Según se informó en Julio de 2014, los ataques cibernéticos pueden ser contra el segmento del sector energético, cuando más de mil empresas de energía en Norteamérica y Europa relataron que habían sido comprometidas. Otros ataques pueden ser dirigidos a otros segmentos (por ejemplo, la Operación Troya, la Operación High Roller Nightdragon, etc.). Por ello, parece que ningún segmento está inmune a las violaciones de datos.
Un tema común entre estos y otros ataques es el vector de la infección inicial, que se centra en explotar el subconsciente de un empleado de confianza. El modus operandi en la mayoría de las violaciones de datos más comunes es aprovechar alguna forma de ingeniería social para obligar al usuario a hacer algo que facilite la infección por el malware.
El predominio de la ingeniería social en muchos ataques informáticos revelados públicamente demuestra una debilidad inherente en la capacidad de las víctimas de distinguir las comunicaciones malintencionadas, o que los ciberdelincuentes están utilizando métodos más complejos para evitar el 'firewall humano”.
La respuesta, por supuesto, probablemente se encuentra en algún lugar entre estas dos declaraciones, pero, independientemente de la causa raíz, sí demuestra que la primera línea de defensa está evidentemente fallando.
La actitud predeterminada es culpar a los usuarios como la causa de las violaciones, lo que no es totalmente justo. Aunque haya ejemplos en que se están empleando prácticas claramente arriesgadas, nuestro más reciente estudio“Hackeo del Sistema Operativo Humano” demuestra que las técnicas utilizadas por los atacantes incluyen eludir la conciencia de sus objetivos y tratar de manipular a las víctimas mediante el uso de las palancas subconscientes de influencia, que a continuación se describen y que todas las empresas y empleados debería conocer:
Las seis palancas de la influencia que se deben de tener en cuenta en el mundo digital:
El artículo también analiza el concepto de ingeniería social, las técnicas utilizadas en muchos de los recientes ataques cibernéticos, los canales de comunicación utilizados; y sugiere controles para reducir el riesgo. Mucho se ha escrito acerca de la ingeniería social. El contenido de dichas fuentes varía ampliamente, desde definiciones hasta la atenuación. El propósito de este artículo es definir los conceptos e introducir medidas de atenuación que van más allá de simplemente indicar que la conciencia es una panacea.
A menos que contemplemos la primera línea de defensa, las violaciones de datos seguirán acaparando las líneas de tiempo de nuestras cuentas en Twitter y apoyando el costo cada vez mayor de la delincuencia informática.