La técnica de la ingeniería social se ha convertido en una amenaza latente en todo contacto, sea por teléfono, correo electrónico, chat, mensajes cortos, en páginas web.
Los cibercriminales aprovechan las debilidades humanas para manipular a las personas y obtener de ellas información para el acceso malicioso a los sistemas de información.
Si recibe la llamada telefónica de algún técnico supuestamente para corregir algún problema con el sistema, no piense en que se trata de un servicio excelente que se preocupa por su seguridad. Mejor sorpréndase porque es casi seguro que quien le llama es un estafador.
Por correo electrónico el estafador suele enviar requerimientos de actualización de cuenta de usuario y contraseña, amenazando con suspender o desactivar la cuenta, a veces mediante alertas de supuestas compras, facturas o hasta avisos de terceros. Todo con el objeto de obtener los privilegios del usuario en el sistema objetivo.
Otras veces se aprovecha la facilidad del ser humano para aceptar regalos o de su curiosidad para que haga click en enlaces maliciosos o acceder a sitios supuestamente legítimos. Encontrarse una memoria USB, recibir revistas o fotos de desnudos de famosos, programas gratis, situaciones en las que el usuario cae sin pensar en los riesgos y consecuencias.
No importa que le digan que hablen de esa compañía que usted conoce, ni de parte de esa persona que también conoce, piense antes de proporcionar datos personales o permitir el acceso a su equipo. Sea suspicaz. El estafador intentará ganar su confianza para acceder a los sistemas.
El estafador recopila información del negocio y del empleado específico del ataque, con el fin de establecer el contacto, la relación de confianza que permita obtener la información o el acceso a los sistemas.
El usuario de áreas distintas a la de Sistemas es presa fácil de estas técnicas, por lo que es importante entrenarle sobre cómo actuar en tales casos. Reportar el incidente a las áreas de Sistemas o de Seguridad es aún más relevante para la toma de acciones ante probables intentos de ataques a los sistemas de información.