Los retos en la prevención y el autocuidado frente a factores de riesgo público provenientes de actos criminales, tienen que ver hoy, con los conocimientos que sobre ciberseguridad, sobre el manejo de la información en entornos digitales y el adecuado manejo de las redes sociales, tengan de manera individual los trabajadores, que en el mundo moderno son esenciales para la seguridad en lo colectivo de los procesos productivos de una empresa, especialmente en un entorno donde el acceso no autorizado a dispositivos y nuevas tecnologías de comunicación, puede llevar a la exposición de información sensible.
Retos más comunes:
- Conciencia de seguridad:
Está relacionada con el cuidado, los hábitos, la educación y la capacitación sobre prácticas seguras en el manejo de la información tanto personal como corporativa, y de las herramientas de ciberseguridad.
- Uso de dispositivos personales para el trabajo:
Los riesgos en el uso de dispositivos personales (BYOD – Bring Your Own Device) en las actividades laborales para acceder a los recursos de la empresa y que puedan no estar adecuadamente protegidos contra amenazas cibernéticas.
- Redes Wi-Fi inseguras:
Conexión a redes Wi-Fi públicas o inseguras que pueden ser interceptadas por criminales.
- Phishing y Spear Phishing:
Alta sofisticación en los ataques de phishing, que pueden engañar a los empleados para que revelen información sensible.
- Compartir información sensible en Redes Sociales:
Publicación inadvertida de información confidencial o detalles de trabajo en redes sociales que pueden ser utilizados por atacantes.
- Contraseñas débiles:
Uso de contraseñas simples y repetitivas que son fáciles de adivinar o crackear.
- Falta de actualizaciones de Software:
Dispositivos y aplicaciones que no se mantienen actualizados con los últimos parches de seguridad.
- Acceso inadecuado a datos Corporativos:
Permisos de acceso excesivos o inadecuados que permiten a empleados acceder a más información de la necesaria.
- Ingeniería Social:
Técnicas de manipulación psicológica que explotan la confianza y la falta de sospecha de los empleados.
- Descarga de Software no autorizado:
Instalación de aplicaciones no aprobadas por la empresa, que pueden contener malware o generar vulnerabilidades.
Enfrentar Conductas Criminales en Redes Sociales y Tecnología de las Comunicaciones
La expansión de las redes sociales y las tecnologías de la comunicación ha traído consigo nuevos desafíos en términos de seguridad. Entre los más críticos se encuentran la extorsión, el seudosecuestro y la sextorsión. Estos delitos no solo afectan a individuos en su vida personal, sino también pueden comprometer la seguridad de las empresas. A continuación, se detallan los principales retos y recomendaciones para la prevención y autocuidado frente a estos riesgos.
- Falta de Conocimiento y Conciencia: Muchas personas usuarias de los medios digitales en las empresas, no están plenamente conscientes de las tácticas que utilizan los criminales. La falta de educación en ciberseguridad hace que sea más fácil para los delincuentes explotar las vulnerabilidades de sus víctimas.
La falta de conocimiento y conciencia se refiere básicamente a la insuficiencia de información y entendimiento que tienen las personas del común, sobre los riesgos y las amenazas asociadas al uso de las redes sociales, los entornos digitales y las nuevas tecnologías de la comunicación.
Este tipo de vulnerabilidades conllevan a:
… a subestimar los riesgos: En este caso el problema más importante es aislarse de la realidad y no reconocer la gravedad de las amenazas presentes en las redes sociales.
… a desconocer las tácticas criminales: El riesgo más grave es pretender vivir en un mundo análogo diferente, y la falta de preocupación por estar al tanto y actualizados de las técnicas de ingeniería social y otros métodos criminales utilizados por los delincuentes para manipular y explotar a las víctimas.
… a no implementar medidas de seguridad: El resultado de subestimar los riesgos sumado a desconocer los modelos criminales para actuar, es el de que no se apliquen de manera oportuna prácticas adecuadas para proteger la información corporativa y la privacidad de la información personal y familiar.
…a compartir de manera ingenua información sensible: Las tres conductas anteriores llevan a las víctimas a facilitar los medios para que se divulguen datos sensibles corporativos y personales o familiares privados, que los criminales pueden utilizar para cometer delitos como extorsión, fraude o robo de identidad.
La clave es la educación en ciberseguridad para reducir la vulnerabilidad:
Para reducir la vulnerabilidad de los usuarios tanto de los medios digitales en las empresas, como en las redes sociales y mejorar su capacidad para enfrentar situaciones de riesgo, es fundamental proporcionar una educación integral en ciberseguridad que incluya:
1.1 Concientización sobre amenazas: Informar sobre los diferentes tipos de amenazas y tácticas utilizadas por los delincuentes, como phishing, ingeniería social, malware, y robo de identidad.
1.2 Capacitación en prácticas de seguridad: Enseñar a los usuarios las mejores prácticas para proteger su información personal y cómo configurar adecuadamente las opciones de privacidad en redes sociales.
1.3 Simulaciones y ejercicios prácticos: Realizar simulacros de ataques como phishing y situaciones de extorsión, sextorsión o seudosecuestro para que los usuarios aprendan a identificar y a manejar estas amenazas en un entorno controlado.
1.4 Actualización continua: Proveer actualizaciones periódicas sobre nuevas amenazas y técnicas de seguridad, dado que el panorama de amenazas en ciberseguridad está en constante evolución.
1.5 Fomento de la comunicación abierta: Promover un ambiente donde los usuarios se sientan cómodos compartiendo sus preocupaciones y experiencias relacionadas con la ciberseguridad, facilitando el aprendizaje colaborativo.
- Ingeniería Social: Los agresores suelen utilizar técnicas de ingeniería social para manipular a las personas y obtener información confidencial. Esto puede incluir phishing, suplantación de identidad, y otros métodos para ganarse la confianza de la víctima.
La ingeniería social es una técnica utilizada por delincuentes para manipular a las personas con el objetivo de obtener información confidencial, acceder a sistemas informáticos, o realizar acciones que beneficien a los criminales. Esta manipulación se basa en la explotación de la confianza, el miedo, la curiosidad, la ingenuidad o la ignorancia de las víctimas.
Modalidades más comunes de Ingeniería Social:
2.1 Phishing: Envío de correos electrónicos o mensajes falsos que parecen ser de fuentes confiables para engañar a las víctimas y hacer que revelen información personal o hagan clic en enlaces maliciosos.
2.2 Spear Phishing: Variante del phishing que se dirige a una persona o grupo específico utilizando información personalizada para aumentar la credibilidad del mensaje.
2.3 Pretexting: Creación de una historia o pretexto falso para engañar a las víctimas y obtener información confidencial o acceso a recursos.
2.4 Baiting: Uso de un incentivo o señuelo (como una descarga gratuita o una oferta atractiva) para engañar a las víctimas y hacer que ejecuten acciones perjudiciales.
2.5 Quid Pro Quo: Promesa de un beneficio a cambio de información confidencial o acceso a sistemas.
2.6 Impersonation: Suplantación de identidad de una persona conocida o de confianza para obtener información o acceso.
2.7 Tailgating: Táctica física en la que el atacante sigue a una persona autorizada para acceder a un área restringida.
2.8 Vishing: Uso de llamadas telefónicas para engañar a las víctimas y obtener información confidencial.
2.9 Smishing: Envío de mensajes SMS fraudulentos para obtener información personal o financiera.
2.10 Watering Hole: Compromiso de sitios web que son frecuentados por las víctimas objetivo para distribuir malware.
2.11 Bluesnarfing: Es un proceso de ciberataque que realizan los delincuentes para robar los datos personales de los usuarios a través del Bluetooth de sus dispositivos, para obtener su información personal y financiera.
Recomendaciones para evitar ser víctima de ingeniería social en redes sociales
- Configuración de privacidad:
Ajustar las configuraciones de privacidad en redes sociales para que deje de tener acceso público. y limitar a las personas desconocidas que pueden ver y acceder a la información personal.
Revisar y actualizar estas configuraciones regularmente.
- Comprobación de solicitudes:
Verificar la autenticidad de las solicitudes de amistad o conexión antes de aceptarlas.
No aceptar solicitudes de personas desconocidas o sospechosas.
- Cuidado con la información compartida:
Evite compartir información personal, financiera o confidencial en redes sociales.
Es necesario ser consciente de la información que se publica y cómo puede ser utilizada por los criminales.
- Uso de contraseñas seguras:
Crear contraseñas fuertes y únicas para cada cuenta.
Utilizar un administrador de contraseñas para gestionar múltiples credenciales.
- Autenticación Multifactor (MFA):
Habilitar MFA en todas las cuentas de redes sociales para agregar una capa adicional de seguridad.
Utilizar aplicaciones de autenticación en lugar de mensajes de texto cuando sea posible.
- Detección de Phishing:
No hacer clic en links o en enlaces desconocidos, ni descargar archivos adjuntos de correos electrónicos o mensajes no solicitados.
Verificar la autenticidad de los mensajes de instituciones financieras o servicios en línea antes de proporcionar información.
- Actualización de Software y Dispositivos:
Mantener todos los dispositivos y aplicaciones actualizados con los últimos parches de seguridad.
Utilizar software antivirus y antimalware confiable. Mantener apagado el Bluetooth en espacios públicos y mientras no lo esté utilizando.
- Supervisión de Actividad de Cuenta:
Revisar regularmente la actividad de las cuentas en redes sociales para detectar accesos no autorizados o publicaciones sospechosas.
Informar y cambiar contraseñas si se detecta actividad inusual.
- Desconfianza ante ofertas demasiado buenas para ser verdaderas:
Sospechar de ofertas, premios u oportunidades que parezcan demasiado buenas para ser ciertas.
Verificar la legitimidad de estas ofertas a través de fuentes oficiales antes de tomar cualquier acción.
- Educación Continua en Ciberseguridad:
Participar en cursos y talleres de ciberseguridad para mantenerse actualizado sobre las mejores prácticas y nuevas amenazas.
Compartir el conocimiento adquirido con familiares y amigos para crear una red de usuarios más segura.
- Privacidad y Protección de Datos: La gestión inadecuada de la privacidad en las redes sociales puede llevar a la exposición de información personal sensible, que los delincuentes pueden utilizar para chantajear o extorsionar.
- Tecnologías en Constante Evolución: La rápida evolución de las tecnologías de la comunicación dificulta la implementación de medidas de seguridad efectivas y actualizadas.
- Acceso No Autorizado a Dispositivos: La falta de medidas de seguridad en dispositivos personales y corporativos puede facilitar el acceso no autorizado, permitiendo a los delincuentes obtener información valiosa.
Para ver la continuación de este post, encuentre las recomendaciones de prevención y autocuidado que se encuentran en la segunda parte aquí
Si te interesan mas temas de riesgo laboral puedes ir a Riesgo público y seguridad laboral