La ingeniería social sigue estando detrás de demasiados ataques

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

Positive Technologies ha lanzado un nuevo informe con estadísticas sobre las tasas de éxito de ataques basados en ingeniería social. A través de proyectos de pentesting utilizados para verificar la seguridad de los sistemas corporativos Positive Technologies ha imitado las acciones de los piratas informáticos enviando correos electrónicos a los empleados con enlaces a sitios web, formularios de ingreso de contraseñas y archivos adjuntos.

En total, se enviaron 3.332 mensajes. Los resultados indican que, si esos simulacros de hubieran sido reales, el 17% de estos mensajes habrían comprometido el ordenador del empleado y, en última instancia, toda la infraestructura corporativa.

El método más efectivo de ingeniería social fue enviar un email con un enlace de phishing. El resultado fue que el 27% de los que recibieron el correo pincharon sobre el enlace.

Explica la compañía que para los emails sea más afectivos “los atacantes pueden combinar diferentes métodos: un solo mensaje puede contener un archivo malicioso y un enlace, lo que lleva a un sitio web que contiene múltiples exploits y un formulario de ingreso de contraseña” Y añade que los archivos adjuntos maliciosos “se pueden bloquear con una protección antivirus configurada correctamente; sin embargo, no hay una manera infalible de evitar que los usuarios sean engañados para que divulguen su contraseña”.

Los empleados a menudo abren archivos desconocidos, hacen clic en enlaces sospechosos e incluso se comunican con los atacantes. En el 88% de los casos estos empleados demasiado confiados trabajaron fuera de TI (como contadores, abogados y gerentes). Una cuarta parte de estos empleados eran supervisores de equipo. Sin embargo, nadie es inmune a los errores: el 3% por ciento de los profesionales de la seguridad también cayeron en la trampa.

Según el estudio de Positive Technologies, enviar mensajes de compañías falsas es una táctica cada vez más ineficaz que sólo causa el11% de las acciones de riesgo. Sin embargo, el envío de mensajes desde la cuenta de una empresa o persona real aumenta considerablemente las probabilidades de éxito (hasta el 33%).