Según se informó en Julio de 2014, los ataques pueden ser contra el segmento del sector energético, cuando más de mil empresas de energía en Norteamérica y Europa relataron que habían sido comprometidas. Otros ataques pueden ser dirigidos a otros segmentos (por ejemplo, la Operación Troya, la Operación High Roller Nightdragon, etc.). Por ello, parece que ningún segmento está inmune a las violaciones de datos. Un tema común entre estos y otros ataques es el vector de la infección inicial, que se centra en explotar el subconsciente de un empleado de confianza. El modus operandi en la mayoría de las violaciones de datos más comunes es aprovechar alguna forma de ingeniería social para obligar al usuario a hacer algo que facilite la infección por el malware.
El predominio de la ingeniería social en muchos ataques informáticos revelados públicamente demuestra una debilidad inherente en la capacidad de las víctimas de distinguir las comunicaciones malintencionadas, o que los ciberdelincuentes están utilizando métodos más complejos para evitar el ‘firewall humano”. La respuesta, por supuesto, probablemente se encuentra en algún lugar entre estas dos declaraciones, pero, independientemente de la causa raíz, sí demuestra que la primera línea de defensa está evidentemente fallando.
La actitud predeterminada es culpar a los usuarios como la causa de las violaciones, lo que no es totalmente justo. Aunque haya ejemplos en que se están empleando prácticas claramente arriesgadas, nuestro más reciente estudio “Hackeo del Sistema Operativo Humano” demuestra que las técnicas utilizadas por los atacantes incluyen eludir la conciencia de sus objetivos y tratar de manipular a las víctimas mediante el uso de las palancas subconscientes de influencia, que a continuación se describen y que todas las empresas y empleados debería conocer:
Las seis palancas de la influencia que se deben de tener en cuenta en el mundo digital:
1. Reciprocidad: cuando a las personas se les proporciona algo, tienden a sentirse obligadas y posteriormente a devolver el favor.
2. Escasez: Las personas tienden a cumplir cuando creen que algo es escaso por ejemplo un correo electrónico ‘engañoso’ que dice ser de su Banco, en el que se solicita al usuario cumplir con una solicitud o de lo contrario su cuenta será desactivada dentro de las 24 horas.
3. Consistencia: Una vez que los objetivos se han comprometido a hacer algo, por lo general cumplen sus promesas porque las personas no desean parecer poco confiables o no fiables. Por ejemplo, un hacker que se hace pasar por el equipo de TI de una empresa podría contar con un empleado que se compromete a acatar todos los procesos de seguridad y luego le solicita realizar una tarea sospechosa supuestamente en consonancia con los requisitos de seguridad.
4. Agrado: Los objetivos tienen más probabilidades de cumplir cuando el ingeniero social es alguien que les cae bien. Un hacker podría utilizar su encanto a través del teléfono o en línea para ‘conquistar’ a una víctima desprevenida.
5. Autoridad: Las personas tienden a cumplir cuando una petición proviene de una figura de autoridad. O sea, podría ser un correo electrónico dirigido al equipo de finanzas que podría parecer que proviene del CEO y el Presidente.
6. Validación social: Las personas tienden a cumplir cuando los demás están haciendo lo mismo. Por ejemplo, un correo electrónico con phishing podría parecer como enviado a un grupo de empleados, lo que hace que un empleado crea que debe estar bien si otros colegas también recibieron la solicitud.
A menos que contemplemos la primera línea de defensa, las violaciones de datos seguirán acaparando las líneas de tiempo de nuestras cuentas en Twitter y apoyando el costo cada vez mayor de la delincuencia informática.