La ingeniería social es el método psicológico que emplean los delincuentes informáticos con el propósito de conseguir que una persona comparta información confidencial. Como explica Kaspersky, una empresa de soluciones de ciberseguridad, eso se logra infectando la computadora de la víctima con programas maliciosos que dan al delincuente informático acceso directo a la red de computadoras de la persona. Los ataques de ingeniería social requieren que la persona a quien se contacta abra un archivo, haga clic en un enlace o envíe información al atacante.
¿Su iglesia ha sido víctima de ingeniería social?
La ingeniería social es el método psicológico que emplean los delincuentes informáticos con el propósito de conseguir que una persona comparta información confidencial. Como explica Kaspersky, una empresa de soluciones de ciberseguridad, eso se logra infectando la computadora de la víctima con programas maliciosos que dan al delincuente informático acceso directo a la red de computadoras de la persona. Los ataques de ingeniería social requieren que la persona a quien se contacta abra un archivo, haga clic en un enlace o envíe información al atacante.¿Qué aspecto tiene la ingeniería social?
La ingeniería social puede adquirir varias formas. Por ejemplo: el secretario de la iglesia recibe una llamada telefónica de alguien que solicita un directorio de la iglesia para ayudarle a recordar el nombre de una persona. El directorio de la iglesia contiene fotos, nombres, direcciones y números de teléfono de los miembros de la iglesia. Si el secretario acepta su pedido, podría estar entregándole la información personal de los miembros a un delincuente informático.A menudo un delincuente informático dirá que habla en nombre de una fuente autorizada para que a su víctima le resulte creíble. El siguiente es un ejemplo de cómo podría ser esa llamada telefónica.
«Hola, habla Jackie de asistencia de Microsoft, veo que está teniendo problemas con su red. En Microsoft nos aseguramos de que las computadoras de nuestros clientes no tengan dificultades. Veo que está en línea, ¿es correcto? ¿Sí? Perfecto. Le enviaré un enlace de asistencia que asegurará que su sistema funcione correctamente. ¿Podría darme su dirección de correo electrónico para enviarle el enlace?»
Si el receptor hace clic en el enlace enviado en el correo electrónico, su computadora estará comprometida.
Los peores ataques aparecen como algo que podría ocurrir como parte de la rutina normal de un usuario. Por ejemplo, si el objetivo es el tesorero de la iglesia, el ataque podría ser un correo electrónico falsificado (falso) del pastor, con la siguiente información: «Por favor agregue la información adjunta al orden del día de la próxima reunión del comité financiero». Sin embargo, lo que el receptor no sabe es que el archivo adjunto al correo electrónico posee un código malicioso que pone en peligro la computadora del tesorero.
¿Por qué se ataca a las iglesias?
Las iglesias son objetivos importantes:- porque a menudo los sistemas de la iglesia no son seguros, y los empleados y voluntarios no están capacitados, lo cual hace a las iglesias más vulnerables a los ataques, y
- debido a la información valiosa guardada en los sistemas de la iglesia.
Las iglesias a menudo guardan los nombres, las direcciones, los números de teléfono, las direcciones de correo electrónico de los miembros, las sumas totales de sus donaciones y, a veces, sus fechas de nacimiento en un sistema no cifrado. Los delincuentes informáticos pueden usar estos datos fingiendo ser miembros que se comunican con otras organizaciones para pedir que restablezcan «sus» contraseñas y luego obtener acceso completo a más información y cuentas. Los delincuentes informáticos pueden usar las bases de datos de las iglesias como una «lista de compras» de personas que han donado dinero, que les permite atacar a los donantes importantes de la iglesia o utilizar la información comprometida para robar su identidad.
Cuando una iglesia es puesta en peligro, el atacante obtiene acceso a las computadoras y redes de la iglesia. El ataque no tiene que ser sofisticado para que un delincuente informático pueda registrar cada pulsación de tecla, ver los sitios web visitados, los audios y videos, y cualquier otro archivo guardado en la red. El ataque podría darle acceso a información del boletín, a las minutas de reunión de la junta directiva, al cronograma del pastor y a sus correos electrónicos y a sitios web financieros como Adventist Giving, a través del cual se transfieren en línea los diezmos y las ofrendas.
¿Cómo podemos prevenirlo?
La protección comienza con una capacitación correcta y adecuada de todos los usuarios de computadoras y redes. Los usuarios nunca deben hacer clic en enlaces o archivos adjuntos sospechosos. Las iglesias deben desarrollar e implementar políticas referidas a cuándo, cómo y con quién puede compartirse la información de la iglesia. Además, instalar el software de seguridad apropiado ayudará a prevenir una infección de programas maliciosos. Hay numerosas soluciones disponibles en la industria.Algunas medidas de prevención adicionales son:
- Simplemente capacitar a los usuarios para que verifiquen la identidad de una persona o la autenticidad de un mensaje antes de seguir un enlace o adjunto es suficiente para bloquear muchos ataques básicos.
- Algunos proveedores utilizan autenticación de dos factores para verificar la identidad del usuario antes de permitir acceso al sistema. Para ello se requiere una aplicación móvil, a través de la cual los usuarios verifican el pedido de acceso para iniciar sesión en los sitios.
- Hacer que los proveedores incluyan su dirección IP en la lista blanca para impedir que ciertas computadoras tengan acceso a su red evita que los datos lleguen a fuentes y/o lugares no autorizados.
- Se considera una mejor práctica hacer que un equipo de seguridad de TI audite su seguridad.
Por último, es importante saber que los delincuentes informáticos son oportunistas que se aprovechan de los datos con escasa protección. Si dedica tiempo y esfuerzo para entender las amenazas cibernéticas comunes e implementar prácticas de seguridad simples, reducirá el riesgo de sufrir un ataque de ingeniería social exitoso.
Si desea saber más sobre ciberseguridad, descargue y lea la guía de ARM sobre Ciberseguridad (enlace).
