El “cortafuegos humano”, primera defensa en ataques cibernéticos a empresas

Publicado el 20 febrero 2015 ¬ 12:03 pmh.mscComentarios desactivados en El “cortafuegos humano”, primera defensa en ataques cibernéticos a empresas

Las últimas técnicas de ingeniería social de los cibercriminales tienen en el punto de mira a los trabajadores de la empresa

Los usuarios son el eslabón “más débil” de la seguridad en una empresa, por lo que habría que educar ese “cortafuegos humano” ya que es la primera línea de defensa ante los ataques a la seguridad cibernética, ha explicado hoy el director regional de Intel Security en España, Javier Perea. “Todos esos ataques requieren de la intervención del usuario, de alguien que clique en el ‘link’ malicioso, se descargue un archivo infectado o introduzca una memoria USB que acceda a las bases de datos”, ha indicado Perea en declaraciones a EFEFuturo.

El informe “Hacking the Human OS”, ( http://mcaf.ee/y85ld ) elaborado por la empresa de seguridad informática Intel Security en colaboración con el Centro Europeo del Cibercrimen de la Europol, revela que las últimas técnicas de ingeniería social puestas en marcha por los cibercriminales son cada vez más sofisticadas y difíciles. Tienen en el punto de mira a los trabajadores de la empresa objeto del ataque.

Se trata del primer análisis enfocado en las técnicas de ingeniería social empleadas para estos ataques cibernéticos, según Perea, ya que cuando se publican esta clase de informes se hace “hincapié en los aspectos técnicos pero se deja de lado al usuario”. Por ello, este informe quiere destacar la importancia de concienciar y educar al usuario, para que asuma la seguridad de los datos como un hecho cultural.

Perea recomienda a los trabajadores que “alerten sobre un comportamiento sospechoso”, y que no se sientan “culpables” de caer en la trampa de un ataque de “phishing” (suplantación de identidad en línea). De hecho, el director regional de Intel Security ha informado de que el 18 % de los ataques de “phishing” masivos tienen éxito, razón por la que los atacantes emplean esta táctica de persuasión para el robo de credenciales o información comprometida de una empresa.

En el caso de las empresas, los laboratorios McAfee Labs han identificado más de 30 millones de URL sospechosas de “phishing”, una amenaza que ha aumentado debido al uso de nuevas direcciones web cortas, las cuales esconden sitios web maliciosos.

Entre las tácticas de ingeniería social más utilizadas, Perea ha asegurado que ésta es la más fácil y masiva ya que se puede hacer a través de web o e-mails, pero que también suceden ataques dirigidos mediante elementos físicos, como por ejemplo una memoria USB. Además, ha señalado el beneficio económico que generan a los atacantes el uso de técnicas como el robo y posterior encriptación de datos -cuya única forma de recuperar es pagar para desencriptarlos- o los ataques dirigidos al director general de la compañía, cuyo dispositivo informático maneja más información.

Estos ciberataques requieren de un trabajo previo de investigación, así que la tecnología social son todas “las técnicas psicológicas y habilidades sociales utilizadas de forma consciente y premeditada” por los atacantes para la obtención de información de terceros. Según Perea, una vez que el ciberatacante “ha determinado cómo va a hacer su ataque, instala su virus para obtener la información”, ya sea con un único acceso al dispositivo o instalando un “troyano” durante un tiempo indeterminado para extraer los datos.

Ha concluido que la forma más eficaz de protegerse frente a estas amenazas es estar informado, por lo que las empresas deben “impulsar la educación en materia de seguridad para mitigar los riesgos” de estos ataques cibernéticos.

Ver informacion original al respecto en Fuente:

http://www.laregion.es/articulo/tecnologia/cortafuegos-humano-primera-defensa-ataques-ciberneticos-empresas/20150219164119524493.html

 

Comentario:

Dificil tarea la de “educar” a los usuarios, a los cuales, si a pesar de los repetidos avisos de que NO SE DEBEN EJECUTAR LOS FICHEROS ANEXADOS A MAILS NO SOLICITADOS, muchos usuarios siguen “picando”, cuando dichos mails llegan con tecnicas de ingenieria social, como con SPOOFING simulando provenir de una empresa conocida, como FEDEX, UPS o incluso CORREOS, o de un Banco de los mas usuales, la batalla acostumbra a estar perdida, por lo que sugerimos, además, instalar una barrera perimetral que evite que lleguen dichos correos a los usuarios, de forma que los ZIP, RAR, CAB y demás empaquetados que contengan EXE, SCR, PIF, y demas ejecutables, o estos directamente (incluso con doble extension como .DOC.EXE, .JPG.SCR, o .PDF.PIF, por ejemplo, sean interceptados antes de llegar a ellos.

Ello se logra con diferentes aplicaciones y medios disponibles, como con el MEG de McAfee (MCAfee Email Gateway), lo cual recomendamos, o con otros productos como SPAMINA, ademas de la concienciación de los usuarios, y aplicación de su buen sentido común …

saludos

ms, 20-2-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies