Con el inicio de octubre, llega una de las campañas más importantes para la concienciación sobre ciberseguridad en Europa: el Mes Europeo de la Ciberseguridad (ECSM), organizado por la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Este año, la campaña se centra en una de las amenazas más persistentes y dañinas en el panorama digital actual: la ingeniería social.
Este año, ENISA ha lanzado una amplia gama de recursos destinados a educar al público sobre las diversas formas de ingeniería social y cómo protegerse de ellas. Entre los temas destacados se incluyen las estafas en línea, el uso de inteligencia artificial y deepfakes, los ataques smishing y las configuraciones seguras en dispositivos y plataformas digitales. Además, se han desarrollado materiales educativos específicos para estudiantes y profesionales de la ciberseguridad.
¿Qué es el Mes Europeo de la Ciberseguridad?
El ECSM es una iniciativa anual que se celebra en octubre y que tiene como objetivo sensibilizar y educar a los ciudadanos y organizaciones sobre las mejores prácticas para protegerse en el mundo digital. Coordinado por ENISA y apoyado por la Comisión Europea y los Estados Miembros de la Unión Europea, el ECSM incluye una serie de eventos, talleres y campañas en toda Europa. El tema central de este año, la ingeniería social, refleja la creciente preocupación por la manipulación psicológica en ciberataques que buscan explotar el error humano.
La ingeniería social: una amenaza que no para de crecer
La ingeniería social es una técnica que emplean los ciberdelincuentes para manipular psicológicamente a las víctimas y hacer que estas revelen información confidencial o realicen acciones que pongan en riesgo su seguridad. A diferencia de los ataques tradicionales que se basan en explotar vulnerabilidades tecnológicas, la ingeniería social ataca el eslabón más débil: el ser humano.
Los métodos utilizados en la ingeniería social están en constante evolución y sofisticación, y el Informe sobre el Panorama de Amenazas 2024 de ENISA muestra que el phishing sigue siendo uno de los vectores de ataque más frecuentes. De hecho, los incidentes relacionados con ingeniería social aumentaron notablemente a finales de 2023, lo que hace imperativo que tanto las organizaciones como los individuos estén más alertas y preparados.
Un aspecto interesante de la campaña de este año es la inclusión de una serie de mini-entrevistas con representantes de los Estados Miembros de la UE, quienes han compartido cómo las diferencias culturales y mentales influyen en la forma en que se diseñan las campañas de concienciación en sus respectivos países. Estas entrevistas, disponibles en las plataformas de ENISA, ofrecen una perspectiva única sobre cómo la concienciación sobre ciberseguridad varía en función de los contextos nacionales y regionales.
Técnicas de ingeniería social más comunes
Phishing: Quizás la técnica de ingeniería social más conocida, el phishing consiste en engañar a la víctima para que haga clic en un enlace malicioso o proporcione información confidencial, generalmente a través de correos electrónicos fraudulentos que parecen legítimos. Los atacantes suelen hacerse pasar por bancos, empresas o incluso contactos personales para persuadir a las víctimas.
Smishing: Similar al phishing, pero a través de mensajes de texto o SMS.
Vishing: Es el phishing telefónico. En este caso, el atacante llama a la víctima y se hace pasar por una entidad confiable, como un banco o un servicio técnico, para obtener datos confidenciales.
Baiting: Se refiere a la oferta de algo tentador para que la víctima realice una acción. Puede tratarse de una descarga gratuita, una actualización de software falsa o una oferta de trabajo. Al acceder, la víctima descarga malware o accede a sitios fraudulentos.
Pretexting: En este tipo de ataque, el ciberdelincuente inventa una historia o situación para ganarse la confianza de la víctima y hacer que entregue información personal o acceda a un sistema. El pretexting suele ser altamente personalizado y requiere una investigación previa sobre la víctima.