“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
Ingeniería social: 6 consejos para proteger a tu empresa de su impacto
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Ingeniería social: 6 consejos para proteger a tu empresa de su impacto
Conclusiones
Cyber Security researcher y profesional en tecnologías de la información con una fuerte preocupación por la privacidad y los derechos digitales. Como Hacker Ético y Purple Teamer, desarrollando e implementando controles y evaluaciones de seguridad basados en amenazas reales (“Threat-informed defense”), maximizando la operatividad y costos de implementación. Especialista en tecnologías Cloud e infraestructura, incluyendo arquitectura, evaluaciones, mejores prácticas, deployments y seguridad operacional.
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Los ciberdelincuentes se valen de múltiples recursos para lograr sus objetivos. Esto incluye aprovecharse de vulnerabilidades informáticas, así como también de la propia naturaleza humana. Aspectos tan básicos como la empatía, la avaricia y la curiosidad podrían dar pie a un ataque de ingeniería social.
A continuación te explicamos en qué consisten este tipo de ciberataques y cómo puedes disminuir su impacto en tu empresa.
¿Qué es la ingeniería social?
La ingeniería social consiste en el uso de técnicas psicológicas para manipular el comportamiento de una persona, impulsando a las víctimas a actuar en contra de sus propios intereses. En el contexto de la seguridad de la información, los ataques de ingeniería social son ciberataques que buscan que la víctima comparta información privada a través de Internet, dejándola a la merced del atacante.
Esto puede implicar compartir datos que no deben compartir (como información confidencial de una empresa, credenciales de inicio de sesión, datos personales o números de tarjetas de crédito o seguridad social, por ejemplo), visitar sitios web maliciosos, descargar software malicioso, entre otros.
Con la información que obtienen, los ciberdelincuentes o ingenieros sociales pueden robar el dinero de la víctima, suplantar su identidad o utilizar los datos para llevar a cabo un ciberataque de mayor impacto, como un ataque de ransomware a una gran corporación.
¿Cómo funcionan los ataques de ingeniería social?
Las técnicas de ingeniería social se caracterizan por explotar los errores o vulnerabilidades del ser humano, manipulando sus instintos y emociones, en lugar de valerse de las vulnerabilidades informáticas para lograr su cometido.
La mayoría de los cibercriminales que llevan a cabo ataques de ingeniería social se valen de las siguientes técnicas:
- Inducen miedo o sensación de urgencia: con un mensaje de una transacción fallida o que un virus que ha infectado los sistemas, por ejemplo, pueden inducir en la víctima un estado de urgencia en el que actúa de forma precipitada.
- Fingen ser un ente gubernamental o una figura de autoridad: al fingir ser una institución gubernamental respetada, generan en la víctima o bien una sensación de confianza o de miedo, que les lleve a revelar información sensible.
- Fingen ser una marca reconocida y confiable: algunos estafadores se hacen pasar por empresas populares, con las cuales las víctimas probablemente realicen negocios de forma regular, por lo que no toman precauciones al recibir instrucciones.
- Se aprovechan de la avaricia: pueden ofrecer una recompensa a cambio de un pago determinado o de obtener información de la cuenta bancaria de la víctima.
- Apelan a la buena voluntad y la empatía: un mensaje por redes sociales ofreciendo soporte técnico o pidiendo que llene una encuesta, dejando algún enlace que lleva a un sitio web malicioso, es otra técnica ampliamente utilizada.
- Se valen de la curiosidad: fingiendo ser una empresa reconocida o una entidad gubernamental, los estafadores podrían enviar un mensaje en el que solicitan actualizar su número de teléfono, nombre de usuario u otros datos personales para enviarle un paquete o participar en un sorteo.
Tipos de ataques de ingeniería social
La ingeniería social es ampliamente utilizada para llevar a cabo ciberataques. Desde engaños por redes sociales hasta grandes estafas a empresas reconocidas. A continuación, explicamos los principales tipos de ataques de ingeniería social:
Phishing
Los ataques de phishing son una de las formas más comunes de ingeniería social en línea. Usualmente, se presentan como correos electrónicos que tratan de engañar a la víctima para que comparta información personal o empresarial. Los correos electrónicos de phishing también podrían incluir una solicitud para que la víctima descargue un archivo adjunto malicioso.
Vishing y smishing
El vishing o phishing de voz es una estafa que se lleva a cabo mediante llamada telefónica, a menudo utilizando tecnologías de cambio de voz; mientras que el smishing o phishing de SMS implica el uso de mensajes de texto para llevar a cabo la estafa. A pesar de que cambie el medio utilizado, la finalidad es la misma: obtener datos confidenciales o lograr infectar el dispositivo de la víctima con malware.
Pharming
El pharming (término compuesto por phishing y farming) es un tipo de ataque en el que el propósito de la estafa es dirigir a la víctima a un sitio web fraudulento, que pretende ser un sitio web genuino de una entidad reconocida (como un banco o una tienda en línea), convenciéndola de ingresar información confidencial y posiblemente infectando su dispositivo con algún tipo de malware.
Spoofing
Spoofing puede traducirse a suplantación o simulación. Se trata de una técnica que consiste en suplantar la identidad de otra persona o una entidad reconocida para obtener información privada de la víctima, que le permita al hacker estafar a otras personas.
Whaling
El whaling es un tipo de ataque de phishing que se dirige específicamente a directores generales de grandes empresas y otros blancos de características similares. Por ello, son considerados ataques ambiciosos y refinados, que requieren de conocimiento técnico de la industria atacada para tener éxito.
Tailgating
El tailgating es la estrategia que usan algunos hackers para obtener acceso físico a las instalaciones de una empresa que utiliza llaves digitales o escáneres de seguridad para evitar el acceso de personas no autorizadas. El atacante se acerca a una persona que está por acceder, y crea una historia sobre haber olvidado sus credenciales y tener una reunión importante u otra urgencia, valiéndose de la buena voluntad de la víctima.
Hunting
Se trata de una estrategia en la que el ciberatacante quiere obtener la mayor cantidad de información de múltiples usuarios con un sólo contacto. Por ello, no se estudia meticulosamente un blanco específico, sino que se dirige un ataque a muchos individuos que cumplen con algún criterio (por ejemplo, mayores de 60 años), sin esperar que haya interacción entre atacante y víctima.
Usualmente, estos ataques llevan a un enlace malicioso que descarga malware al dispositivo de la víctima, pero no funciona para robar información directamente.
Spear phishing
Los ataques de spear phishing se dirigen a trabajadores de una empresa que tengan acceso privilegiado a los sistemas o redes de la misma. El atacante estudia a la víctima (usualmente mediante redes sociales) para crear un mensaje personalizado que logre engañarla para otorgar información confidencial.
Baiting
En este caso, el hacker deja una «carnada» o «cebo» para la víctima; por ejemplo, pidiendo que realice un pago pequeño para recibir una mayor cantidad de dinero a cambio, o que realice una donación a una causa noble que no existe. Usualmente, la oferta es demasiado buena para ser real, haciéndola irresistible para la víctima.
Pretexting
El término pretexting en este caso se traduce literalmente como «pretexto». El atacante investiga a su víctima y crea un escenario falso para pedirle datos personales. Usualmente, se valen de crear una sensación de urgencia en la víctima.
Scareware
Se trata de un tipo de malware diseñado para aparecer como pantallas emergentes con mensajes que asustan a la víctima, diciendo que se ha detectado un virus informático o algún otro tipo de falla con el dispositivo, y que haciendo clic pueden descargar software de seguridad u otras soluciones, que terminan siendo programas maliciosos.
Ejemplos reales de ataques de ingeniería social
Los ataques de ingeniería social son sumamente comunes, y en los últimos años han afectado a distintos tipos de empresas y organizaciones. Algunos casos que han logrado comprometer la seguridad de la información de instituciones de renombre son:
Google y Facebook (2013-2015)
Entre 2013 y 2015, un hacker se hizo pasar por una empresa productora de computadoras y logró engañar a Google y Facebook para que realizaran pagos a cuentas bancarias falsas por servicios y productos que fueron proporcionados a ambas compañías por otra empresa.
Elecciones presidenciales de Estados Unidos (2016)
Durante la campaña para las elecciones presidenciales de Estados Unidos del 2016, un grupo de hackers llevaron a cabo un ataque de spear phishing contra el partido demócrata que llevó a la publicación de información sensible y datos de los votantes.
Ethereum Classic (2017)
Un grupo de ciberdelincuentes se hizo pasar por el dueño de Classic Ether Wallet en el 2017, logrando robar miles de dólares en forma de criptomonedas de múltiples usuarios.
Twitter (2020)
Las cuentas de Twitter de personalidades como Elon Musk y Bill Gates fueron hackeadas en el 2020, y los responsables se aprovecharon de la plataforma para engañar a los seguidores de dichas cuentas diciéndoles que les regalarían Bitcoins.
La frecuencia con que ocurren, y el alto perfil al que puede llegar este tipo de ciberataques, los hace resaltar como uno de los métodos de ataque más comunes y de mayor impacto actualmente. Esto hace que sea sumamente importante tomar medidas de prevención para limitar sus efectos.
6 consejos para proteger a tu empresa de los ataques de ingeniería social
Los ataques de ingeniería social son difíciles de prevenir porque se basan en las motivaciones humanas y no en la tecnología. Por ello, la mejor manera de prevenirlos es saber identificarlos y cómo esquivarlos una vez que se presentan.
A continuación te dejamos 6 consejos para proteger a tu empresa de los ataques de ingeniería social:
Utiliza software antimalware y firewalls
Una medida básica para otorgarle a tus redes y dispositivos una capa de protección inicial es el uso de software antimalware y firewalls. Este software es capaz de identificar malware que pudo ser descargado de manera inadvertida durante un ataque de ingeniería social y notificar de su existencia, facilitando su posterior eliminación.
Mantén tus sistemas actualizados
El uso de técnicas como el hacking ético y la creación de normativas en materia de ciberseguridad han permitido que las empresas que fabrican software y dispositivos IoT (Internet of Things) identifiquen las vulnerabilidades de sus productos y servicios, y creen actualizaciones que corrigen estas fallas. Por ello, es de suma importancia asegurarse de tener las versiones más actualizadas de programas y aplicaciones para disminuir el riesgo de que un ataque de ingeniería social tenga éxito.
Aplica filtros de correo electrónico
Otra medida básica que puede tomarse para frenar los ataques de ingeniería social es optimizar la configuración del correo electrónico empresarial, de manera que los filtros de spam sean más eficientes e impidan que los correos electrónicos de phishing lleguen a la bandeja de entrada. Estos filtros pueden ajustarse para mantener una lista de direcciones de correo electrónico seguras.
Desconfía de las solicitudes de datos
Cualquier tipo de comunicación en línea que solicite que ingrese datos confidenciales, probablemente es una estafa. Por ello, siempre es importante que compruebe el remitente antes de compartir información sensible, y que evite interactuar con sitios web sospechosos.
Crea políticas de seguridad claras
Toda empresa debería tener su propia política de seguridad, que incluya el uso de contraseñas seguras, doble factor de autenticación y un enfoque de seguridad confianza cero. Estas medidas, en conjunto, pueden limitar en gran medida el impacto de un ataque de ingeniería social.
Para crear estas políticas de manera que se adapten a las necesidades reales de tu empresa, lo mejor es asesorarse con expertos en materia de ciberseguridad. Por eso, en Delta Protect ofrecemos CISO as a Service que pone a tu disposición un equipo multidisciplinario para orientar tus recursos y acciones en dirección a un entorno más seguro.
Capacita a los empleados
El consejo más importante de todos probablemente es la formación y concienciación de los empleados, para que logren identificar mensajes sospechosos y eviten caer en las estafas típicas de la ingeniería social. Es imprescindible que todos los empleados conozcan el tipo de datos que pueden compartir sin restricción, el tipo de datos que son confidenciales y los intermedios.
Una manera de optimizar el proceso de aprendizaje de tus empleados es el uso de Apolo, un SaaS que permite entrenar y evaluar a todos los miembros de la empresa en materia de ciberseguridad.
En Delta Protect trabajamos con un equipo multidisciplinario de expertos para simplificar la ciberseguridad y el cumplimiento de tu empresa. Agenda una demo de Apolo con nuestros expertos para descubrir cómo podemos ayudarte a prevenir los ciberataques y disminuir su impacto en tu empresa.
Cyber Security researcher y profesional en tecnologías de la información con una fuerte preocupación por la privacidad y los derechos digitales. Como Hacker Ético y Purple Teamer, desarrollando e implementando controles y evaluaciones de seguridad basados en amenazas reales (“Threat-informed defense”), maximizando la operatividad y costos de implementación. Especialista en tecnologías Cloud e infraestructura, incluyendo arquitectura, evaluaciones, mejores prácticas, deployments y seguridad operacional.
