Las pymes son cada vez más conscientes de que son objetivos de los ciberdelincuentes, según una encuesta de 2019 realizada por Zogby Analytics en nombre de la Alianza Nacional de Seguridad Cibernética de EE. UU. Casi la mitad (44%) de las empresas con 251-500 empleados dijeron que habían experimentado una violación de datos oficial en los últimos 12 meses. La encuesta encontró que el 88 por ciento de las pequeñas empresas creen que son al menos un objetivo «algo probable» para los ciberdelincuentes, incluida casi la mitad (46%) que cree que son un objetivo «muy probable».

El daño es real y extenso, un punto bien ilustrado por el informe anual del Centro de Delitos en Internet (IC3) del FBI. El FBI estima que, solo en 2018, las empresas estadounidenses perdieron más de $ 2.7 mil millones en ciberataques, incluidos $ 1.2 mil millones atribuidos al compromiso del correo electrónico empresarial (BEC) / compromiso de la cuenta de correo electrónico (EAC) que permitió transferencias de fondos no autorizadas.

¿Cómo reconocer un ataque de ingeniería social?

Hay varias señales de alerta que pueden indicar un ataque de ingeniería social. La mala gramática y ortografía es un indicio. También lo es un mayor sentido de urgencia que busca incitar al receptor a actuar sin cuestionarlo. Cualquier solicitud de datos confidenciales debería hacer sonar de inmediato las alarmas: las empresas acreditadas normalmente no solicitan contraseñas o datos personales a través de correos electrónicos o mensajes de texto.

Algunas señales de alarma que apuntan a la ingeniería social:

1. Lenguaje pobre y genérico. Por lo general, los atacantes no prestan demasiada atención a los detalles y envían mensajes llenos de errores tipográficos, palabras faltantes y mala gramática. Otro elemento lingüístico que puede indicar un intento de ataque son los saludos y las formulaciones genéricas. Entonces, si un correo electrónico comienza con «Estimado destinatario» o «Estimado usuario», tenga cuidado.

2. Dirección de envío extraña. La mayoría de los spammers no se toman el tiempo de falsificar el nombre o el dominio del remitente para que parezcan confiables. Por lo tanto, si un correo electrónico proviene de una dirección que es una combinación de números y caracteres aleatorios o es desconocida para el destinatario, debe ir directamente a la carpeta de correo no deseado y notificarse al departamento de IT.

3. Sensación de urgencia. Los delincuentes detrás de las campañas de ingeniería social a menudo intentan asustar a las víctimas para que actúen utilizando frases que provocan ansiedad como «envíenos sus datos de inmediato o su paquete será descartado» o «si no actualiza su perfil ahora, cerraremos su cuenta». Los bancos, las empresas de paquetería, las instituciones públicas e incluso los departamentos internos suelen comunicarse de forma neutral y objetiva. Por lo tanto, si el mensaje intenta presionar al destinatario para que actúe rápidamente, probablemente sea una estafa maliciosa y potencialmente peligrosa.

4. Solicitar información sensible. Las instituciones e incluso otros departamentos de tu propia empresa normalmente no solicitarán información confidencial por correo electrónico o por teléfono, a menos que el contacto haya sido iniciado por el empleado.

5. So algo suena demasiado bien para ser verdad, sospecha. Esto es tan cierto para los obsequios no solicitados en las redes sociales como para esa «excelente oportunidad de negocio, aunque por tiempo limitado», que acaba de llegar a tu bandeja de entrada.