La plataforma global e independiente para la comunidad SAP.

La vulnerabilidad humana en el punto de mira de los piratas informáticos

No sólo las vulnerabilidades técnicas pueden mermar masivamente la seguridad de SAP: el error humano también forma parte de ella. Por qué los usuarios de SAP deben estar específicamente preparados para posibles ataques de spear phishing.
David Kelm, Sello TI
14 septiembre 2022
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Seguridad El spear phishing amenaza la seguridad de SAP

Los datos SAP son uno de los objetos más codiciados por los ciberdelincuentes. El robo de datos de ventas y datos personales de clientes, propiedad intelectual y datos financieros, que sirven de palanca para el uso de información privilegiada, la colusión y el fraude, parece ser especialmente gratificante. No es de extrañar, por tanto, que los atacantes estén ideando métodos cada vez más sofisticados para acceder a los sistemas SAP críticos para las empresas. Además de las lagunas técnicas de seguridad, cada vez se ataca más la vulnerabilidad humana. Para aprovecharse de ello, los estafadores envían a los usuarios de SAP correos electrónicos de spear phishing con apariencia engañosa, aparentemente en nombre de superiores, empleados o colegas. Previamente han investigado meticulosamente la información necesaria sobre la empresa y los empleados en las redes sociales y otras fuentes de Internet.

En estos correos de phishing, los atacantes envían solicitudes de apariencia plausible para incitar a sus víctimas potenciales a divulgar datos muy confidenciales. Para conseguir que los destinatarios abran los correos entrantes sin pensar y sigan las instrucciones, los estafadores recurren a trucos psicológicos de probada eficacia. Los factores emocionales de influencia más comunes incluyen La creencia en la autoridad (los hackers se hacen pasar por un miembro de la dirección y exigen al empleado que les entregue datos financieros para tener una visión general de la evolución del negocio), la presión del tiempo, el miedo y la curiosidad.

Sensibilización en materia de seguridad

Muchas empresas han reconocido ya la amenaza que suponen los ataques de spear phishing para su seguridad SAP. Además, los clientes de SAP exigen cada vez más cursos de concienciación sobre seguridad para armar a los empleados contra los ataques de phishing. Pero las ofertas clásicas no bastan para ello. Dado que las formaciones se centran en la transmisión de conocimientos teóricos en el marco de la formación presencial, el e-learning y los seminarios web, sólo se mejora la capacidad de decisión racional de los participantes.

El Índice de Seguridad de los Empleados (ESI) es un método para medir la concienciación. Cuanto mayor sea el ESI y la concienciación, menor será la probabilidad de que se produzcan incidentes. Fuente: Sello TI.

En cambio, los ataques de spear phishing se dirigen a las decisiones rápidas e intuitivas de los destinatarios de correo electrónico. Por lo tanto, la formación de concienciación debe complementarse con simulaciones de spear phishing que utilicen información real de la empresa y de los empleados para recrear ataques auténticos. Pero en lugar de ser enganchados por los estafadores, los empleados aterrizan directamente en una página explicativa interactiva. En ella, se les muestra paso a paso cómo podrían haber reconocido los correos electrónicos falsos: por ejemplo, por las letras mal escritas en la línea de dirección, las URL desviadas o los subdominios. 

Los simulacros de phishing son especialmente eficaces porque aprovechan el "momento más instructivo" del empleado y le muestran directamente su mala conducta durante el ataque. Este "efecto de choque" garantiza que en el futuro tendrá más cuidado con los correos electrónicos entrantes. Para garantizar que el efecto de aprendizaje continúe, las simulaciones de spear phishing deben repetirse y actualizarse con regularidad. Para alejar la sensación de ser controlado o incluso engañado, las empresas deben comunicar con tiempo los simulacros de phishing previstos. 

También es importante adaptar la formación a las necesidades individuales de aprendizaje de los empleados y documentar el progreso del aprendizaje. El Índice de Seguridad de los Empleados (ESI) es un método realista y reproducible para medir la concienciación. El ESI proporciona cifras clave tangibles y fiables sobre el comportamiento de seguridad de los empleados en simulaciones de phishing de distintos niveles de dificultad. Esto permite a una empresa comunicar el progreso de aprendizaje de su personal y definir un objetivo común para el que los responsables de seguridad informática, la dirección y los empleados colaboran.

avatar
David Kelm, Sello TI

David Kelm es cofundador y director general de IT-Seal


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.