La crisis financiera que nos rodea no sólo trae malas noticias para los indicadores de las finanzas y para la economÃa en general, sino también para la seguridad de la información.
En estos tiempos que corren, los servicios de auditorÃa interna tienen gran parte de su actividad focalizada en el riesgo de crédito y de mercado. Revisar hasta el último detalle las carteras crediticias se ha convertido en un instrumento fundamental para dar pasos sólidos a la hora de afrontar la situación en los mercados, algo más que comprensible, teniendo en cuenta la importancia de calibrar bien los riesgos en los que se incurre o se va a incurrir, especialmente cuando se ofrecen servicios financieros. Ni que decir tiene que las auditorÃas externas, sobre todo las regulatorias, están a la orden del dÃa, con visos de ser crecientes, ya que los esfuerzos de inspección también se han incrementado, lo cual es igualmente lógico en un ambiente turbulento como el que vivimos.
Las comunicaciones que emite un departamento de auditorÃa suelen gozar de peso dentro de las organizaciones, y por tanto, es normal que sean atendidas. Por otro lado, los requerimientos que proceden de inspectores de los reguladores suelen ser atendidos también con un carácter preferente, y no siempre que un auditor o un inspector se persona en unas dependencias o nos solicita información por teléfono o correo, caemos en algo tan básico como solicitarle sus credenciales para poder verificar su identidad. Este factor de confianza está provocando que algunos saquen provecho de la situación.
Según el artÃculo Financial Crisis Leaves Bank Branches Open to Social Engineering, Targeted Attacks, la crisis que nos azota está abriendo las puertas a ataques de ingenierÃa social, concretamente, a aquellos en los que usuarios malintencionados aprovechan el peso de la auditorÃa o de los reguladores para poder sacar tajada. Habida cuenta que la presencia de auditores e inspectores se está acentuando últimamente en muchos ámbitos, no son pocos los usuarios que entran literalmente en pánico ante su presencia, ya que muchos asocian su actividad a la probabilidad de que se levanten incidencias que conlleven repercusiones, directas o indirectas, en su puesto de trabajo. En esta situación, y en opinión de muchos, cabe la posibilidad de que, por el mero hecho de acreditarse como auditores o inspectores, y con la predisposición de ofrecer la máxima ayuda, los usuarios acaben entregando acceso fÃsico y/o lógico a los activos de información de las empresas, sin haber comprobado antes la legitimidad de estos peticionarios.
La empresa Lares Consulting, en un reciente experimento, ha puesto cifra a la tasa de éxito de esos ataques: aproximadamente el 70% de los empleados sucumbió a los intentos de engaño de los presuntos auditores. En paralelo, la veda se ha abierto para los engaños telefónicos y por correo electrónico, ya que la crisis es un reclamo conocido por todos y al que se presta atención, lo que representa un caldo de cultivo idóneo para intentos de fraude, que de hecho, ya se están produciendo.
Una nueva lección de un mensaje que hace años que se conoce: el eslabón humano es siempre el más débil, y los ataques con más éxito no son siempre ni los más complejos ni los basados exclusivamente en cuestiones técnicas.
Fuente: Inteco.es
GRATIS – Plan de cyberseguridad para su empresa: 
Obtenga nuestro portfolio de servicios: 
Realiza su consulta cómo proteger su Negocio: 
Informe a sus colegas del area de tecnología
Comparte esta información con colegas y superiores
Guarda este post para consultas
Descargue las Tendencias de cyberseguridad: 
Suscribirse a nuestro canal de YouTube: 
Descargue nuestras infografías: 
Conozca la opinión de nuestros clientes: 
Acceda a Cursos Online de entrenamiento en seguridad informática: