¿En qué consiste el método de la ingeniería social?
Hablando de los delitos informáticos, el método de la ingeniería social consiste en obtener información confidencial mediante la manipulación de las personas por medio de una llamada telefónica, mensaje de texto, correo electrónico o WhatsApp, entre otros, para cometer un ilícito.
El sujeto que comete estos delitos es conocido como cibercriminal. Es el que obtiene información confidencial de las personas que cuentan con acceso legítimo a los sistemas empresariales: nombre de usuario, contraseñas, números de tarjetas bancarias, códigos de seguridad, etc., para procurarse un beneficio.
El cibercriminal parte del principio de la ingeniería social que es el de atacar el punto más débil de la seguridad de las compañías: sus colaboradores. Se hace pasar por una persona, comunicación o empresa de confianza –como los bancos o personal de esas instituciones–.
Un informe de ciberseguridad emitido por la organización Information Systems Audit and Control Association (Isaca) en 2016, señaló que las principales amenazas cibernéticas que enfrentan las compañías en 2016 son:
• La ingeniería social (52%).
• Amenazas internas: cualquier amenaza que tenga su origen dentro de la compañía atacada, puede ser por ejemplo un empleado o exempleado (40%).
• Amenaza persistente avanzada (Advanced Persistent Threat): cuando el cibercriminal busca apoderarse de la información de la empresa, en forma sigilosa y durante un largo periodo de tiempo, sin procurar un daño físico a la infraestructura de la compañía, ni ser descubierto (39%).
Además, del claro ejemplo que representan las estafas bancarias, el robo de datos de carácter personal y empresarial es una tendencia mundial.
El informe de predicciones sobre amenazas de McAfee Labs, del 2016, expone que el incremento del valor de los datos personales será determinante para los ciberdelincuentes, puesto que ya es mayor que el valor de las tarjetas de crédito, y seguirá subiendo.
De acuerdo con el informe, en los próximos 5 años, las empresas aumentarán el volumen y los tipos de datos personales que recopilarán y almacenarán.
No se limitarán a recolectar información personal sino que se incorporarán datos sensibles, como los sitios más visitados, comportamientos “habituales”, lo que comemos, vemos y escuchamos, etc.
En Costa Rica, los datos personales están protegidos por la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (No. 8968), que define como dato personal cualquier dato relativo a una persona física identificada o identificable. Es decir, cualquier tipo de información de un individuo que forme parte su ámbito público, privado o profesional, que permita relacionar, directa o indirectamente, al sujeto titular de los datos.
La propia ley establece la categoría de datos personales:
• Datos personales de acceso irrestrictos: los contienen las bases de datos públicas como el registro civil o el de la propiedad.
• Datos personales de acceso restringido: aún formado parte de bases de datos públicas son solo relevantes para la persona o para la administración.
• Datos personales sensibles: es la “información relativa al fuero íntimo de la persona”. Para este caso en particular, es aquella información que puede poner en riesgo los intereses de la persona, es decir, los datos que sólo conciernen a su titular y a quien éste quiera participar y que además, escapan del dominio público. Otros ejemplos generales sobre este tipo de datos son aquellos sobre la orientación ideológica, la convicción religiosa, las preferencias sexuales, los registros médicos, entre otros.
Las empresas cuentan con información personal en sus bases de datos, en mayor o menor medida, de cada una de las categorías que contempla la ley.
Riesgos para las empresas
Al ser la ley de cumplimiento obligatorio para el sector público y privado, las empresas que no cuenten con políticas de protección de datos personales podrían tener consecuencias legales.
Por ejemplo, un robo de datos personales, por la falta de medidas de seguridad y políticas de protección de datos, podría desencadenar en la pérdida de confianza en la imagen de la compañía, así como el riesgo de sanciones administrativas de más de ¢12 millones por incumplimiento de la ley, riesgos civil y penal.
Es importante que las empresas cuenten con políticas de seguridad sobre la protección de datos y privacidad, con interés especial en resguardar todo aquella información sensible, ya sea del ámbito comercial de la empresa, sus empleados y clientes.
El entrenamiento de los colaboradores de la empresa es fundamental para aplicar correctamente las políticas de seguridad y evitar los riesgos económicos y legales que conlleva no hacerlo.
La falta de conocimiento y de una cultura general sobre temas de protección de datos y la ciberseguridad, es una preocupación que los costarricenses y las instituciones tanto públicas como privadas, deben abordar con mayor atención y preocupación.
En nuestra sociedad, el valor económico de los datos personales aumenta día con día y en especial para los cibercriminales. Por esta razón, es importante tomar conciencia de esta situación y protegerlos de conformidad con la ley y por medio de las mejores prácticas de la industria de seguridad informática.