Un nuevo informe de Tessian, la compañía de seguridad revela que el 84 por ciento de las personas publican información en sus cuentas de redes sociales cada semana, y dos quintas partes (42 por ciento) publican todos los días y, sin saberlo, brindan información que ayuda a los piratas informáticos y lanzan con éxito ataques de ingeniería social o de apropiación de cuentas.
El informe, titulado Cómo hackear a un humano, incluye los resultados de una encuesta a 4.000 profesionales en el Reino Unido y Estados Unidos y entrevistas con hackers de la comunidad HackerOne. Revela que la mitad de las personas comparten nombres y fotografías de sus hijos, casi tres cuartas partes (72%) mencionan las celebraciones de cumpleaños y un abrumador 81% de los trabajadores actualizan su situación laboral en las redes sociales.
Lo más preocupante es que el 55 por ciento de los encuestados admite que tiene perfiles públicos en Facebook, y solo un tercio (32 por ciento) dice que sus cuentas de Instagram son privadas, lo que facilita que los malos accedan a la información confidencial publicada en estas cuentas.
Los piratas informáticos entrevistados en el informe explican cómo los ciberdelincuentes utilizan las publicaciones en las redes sociales para ayudar a identificar a sus objetivos y crear ataques de ingeniería social convincentes y altamente dirigidos. Por ejemplo, pueden identificar nuevos miembros a través de LinkedIn y apuntar a ellos en estafas de phishing, engañando a un alto ejecutivo dentro de la empresa que probablemente nunca haya conocido.
Además, el informe ‘Cómo hackear a un humano’ revela cómo los correos electrónicos de fuera de la oficina también se están utilizando para crear ataques de ingeniería social. La mayoría de los empleados (53 por ciento) dicen que comparten cuánto tiempo estarán fuera en su correo electrónico, mientras que el 51 por ciento proporciona información de contacto personal y el 42 por ciento anuncia a dónde se dirigen.
Según Katie Paxton-Fear, profesora de ciberseguridad en la Universidad Metropolitana de Manchester y miembro de la comunidad HackerOne, “los mensajes, si son lo suficientemente detallados, pueden proporcionar a los atacantes toda la información que necesitan para hacerse pasarse por la persona que está fuera de la oficina, sin que el atacante tenga que hacer un trabajo real «.
La preocupación de las organizaciones es que los ataques de ingeniería social solo están aumentando. Los datos de la plataforma de Tessian revelan que los ataques de tipo de ingeniería social aumentaron en un 15% durante los últimos seis meses de 2020, en comparación con los seis meses anteriores, mientras que los ataques de fraude electrónico también aumentaron en un 15%. Es más, el 88 por ciento de los encuestados dijeron que habían recibido un correo electrónico sospechoso en 2020.
El informe deja en claro que una mayor conciencia de la amenaza y la educación de las personas sobre la higiene de la seguridad del correo electrónico es un primer paso importante para evitar que estos ataques tengan éxito. Por ejemplo, Tessian descubrió que solo el 54 por ciento de las personas prestan atención a la dirección de correo electrónico del remitente mientras están en el trabajo y menos de la mitad verifica la legitimidad de los enlaces y archivos adjuntos antes de responder o tomar medidas.
El CEO y cofundador de Tessian, Tim Sadler, también insta a las personas a hacer que la protección de los datos sea tan normal como compartirlos. Dijo: “El aumento de la información disponible públicamente hace que el trabajo de un hacker sea mucho más fácil».
Si bien todas estas piezas de información pueden parecer inofensivas de forma aislada (una publicación de cumpleaños, una actualización de trabajo, un me gusta), los piratas informáticos los unirán para crear una imagen completa de sus objetivos y hacer que las estafas sean lo más creíbles posible.
Recuerde, los hackers no tienen más que tiempo en sus manos. Necesitamos hacer que la protección de los datos se sienta tan normal como la entrega de datos. También necesitamos ayudar a las personas a comprender cómo se puede usar su información en su contra, en ataques de phishing, si vamos a evitar que los piratas informáticos pirateen a los humanos.