Blagging puede parecer una técnica de piratería complicada, pero es mucho más simple que eso. Pero aunque no es tan “de alta tecnología” como otros delitos cibernéticos, el blagging puede causar graves daños si las empresas no están preparadas.

Entonces, ¿qué es el blagging y cómo funciona?

¿Qué es el Blagging y cómo funciona?

Credito de imagen:freepik

Blagging es cuando estafadores astutos intentan engañar o manipular a las personas para que entreguen información confidencial a la que no deberían tener acceso.

Estos blaggers inventarán cualquier historia que necesiten para convencer a su objetivo de que divulguen datos que podrían usarse con fines turbios como robo de identidad, espionaje a empresas o chantaje a personas.

Entonces, ¿cómo funciona exactamente? A continuación se muestran algunas técnicas comunes de blagging:

  1. Interpretación: El estafador se hace pasar por otra persona, como un compañero de trabajo, un representante de un banco o un oficial de policía. Esto genera confianza y hace que sea más probable que el objetivo comparta información confidencial. Por ejemplo, pueden llamar haciéndose pasar por un técnico de TI que necesita una contraseña para solucionar un problema informático.
  2. Crear una falsa sensación de urgencia: El estafador presiona al objetivo haciendo que la solicitud parezca urgente. Las amenazas de cerrar una cuenta o acciones legales se utilizan para obtener información rápidamente antes de que el objetivo tenga tiempo de verificar la validez de la solicitud.
  3. Suplantación de identidad: Los Blaggers utilizarán correos electrónicos de phishing o enlaces que contienen malware para infectar los sistemas de destino y robar datos. Los correos electrónicos están diseñados para que parezcan provenir de una fuente confiable para atraer a la víctima a hacer clic o descargar.
  4. Ataque de caída USB: Esta táctica deja los dispositivos infectados cargados de malware, como unidades USB, en lugares públicos donde es probable que los objetivos los encuentren y los conecten, permitiendo el acceso al intruso. Los estacionamientos y los ascensores son lugares populares para atraer a personas desprevenidas.
  5. Mencionar nombres importantes: El estafador mencionará nombres de gerentes, ejecutivos o contactos legítimos para que parezca que están autorizados a tener información confidencial. Esto da credibilidad a su turbia petición.
  6. Súplicas de simpatía: El estafador apelará a la compasión del objetivo e inventará historias tristes para manipularlo. Decir cosas como que es un padre soltero que necesita dinero en una cuenta para alimentar a su familia puede funcionar.
  7. Algo por algo: El estafador promete algo a cambio de información, como un bono, tiempo libre o dinero en efectivo. Por supuesto, esas son promesas vacías utilizadas para conseguir lo que quieren.
  8. Seguir de cerca: El agresor sigue físicamente a un empleado hasta un edificio o área restringida para obtener acceso. Cuentan con personas que mantienen las puertas abiertas a los demás o que no cuestionan su presencia.
  9. Sonsacamiento: Los Blaggers intentarán entablar conversaciones amistosas para lograr que los objetivos revelen información sobre sistemas, procesos o vulnerabilidades sin darse cuenta. Es peligroso porque parece muy inofensivo.

Lo clave que hay que recordar es que estos atacantes son maestros del engaño y dirán o harán lo que sea necesario para conseguir lo que buscan.

Cómo defenderse de los ataques de denuncia

Con los blaggers que utilizan tantas tácticas furtivas, ¿cómo puede protegerse a usted y a su empresa de sus estafas? A continuación se presentan algunas formas clave de defenderse de los ataques de denuncia.

Verificar reclamaciones

No tome a nadie al pie de la letra; corrobore siempre su historia.

Si alguien llama y dice ser soporte técnico que necesita acceso o un compañero de trabajo que necesita información, cuelgue y vuelva a llamar a un número oficial para confirmar que es legítimo.

Verifique atentamente las direcciones de correo electrónico, los nombres y la información de contacto para asegurarse de que también coincidan.

Validar solicitudes

Como empleado de una empresa, investigue cualquier solicitud inusual, incluso si parece urgente o la historia es creíble. Supongamos que necesita derivarlo a un supervisor o enviar un ticket a través de los canales adecuados.

Ralentice la interacción para que pueda investigar más a fondo antes de entregar datos confidenciales.

Limitar el acceso a la cuenta

Los dueños de negocios deben brindar el acceso mínimo que los empleados necesitan para hacer su trabajo y nada más. Por ejemplo, es probable que los representantes de servicio al cliente no necesiten acceso a los sistemas financieros. Esto contiene cualquier daño en caso de que una cuenta se vea comprometida.

La implementación del principio de privilegio mínimo puede evitar que un delincuente gane demasiado si engaña a una persona.

Reportar sospechas

No dude en hablar si una solicitud parece extraña o la historia no cuadra. Notifique a seguridad o a la administración de inmediato si sospecha que una interacción es un intento de denunciar.

Además, supervise de cerca los sistemas y el comportamiento de los usuarios para detectar cualquier actividad inusual que pueda indicar un intento de denuncia. Busque cosas como:

  • Intentos de acceder a sistemas no autorizados o datos confidenciales.
  • Inicios de sesión remotos desde direcciones IP o ubicaciones desconocidas.
  • Grandes volúmenes de datos transferidos externamente.
  • Anomalías en los patrones típicos de los usuarios, como la ejecución de nuevos procesos u horas de trabajo anormales.
  • Herramientas de seguridad deshabilitadas, como suites antivirus o mensajes de inicio de sesión.

Cuanto antes se detecte un comportamiento anómalo, más rápido podrán los expertos investigar y mitigar un posible ataque de denuncia.

Capacitación en concientización sobre seguridad

Los empleados bien capacitados son mucho más difíciles de engañar para los delincuentes. La educación continua fortalece el cortafuegos humano y capacita a las personas para detener la ingeniería social con confianza.

Cuando los empleados saben cómo burlar las tácticas de denuncia, las empresas obtienen una gran ventaja. La capacitación debe incluir ejemplos y escenarios del mundo real para que los empleados puedan practicar cómo responder de manera adecuada. Pruébelos con correos electrónicos de phishing simulados y visitantes inesperados para ver sus reacciones. También debe explicar las técnicas comunes de denuncia, como pretextos, phishing y ofertas de quid pro quo. Cuanto más comprendan las tácticas los empleados, mejor podrán reconocerlas.

Enseñe a los empleados cómo validar correctamente las solicitudes, verificar identidades, informar incidentes y manejar datos confidenciales según la política. Brindar orientación clara sobre las acciones esperadas. Manténgalo interesante utilizando videos atractivos, módulos interactivos y concursos para mantener el enfoque en la seguridad. Actualizar el entrenamiento con frecuencia.

Y asegúrese de que los altos directivos participen para demostrar el compromiso organizacional con la concientización.

Utilice seguridad en capas

Confíe en múltiples controles de seguridad superpuestos en lugar de en un único punto de falla.

Algunas capas que puedes implementar incluyen:

  • Controles de seguridad física como tarjetas de identificación, instalaciones seguras y monitoreo de CCTV para evitar el seguimiento cercano y el acceso no autorizado.
  • Defensas perimetrales como firewalls, IPS y filtros web para impedir que amenazas conocidas y sitios riesgosos ingresen a su red.
  • Seguridad de endpoints con antivirus,detección y respuesta de endpointsy cifrado para evitar infracciones y dificultar el robo de datos.
  • Seguridad del correo electrónico con puertas de enlace para filtrar correos electrónicos maliciosos y zonas de pruebas para aislar amenazas.
  • Controles de acceso como autenticación multifactor y permisos basados ​​en roles para limitar el uso indebido de la cuenta incluso si las credenciales están comprometidas.
  • Herramientas de prevención de pérdida de datos para detener grandes transferencias de datos confidenciales.

Cuantos más obstáculos se presenten los ladrones, más probabilidades habrá de que los descubran.

Mantenga la guardia alta contra las denuncias

Si bien el blagging suele estar dirigido a empresas, todos somos vulnerables. Cualquiera de nosotros podría ser engañado por una llamada o un correo electrónico aparentemente inocente de un estafador que se hace pasar por soporte técnico, un representante bancario o incluso un familiar que necesita ayuda. Es por eso que todos necesitamos aprender técnicas de denuncia y saber detectar señales de alerta.

Y si es propietario de un negocio o dirige una empresa, no debe subestimar esta amenaza. Con una capacitación integral en concientización sobre la seguridad y defensas técnicas en capas, puede frustrar a estos estafadores en seco.

Con las salvaguardias adecuadas, los delincuentes no tienen ninguna posibilidad.