Ingeniería social: cuando ser amable es peligroso

Facundo Rojo Gil, CISA,CISM, Analista de Seguridad – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Analista de Seguridad – VINTEGRIS

Frente a un viaje de negocios, muchos empleados configuran un correo de autorrespuesta para que los clientes y compañeros sepan a quién contactar durante su ausencia, por cualquier urgencia.

Regularmente, este correo de autorrespuesta incluye la fecha de regreso, información de contacto del personal que le sustituye y, a veces, información sobre los proyectos actuales.

El correo de autorrespuesta, aunque parezcan inofensivos, pueden ser un riesgo para las empresas.

Si un trabajador no restringe la lista de destinatarios, la respuesta automática irá a cualquier persona cuyo correo electrónico termine en la carpeta de bandeja de entrada y este podría ser un ciberdelincuente o un spammer que haya conseguido sortear los filtros.

El correo de autorrespuesta ofrece un tesoro de datos para todos los propósitos de ingeniería social.

Lo más grave, es que la información de este tipo de mensajes puede ser suficiente para desencadenar un ataque dirigido.

Ingeniería Social como herramienta

En el caso de los spammers, los mensajes de autorrespuesta les permiten conocer que la dirección es válida y que pertenece a una persona en específico.

Además, les proporciona nombre y apellidos de la persona, incluso, cuando incluye la firma, su cargo y número de teléfono.

Si el mensaje de respuesta automática se envía a un correo phishing, la información que proporciona sobre el personal que lo sustituye, con sus nombres, cargos, horarios y números de teléfono se pueden utilizar para organizar un ataque de spear-phishing eficaz.

Los correos phishing se han vuelto una de las principales tácticas para los estafadores que buscan obtener información privada de una empresa.

Los empleados deben estar conscientes que cualquier información que salga de sus correos, se puede volver pública y caer en manos equivocadas para entonces ser aprovechada para orquestar ataques más avanzados.

Idealmente esa consciencia debería cambiar las prácticas del día a día que ponen el riesgo a los usuarios y a las empresas.

El principal vector de riesgo somos los usuarios, ubicando la responsabilidad de nuestro lado frente a la amenaza cibercriminal latente, en el mundo de la Internet.

Bajo esta óptica, debemos considerar que los consejos que nos brindan deben ser repetidos una y otra vez hasta que se conviertan en parte de nuestra cultura de seguridad, y los operemos de forma inconsciente, sin requerir el esfuerzo de recordarlo.

 

 

Por Facundo Rojo Gil, CISA,CISM, Analista de Seguridad – VINTEGRIS