Test de ingeniería social

Test de ingeniería social y phishing

En Tarlogic ayudamos a nuestros clientes a protegerse contra ataques de ingeniería social mediante simulaciones totalmente personalizadas conforme a sus requisitos

Contacto
test de ingeniería social

Objetivos de la ingeniería social

Una de las técnicas más utilizadas por los ciberdelincuentes para lograr el primer acceso a sistemas internos de las compañías es a través de la ingeniería social. Esto es debido a que en muchas ocasiones resulta más sencillo, económico y rápido encontrar un usuario vulnerable a estos ataques que una vulnerabilidad explotable en la infraestructura de las empresas. Los resultados de estos ataques se ven muy a menudo en los medios como infecciones de ransomware, ciberestafas, fraude del CEO etc. Los servicios de ingeniería social de Tarlogic simulan ataques, totalmente personalizados, con el objetivo de mejorar las capacidades de nuestros clientes contra este tipo de ataques.

Beneficios de los servicios de ingeniería social

En Tarlogic ayudamos a nuestros clientes a mejorar su seguridad contra este tipo de ataque. Nuestros servicios de ingeniería social utilizan dos enfoques:

  • Concienciación

    Mediante ataques de ingeniería social con el objetivo de ayudar a los usuarios a detectar y gestionar de la manera correcta este tipo de ataques. La metodología definida por Tarlogic emplea los mismos vectores de ataque utilizados por los ciberdelincuentes, y una vez se haya logrado un ataque exitoso que permita el acceso a datos, se le proporciona un mensaje de concienciación de impacto, para provocar una reacción que le ayude a aprender de los errores y evitar que se vuelvan a repetir.

  • Evaluación

    Utilizado para evaluar el nivel de madurez de una compañía contra ataques de ingeniería social y de esta manera definir el nivel de riesgo. Este tipo de pruebas son beneficiosas a la hora de decidir la puesta en marcha de nuevas medidas o para evaluar los resultados de anteriores campañas.

servicios de ingeniería social

Descripción general de los servicios de ingeniería social

Los servicios de ingeniería social de Tarlogic podrán emplear diferentes vectores de ataque:

  • Phishing

    Evalúa la disposición de los usuarios a ser víctimas de campañas de phishing. Mediante este tipo de campaña se obtienen métricas del comportamiento de los usuarios en cuanto a abrir correos maliciosos, a hacer clic en enlaces, a descargar contenido peligroso o proporcionar credenciales.

  • Vishing

    Uno de los métodos más eficaces para obtener una información es preguntar por ella. Con el vishing se evalúa la madurez de los usuarios en cuanto a proporcionar información confidencial a desconocidos o a alguien que dice ser de confianza a través de una llamada telefónica.

  • Smishing

    En los últimos años los cibercriminales están utilizando técnicas de ingeniería social basadas en dispositivos móviles. Los usuarios son más propensos a seguir un enlace recibido por SMS o a través de otra aplicación de mensajería (p.ej. WhatsApp), considerándolos medios seguros.

  • Spear phishing

    Dirigido a objetivos específicos dentro de la compañía como departamentos que gestionen información sensible o directivos. Se define una campaña específica que podría utilizar técnicas mixtas: por ejemplo, phishing y vishing al mismo tiempo.

Preguntas frecuentes sobre ingeniería social

¿qué es un ataque de ingeniería social?

Se define un ataque de ingeniería social como aquel que busca obtener información confidencial a través de la manipulación de usuarios legítimos de una plataforma. Esta manipulacíón puede realizarse aprovechandose de fallos técnicos o únicamente mediante un engaño con un pretexto adecuado.

¿cómo puede protegerse de la ingeniería social?

La ingeniería social parte de la premisa de que los usuarios son el eslabón más débil de un sistema ya que no pueden ser actualizados; esto no siempre es así y es que la concienciación es la principal medida de protección ante este tipo de vectores. Una actitud crítica y escéptica ante las solicitudes, especialmente aquellas de carácter urgente y que se salen del protocolo establecido, facilita la identificación de este tipo de ataques por parte de las víctimas.

Existen también otro tipo de medidas más técnicas que disminuyen el éxito de este tipo de ataques, como el uso de segundos factores mediante OTP o llaves hardware.

¿qué tipo de ingeniería social se dirige a personas concretas?

En ocasiones los ataques de ingeniería social están especialmente dirigidos a una persona o grupo de gran importancia. Los atacantes invierten tiempo en investigar los patrones de estos usuarios para ajustar al máximo el pretexto del engaño. Esta práctica se conoce como spear phishing. En el caso de que el objetivo sea un grupo de personas de gran importancia hablamos de whaling.

¿cuál es un método común utilizado en la ingeniería social?

El método más empleado para realizar la entrega de vectores de ingeniería social es el correo electrónico; práctica conocida como phishing. Cada empleado tiene habitualmente un correo empresarial mediante el cual se le envían informaciones importantes acerca de su trabajo, por este motivo el empleado debe estar al tanto de los correos recibidos en su bandeja por lo que si un correo de phishing llega a la bandeja de entrada tendrá altas probabilidades de ser atendido.

No obstante, también existen muchos otros métodos de entrega como por ejemplo smishing a través de sms, vishing a través de red telefónica o incluso phishing a través de redes sociales o aplicaciones de mensajería instantánea.