el área, ni siquiera básico. No tienen idea de cómo utilizar los dispositivos, internet, redes sociales, etc. Y mucho menos, saben cómo utilizarlos adecuadamente.
II. Los que tienen conocimientos técnicos básicos
Este tipo aunque conoce las herramientas, no las utiliza todas, y si lo hace, no de una forma correcta y segura.
De hecho, podría decir que estas personas utilizan la tecnología más en el ámbito personal que en el laboral, y como te comenté en ocasiones anteriores, incluso las malas prácticas en el plano personal, pueden darle paso a los ciberdelincuentes a un empleado, sistema, información sensible de tu compañía y a ti en consecuencia.
III. Los que tiene conocimientos intermedios
Estos son las personas que ya entienden mucho mejor el funcionamiento de la tecnología, e incluso, manejan un conocimiento básico sobre ciberseguridad y las buenas prácticas en el área.
Con ellos, puedes sentirte un poco más confiado pero de igual forma se debe de capacitarlos contra las amenazas de un ciberataque.
IV. Los que tienen un conocimiento avanzado
Este tipo de personas manejan a la perfección las herramientas tecnológicas en todos los aspectos de su vida, el personal, laboral, etc.
Conocen sobre ciberseguridad, incluso podrían estar familiarizados con noticias o con consecuencias de ciberataques y cómo podrían ser orquestados.
Pero antes de culminar debo advertirte que sin importar el tipo de personas que tengas dentro de los equipos de tu compañía eres vulnerable, tanto como ellos. Sólo que en algunos casos es más probable que pueda ocurrir un ciberataque de forma exitosa, mientras que en otros no. Pero un nivel absoluto, es decir, un 100% de ciberseguridad es imposible de alcanzar.
Aunque manejes ampliamente y tengas experiencia en el área, o si tienes expertos, siempre existe la probabilidad de ser atacado.
¿Cómo van a atacar al eslabón más débil de tu empresa?
A este nivel, ya reconoces el tipo de personas que pueden formar parte de tu equipo empresarial, pero, ¿cómo utilizan esta información los ciberdelincuentes para orquestar un ataque de ingeniería social, o simplemente cualquier tipo de ciberataque? Ésta es la forma en la que lo hacen, paso a paso.
Conócela, instruye a tu personal y evita.
I. Detectan a la víctima y recolectan su información
Éste es el primer paso. Ya en el punto anterior, descubriste que quienes tienen menor conocimiento tecnológico o sobre ciberseguridad son los más vulnerables. En ellos, debes centrar tu atención porque ellos son la víctima ideal para un cibercriminal.
Por lo general, esta persona con conocimiento básico o nulo sobre el tema, que puede que utilice ciertas herramientas, pero que no lo haga de forma adecuada y esté mucho más vulnerable que los demás. Pero realmente todos podemos ser víctimas. De hecho, los ciberdelincuentes siempre detectan más de una persona posible, y no siempre son del mismo tipo.
¿Cómo los ciberdelincuentes dan con ella? Investigando. Gracias a internet, a las redes sociales, y a muchas otras fuentes en donde exponemos información diariamente sobre nuestras rutinas, lo que hacemos, qué nos gusta y qué no, dónde de trabajamos, etc.
¿Qué podemos aprender de ésto?
- Moderación con el contenido que se publica: Puedes estar nutriendo de información a un ciberatacante. Y esto no solo en tu vida, también en la de tus trabajadores o los miembros de tu equipo.
- Motiva y propicia la formación: No solo en el tema de ciberseguridad, también en la prevención y el buen uso de las herramientas tecnológica, incluso en el plano personal. Éste es parte del gran secreto para estar prevenido. Realiza evaluaciones y has tu mejor esfuerzo por disminuir o eliminar las personas con poca formación dentro de tu equipo. Esta medida aunque no te exenta 100% de que puedas sufrir un ciberataque, sí reduce significativamente la probabilidad.
II. Estudian el patrón de vida personal y laboral
La información que recolectan, los ciberdelincuentes deben utilizarla para algo. En este caso, para estudiar establecer un patrón de la vida de su víctima potencial, que en este caso, sería las personas seleccionadas en la fase anterior.
Estudian su comportamiento, sus características, sus rutinas, hobbies, actividades, horarios, horas en que se conectan a las redes sociales u otras herramientas tecnológicas, entre otras.
Es como si elaboraran un libro espiando la vida y obra de la persona. Esto les facilita el trabajo a la hora de elegir un vector de ataque, el perfil y todos los pasos de los que te hablaré a continuación.
¿Qué podemos aprender de esto?
Evitar las rutinas muy marcadas puede evitar un fácil ciberataque. A partir de este punto, un ataque de ingeniería social puede que sea inminente, porque ya estaríamos en la mira del ciberdelincuente, que si es lo suficientemente astuto, lo logrará con efectividad. Lo que sí podemos hacer, es no dejarle fácil el trabajo. ¿Cómo? alterando el orden y la frecuencia de nuestras actividades diarias. Mientras más heterogénea sea nuestra cotidianidad, más se le dificultará elegir un vector de ataque o conocerme al ciberdelincuente. De hecho, si se torna muy difícil, podríamos incluso apostar en que buscaría otro blanco. No basta con conocer las herramientas y utilizarlas lo mejor posible. Las rutinas repetitivas también deberías abandonarlas. Tú, y los miembros de tu equipo.
III. Realizan el perfil psicológico de la víctima
Cuando conocen tu rutina, deben armar un perfil, en donde resalten las fortalezas, pero sobre todo las debilidades que tienes en tu rutina o en tu vida relacionada con la tecnología, para escoger una buena estrategia de ataque. Ése es el principal objetivo de esta fase.
Es importante resaltar también, que los ciberdelincuentes hasta este punto puede que tengan varios candidatos para el ataque. Varias personas y varios perfiles que los llevarían a la siguiente fase.
¿Qué podemos aprender de esto?
Los ciberdelincuentes pueden llegarte a conocer tanto, que quizás hasta puedan notar cosas que ni tú mismo has notado. Cuando tengas un momento, trata de reflexionar sobre tu vida, qué tanto te expones, y cuáles debilidades o puntos vulnerables tienes. Si tú estás consciente de esto antes que los ciberdelincuentes, puedes tener oportunidad de reforzar y de afianzar esos aspectos, y aunque no te libres 100% del ciberatacante, si haces su trabajo mucho más difícil y tardío.
IV. Detectan al eslabón más débil
Si llegan a este punto, los ciberdelincuentes cumplieron su objetivo. Recolectaron información sobre ti o miembros de tu equipo, alcanzaron el perfil psicológico de varias personas, y hasta es posible que hayan trazado un vector de ataque o estén próximos a hacerlo.
Con todos esos datos ellos pueden seleccionar en base a su experiencia quién es el eslabón más débil. Y a ésta persona es a la que van a atacar.
¿Qué podemos aprender de esto?
A este punto, no hay mucho que hacer. Sólo nos restaría esperar, y tener un buen plan de contingencia o de acción en caso de ciberataques, para minimizar los efectos. Al menos tener expertos en ciberseguridad vinculados a tu empresa o a tu equipo, para que no sea tan grave la consecuencia. Pero al ya tener una víctima seleccionada como objetivo débil, un ciberataque, es inminente.
V. Determinan la estrategia de ataque
Cuando saben que van a atacar y a quién van a atacar, lo que sigue es afinar los detalles de la estrategia que van a utilizar. Esta se va a basar en la información que recolectaron, explotando los puntos débiles o vulnerables que encontraron en el perfil de la víctima.
Una vez que se tenga los objetivos, seleccionan el tipo de ataque que van a realizar. Cuál va a ser su estilo, el momento, y todos esos detalles que van a poner en práctica en una fase posterior.
Algunos tipos de ataques que puedo compartirte son los siguientes:
- De caza (Asechar a la víctima y atacar): Seleccionan a la víctima, la asechan y luego atacan. Por ejemplo: para este tipo de ataque es común que se realicen técnicas de ingeniería social bien sea en un ámbito digital o incluso físico.
- Pesca (Atraer a la víctima y atacarla): el objetivo en este tipo de ataques es atraer a la víctima para atacarla. Aunque si logra escapar, será mucho más difícil que vuelvan a atraparla. Pero una particularidad de este tipo de ataques es que por lo general son masivos y a veces hasta al azar. Por ejemplo: los ataques de correos masivos tipo pishing, entre otro tipo de ataques de ingeniería social para una gran cantidad de personas.
¿Qué podemos aprender de esto?
Una vez más no hay mucho por hacer, pero siempre hay algo que aprender. Primero cómo piensan y actúan los ciberdelincuentes cuando van a atacar, y conociendo este tipo de ciberataques, puedes estar más atentos quizás los correos electrónicos que recibes, o a esa persona misteriosa que te contactó, que quiere tener cercanía contigo de una manera inusual. Conocer a tu enemigo puede adelantarte a él en sus jugadas.
VI. Realizan el ataque
Por último, pero no menos importante, es la realización del ciberataque. La materialización de todos los pasos anteriores. Es lamentable, pero una realidad a la que muchos pueden estar expuestos, la ciberseguridad total no existe. Pero sí se puede prevenir, retrasar, o contrarrestar los efectos.
Allí es donde está el principal aprendizaje de este punto. Prepárate, desarrolla cultura de ciberseguridad dentro y fuera de tu compañía, involucra a todos los miembros, sin excepción, apóyate con un experto en ciberseguridad y hasta dos si es necesario, pero más importante aún, fortifica ese eslabón debil de tu compañía para que las probabilidades de ser atacado disminuyan, o al menos, los efectos de un ciberataque, puedas controlarlas efectiva y eficientemente.
Si tienes alguna duda o necesitas alguna asesoría en el tema, estoy dispuesto para atenderte.