Incidentes en la seguridad: ingeniería social
El Instituto Nacional de Tecnologías de la Comunicación describe la ingeniería social como “el mecanismo para obtener información o datos de naturaleza sensible. Las técnicas de ingeniería social son tácticas de persuasión que suelen valerse de la buena voluntad y la falta de precaución de los usuarios, y cuya finalidad consiste en obtener cualquier clase de información, en muchas ocasiones claves o códigos”.
¿Cómo actúan los atacantes?
Los atacantes suelen usar la fuerza persuasiva para intentar aprovecharse de la inocencia de los usuarios haciéndose pasar por alguien de confianza, como un compañero de trabajo o personal de informática.
Un ejemplo de este tipo de ataque sería recibir una llamada de alguien que se hace pasar por personal de informática preguntando el número de usuario y la contraseña por alguna circunstancia de emergencia.
Otra técnica consiste en enviar un mensaje electrónico que contenga, por ejemplo, el texto siguiente:
“Su sistema está infectado por un virus que permite a los hackers acceder a su información almacenada. Para evitar esta circunstancia, instale un antivirus haciendo clic en este enlace [URL maliciosa que instala un troyano]* a fin de eliminar el virus”.
*Troyano: programa aparentemente inocuo que, al ejecutarse, en el ordenador no se evidencian señales de un mal funcionamiento. Sin embargo, el programa abre diversos puertos de comunicaciones del equipo infectado que permiten controlarlo remotamente de manera absoluta.
Si usted cree que ha sido víctima de la ingeniería social, ¿qué debe hacer si ya ha facilitado sus datos y claves de acceso?
Notifique inmediatamente la incidencia al Centro de Atención al Usuario o a su departamento de informática y cambie inmediatamente su contraseña para evitar en la medida de lo posible que lleguen a producirse accesos indebidos a los datos y a los recursos protegidos.
¿Qué medidas debe tomar para evitar los ataques?
En realidad no hay ningún mecanismo exacto gracias al cual pueda evitar los ataques. Simplemente debe desconfiar de las llamadas y de los mensajes que reciba con carácter sospechoso. Use el sentido común y, sobre todo, acuda a las sesiones de formación sobre la seguridad de la información que le ofrezcan el Servicio de Salud o las diferentes gerencias, y siga el curso en línea sobre el Código de buenas prácticas.
Acreditación del curso en línea sobre el Código de buenas prácticas
Está acreditado por la Comisión de Formación Continuada de las Profesiones Sanitarias de las Islas Baleares. Todos los profesionales sanitarios que completen el curso según los criterios establecidos recibirán 0,7 créditos.
Así mismo, los profesionales no sanitarios que lo completen recibirán igualmente un certificado de aprovechamiento del curso.