Puede pensar que la ingeniería social se trata de estafas de persona a persona con el dinero como primer y único objetivo. Pues la cosa va más allá, los peligros de la ingeniería social son mucho más amplios. Los atacantes pueden atacarlo a través de una gran cantidad de formas diferentes, y los sitios web a menudo son objetivos muy tentadores.
¿Por qué los sitios web? Porque pueden ser una rica fuente de información que los delincuentes pueden explotar. Una vez que obtienen el control y bajo el capó de su sitio, puede ser como un banco de datos de back-end para ellos. Información del cliente, detalles de pago … ¡lo que sea! Si se almacena en el sitio, se convierte en suyo.
Otra cosa para recordar es que la ingeniería social no se trata solo de burlarse de los ojos. Se trata de esperar que esté demasiado distraído como para darse cuenta de que se está produciendo un ataque.
Por eso los sitios web son objetivos tan atractivos. Ser engañado para enviar información financiera o autorizar pagos puede ser más fácil de vigilar. Esencialmente, son contras de uno o dos pasos y los estafadores se han ido con el botín rápido. La gente espera que los ataques de ingeniería social lleguen a las cuentas bancarias, no a los sitios web.
Obtener acceso a la información de un sitio web suele ser una estafa de formato más largo. Por ejemplo, los piratas informáticos pueden comenzar a atacar a sus clientes a través de correos electrónicos fraudulentos, lo que eventualmente dañará tanto su marca como su resultado final. La secuela no es tan inmediata, pero no es menos dolorosa, y no solo para usted. Por eso es importante considerar siempre su sitio web como un objetivo y estar en guardia.
Por lo tanto, sin más demora, profundicemos en las cinco técnicas principales para proteger su sitio web contra la ingeniería social.
5 Formas de Proteger Sitios Web contra la Ingeniería Social
1. Mantenga privada la información privada
Muchas de las técnicas que utilizan los estafadores de ingeniería social son universales en su táctica principal. Fingirán ser alguien que conoce o con quien está familiarizado, y luego lo engañarán para que entregue información vital. Pero, como se indicó anteriormente, debido a que los sitios web a menudo no se sienten como objetivos inmediatos, es fácil caer presa. Los datos de inicio de sesión no se sienten tan valiosos como las facturas o los números de tarjetas de crédito, ¿verdad?
Por lo tanto, para mitigar los ataques de ingeniería social en su sitio, y en todos los ámbitos, debe limitar la cantidad de información que las personas pueden obtener sobre usted. Después de todo, ¡así es como saben fingir conocerle!
Nunca entregar ningún tipo de información personal es fácil de recordar. Pero cuando las personas se dirigen específicamente a sitios web, hay otras cosas a considerar.
La información que utilizó para registrar el nombre de dominio de su sitio web es un buen ejemplo. ICANN (Corporación de Internet para la Asignación de Nombres y Números) requiere que los registradores de dominio les entreguen su información de contacto (como nombre, correo electrónico, dirección y número de teléfono). Esto luego se agrega a la base de datos pública de Whois, donde cualquier persona en Internet puede buscarlo.
La base de datos Whois hace que sea mucho más fácil para los estafadores comunicarse con usted como soporte de TI falso o verificadores de seguridad falsos, por ejemplo. Tienen su número, los detalles de su dominio y mucho más.
Entonces, regla básica número 1: ¡Mantenga toda la información privada en privado! Y compruebe los servicios gratuitos (como WhoisGuard de Namecheap) que mantendrán la información de registro de su dominio Whois fuera de la red.
2. Habilite los filtros de spam
Si aún no lo ha hecho, haga de su filtro de spam su nuevo mejor amigo. Los correos electrónicos siguen siendo la ruta número uno para los ataques. Un clic incorrecto en el enlace o archivo adjunto incorrecto y el software malicioso puede comenzar a infectar su sitio web en segundos.
Si bien la mayoría de los proveedores de servicios de correo electrónico vienen con filtros de correo no deseado, habilitar la función de correo no deseado significa que puede estar un poco más tranquilo sabiendo que cualquier correo electrónico que se considere sospechoso se arrojará automáticamente a la carpeta de correo no deseado. Sin problemas.
Si descubre que el servicio de correo electrónico de su sitio web aún no está a la altura al filtrar el spam o marcar ciertos correos electrónicos como sospechosos, eche un vistazo a su configuración. Los filtros de spam de buena reputación utilizan todo tipo de información para averiguar qué correos electrónicos son aptos para spam. Esto puede variar desde archivos o enlaces nefastos, direcciones IP desconocidas o ID de remitente, incluso contenido de mensajes que se marca como falso.
Los correos electrónicos dignos de spam a menudo se marcan con mensajes de advertencia, p. Ej. «La descarga de los archivos respectivos debe hacerse bajo su propio riesgo». Algunos archivos con extensiones específicas incluso tienen prohibido por completo que te permitan descargarlos.
Hay otras formas de proteger su correo electrónico de la ingeniería social, pero no es solo el correo electrónico lo que pone en riesgo su sitio web. El sitio en sí podría convertirse en la trampa. Los atacantes pueden dejar fácilmente enlaces a lo que parecen ser productos interesantes o competidores dentro de los comentarios del blog, por ejemplo. Al igual que con los enlaces de correo electrónico tóxicos, una vez que hace clic, el software malicioso puede comenzar a funcionar. Así que eche un vistazo a servicios como Akismet, que está especialmente diseñado para filtrar comentarios en la web.
3. Proteja su contraseña
Ya ha escuchado el consejo antes y hay una razón para ello. Nunca use la misma contraseña en las plataformas en las que inicia sesión, especialmente en las redes sociales.
Quizás no sea sorprendente que el error humano sea nuestra mayor vulnerabilidad en la web. Es por eso que se ha demostrado que tener una contraseña segura para la cuenta del sitio web evita de manera efectiva que los piratas informáticos obtengan acceso no autorizado. Desafortunadamente, muchos de nosotros decidimos que nuestra contraseña 12345 es lo suficientemente buena y la olvidamos. ¿Quiere conocer un método para crear y recordar fácil una contraseña segura? Aquí explico cómo.
Cuando una contraseña segura no es suficiente, considere la autenticación de dos factores para su empresa. La autenticación de dos factores a menudo implica un dispositivo de seguridad adicional, huellas digitales o códigos de confirmación por SMS.
4. Actualice su software
Lo sabemos, lo sabemos. Las actualizaciones de software pueden llevar mucho tiempo, pero valen la pena al 100%.
Desde sistemas de servidores de sitios web hasta complementos de WordPress, los ataques de ingeniería social a menudo tienen lugar cuando el software de su sistema, en particular su parche de software, está desactualizado. Aquí es cuando se exponen las vulnerabilidades, lo que permite que los delincuentes se desboquen en su sistema y lo aprovechen.
Además del software, asegúrese de mantener actualizado también su software anti-malware y antivirus. Los nombres más importantes en los que confiar son Malwarebytes Anti-Malware y Kaspersky Anti-Virus.
5. Ser consciente de la huella digital
Ya sea para compartir demasiado su vida en las redes sociales sin ninguna configuración de privacidad o enviar currículums con su información personal (dirección, número de teléfono, correo electrónico), todas estas son, desafortunadamente, formas en que alguien puede planificar un ataque de ingeniería social.
Aquellos que necesitan mantener su perfil en línea razonablemente alto, como personas influyentes, especialistas en marketing en línea y emprendedores individuales, deben ser conscientes de cuánto comparten. Piense en la información o incluso las imágenes que ofrece fácilmente a través de métodos simples como la búsqueda de Google: ahora tiene permiso para Google y su empresa.
Sin embargo, vale la pena mencionar que muchos intentos de piratería provienen de información que olvidó por completo que proporcionó, como esa antigua cuenta de MySpace o Pinterest suya.
Conclusión
Debido a que los ataques de ingeniería social están diseñados en última instancia para aprovecharse de su buena naturaleza de confianza, pueden ser particularmente difíciles de evitar.
Por frustrante que sea, recuerde que los atacantes de ingeniería social casi siempre van un paso por delante. Harán lo que sea necesario para robarte información.
Por eso todo se reduce a la autoconciencia. Cuando esté más consciente de los tipos de ataques que acechan y de las precauciones básicas que debe tomar, será mucho menos probable que se convierta en su próxima víctima.
¿Ha sido víctima de un ataque de ingeniería social? Comparta comentando qué sucedió en los comentarios a continuación, también es libre de compartir sus consejos para prevención.[:]