El principio que sustenta la
ingeniería social es el que en cualquier sistema "los usuarios son el
eslabón débil". En la práctica, un ingeniero social usará comúnmente el
teléfono o Internet para engañar a la gente, fingiendo ser, por
ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de
trabajo, un técnico o un cliente. Vía Internet o la web se usa,
adicionalmente, el envío de solicitudes de renovación de permisos de acceso a
páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas,
llevando así a revelar información sensible, o a violar las políticas de
seguridad típicas. Con este método, los ingenieros sociales aprovechan la
tendencia natural de la gente a reaccionar de manera predecible en ciertas
situaciones, -por ejemplo proporcionando detalles financieros a un aparente
funcionario de un banco- en lugar de tener que encontrar agujeros de
seguridad en los sistemas informáticos.
Quizá el ataque más simple pero
muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador
del sistema esta solicitando una contraseña para varios propósitos legítimos.
Los usuarios de sistemas de Internet frecuentemente reciben mensajes que
solicitan contraseñas o información de tarjeta de crédito, con el motivo
de "crear una cuenta", "reactivar una configuración", u
otra operación benigna; a este tipo de ataques se los llama phishing (se
pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas
deberían ser advertidos temprana y frecuentemente para que no divulguen
contraseñas u otra información sensible a personas que dicen ser
administradores. En realidad, los administradores de sistemas informáticos
raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a
cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser
necesario — en una encuesta realizada por la empresa Boixnet, el 90% de
los empleados de oficina de la estación Waterloo de Londres reveló
sus contraseñas a cambio de un bolígrafo barato.
Otro ejemplo contemporáneo de un
ataque de ingeniería social es el uso de archivos adjuntos en e-mails,
ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o
algún programa "gratis" (a menudo aparentemente provenientes de
alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar
la máquina de la víctima para enviar cantidades masivas despam). Ahora, después
de que los primeros e-mails maliciosos llevaran a los proveedores de software a
deshabilitar la ejecución automática de archivos adjuntos, los
usuarios deben activar esos archivos de forma explícita para que ocurra una
acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier
archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniería social también se
aplica al acto de manipulación cara a cara para obtener acceso a los sistemas
computacionales. Otro ejemplo es el conocimiento sobre la víctima, a través de
la introducción de contraseñas habituales, lógicas típicas o conociendo su
pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo
si fuese la víctima?
La principal defensa contra la
ingeniería social es educar y entrenar a los usuarios en el uso de políticas de
seguridad y asegurarse de que estas sean seguidas.
Definición de Seguridad
Informática: La
seguridad informática debe entenderse como una cultura, en
primer lugar. Así como se revisa de
manera inconsciente, generalmente, que una casa y un carro se encuentre
cerrado, de la misma manera se debe hacer con el hardware, el software, la información que se maneja y
las personas que los utilizan dentro de una organización.
Recurso Humano. Son las personas encargadas de
administrar la información a través del Hardware y Software
Objetivo de
la Seguridad Informática.
Un riesgo en seguridad informática, es la
probabilidad de que suceda un evento negativo
sobre los activos informáticos. Así mismo, existe un principio que dice un riesgo
no se elimina, solo se minimiza. Por lo tanto el objetivo de la seguridad es
buscar ofrecer un sistema capaz de
minimizar los riesgos al máximo. Para poder cumplir con este
objetivo, el sistema que se busca debe contener las siguientes características:
Integridad. La información que se administra con
los activos informáticos, sólo puede ser modificada por quien está
autorizado.
La ingenieria social es el término
es utilizado para describir un método de ataque, donde alguien hace uso de la
persuasión, muchas
veces abusando de la ingenuidad o confianza de un usuario, para obtener
informacion que pueda ser utilizada para tener acceso autorizado a la
información de las computadoras.
La piratería informática más sencilla no requiere
habilidad informática alguna. Si un intruso puede engañar a un miembro de una
organización para que le proporcione información valiosa, como la ubicación de
los archivos o de las contraseñas, el proceso de piratería informática se torna
mucho más fácil. Este tipo de ataque se denomina ingeniería social, y se
aprovecha de las vulnerabilidades personales que pueden ser descubiertas por
agresores talentosos. Puede incluir apelaciones al ego de un empleado, o bien
puede tratarse de una persona simulada o un documento falsificado que logra que
una persona proporcione información confidencial.
Técnicas de ingeniería
social
Existen tres tipos de
técnicas según el nivel de interacción del ingeniero socialTres tipos,
Técnicas pasivasTécnicas no presenciales
Técnicas presenciales no agresivas
Métodos agresivos
Autoridad falsa
Ejemplo
Recomendaciones
Suplantación
Ejemplo: Si se debe entregar Información confidencial: debe ser personalmente, si debe ser enviada por correo electrónico: encriptada, y si es un archivo por mensajería instantánea: comprimido y encriptado con claves de acceso que las 2 personas conozcan o compartan.
Recomendaciones
Es muy importante capacitar al Usuario (empleado y superiores) en reconocer a este tipo de personas, nunca se debe dar Información confidencial por mensajería instantánea ni por Teléfono, se debe seguir un protocolo de trabajo. El peor error de las empresas es confiar en que nunca sucederá en su Empresa.
Marco de administración de la seguridad: Un marco de Administración de la seguridad define una visión general de las posibles amenazas que suponen para su organización la Ingeniería social y asigna funciones con puestos responsables del desarrollo de directivas y procedimientos que mitiguen esas amenazas. Este método no significa que tenga que contratar a personal cuyas únicas funciones sean asegurar la seguridad de los activos de la Empresa. Si bien este método puede ser una opción en grandes organizaciones, resulta poco viable o deseable tener asignadas esas funciones en las medianas empresas.El comité de control de seguridad debe identificar en primer lugar las áreas que pueden suponen un riesgo para la compañía.Este proceso debe incluir todos los vectores de ataque identificados y los elementos específicos de la compañía, como el uso de terminales públicas o procedimientos de Administración de la oficina.
Evaluaciones sobre la administración de riesgos: Cualquier tipo de seguridad exige que se evalúe el nivel de riesgo que supone un ataque para la compañía. Si bien la Evaluación del riesgo debe ser concienzuda, no tiene que tardarse mucho tiempo en realizarse. Según el trabajo realizado para identificar los elementos principales de un marco de Administración de la seguridad por parte del comité de control de seguridad, podrá establecer categorías y prioridades en los riesgos. Se deben establecer prioridades mediante la identificación del riesgo y el cálculo del costo que implica su mitigación; si mitigar un riesgo es más caro que el propio riesgo, puede que dicho costo no sea justificable. La fase de Evaluación del riesgo puede resultar muy útil en el desarrollo final de la directiva de seguridad.
Directiva de seguridad: Se debe crear un conjunto escrito de directivas y procedimientos que estipulen la forma en que su personal debe enfrentarse a las situaciones que puedan suponer ataques de Ingeniería social. En este paso se asume que existe una directiva de seguridad, aparte de la amenaza que supone la Ingeniería social. Si actualmente no se dispone de una directiva de seguridad, se tendrá que crear una. Los elementos que identifique la Evaluación del riesgo de Ingeniería social serán un comienzo, pero se debe tener en cuenta otras posibles amenazas.
§ Observación
§ Recuperar
la contraseña
§ IRC u
otros chats
§ Teléfonos
§ Carta y
fax
§ Buscando
en la basura.
§ Mirando
por encima del hombro.
§ Seguimiento
de personas y vehículos.
§ Vigilancia
de Edificios.
§ Inducción.
§ Entrada
en Hospitales.
§ Acreditaciones.
§ Agendas y
teléfonos móviles.
§ Desinformación.
Métodos utilizados por los
atacantes
Son varios los métodos que
un atacante puede utilizar para conseguir que se le brinde Información o se le facilite un acceso a un Sistema restringido, aunque lo más normal es
que el atacante utilice una mezcla de todos los métodos existentes.
§ Suplantación
de personalidad.
§ Chantaje
o extorsión.
§ Despersonalización.
§ Presión
psicológica.
Esta
técnica es usada muy a menudo y se basa en intentar convencer a la victima de
que el atacante está en una posición en la que esa Información le es necesaria haciéndose pasar por
un superior. Esta técnica puede ser usada en empresas muy grandes, donde lo más
normal es que un empleado no conozca a todos sus superiores, con lo que un
atacante puede hacerse pasar por un superior y solicitar la Información que necesite. Con lo que muchas veces
no es necesario hacer muchos esfuerzos para conseguir la Información.
Un
atacante entra a una compañía de software y se hace pasar por un empleado del
departamento de seguridad, y explica a los jefes que tiene que instalar un
nuevo fichero para evitar que los ordenadores de todos los empleados se
infecten con un Virus que acaba de salir y que para hacer
eso es necesario que los empleados le faciliten su Contraseña de acceso a los ordenadores, con lo
que el atacante ya podría hacer lo que quisiera con los ordenadores de los
empleados.(Es muy utilizada en corporaciones de mas de 50 empleados). Aunque es
un ejemplo muy simple, se puede ver que el atacante, haciéndose pasar por otra
persona ha conseguido con relativa facilidad las contraseñas de todos los empleados de la Empresa.
Es
muy importante capacitar al Usuario (empleado y superiores) en reconocer a
este tipo de personas, siempre se le debe solicitar la identificación, y preferentemente
tener un protocolo de trabajo (por ejemplo si se
realizara una actualización de software, enviar 24 horas antes un correo electrónico a todos los empleados avisando que
pasará el técnico a realizar el trabajo).
Aunque
se parece mucho a la autoridad falsa, no es lo mismo, es decir, la suplantación
se parece a la autoridad falsa en el hecho de que se intenta engañar a una
persona haciéndose pasar por alguien que tiene más derechos en el Sistema. La diferencia radica que
la suplantación se basa en hacerse pasar por una persona que realmente existe.
En esta técnica el atacante se hace pasar por otra persona de distintos modos,
por ejemplo podría imitar la Voz de la persona a suplantar, usar la mensajería instantánea o incluso imitar su estilo de Escritura leyendo sus correos, es decir, que un
atacante podría recabar Información sobre una persona y hacerse pasar por
ella. Una vez que el atacante ha conseguido convencernos que es quien dice ser
sólo le quedará pedirnos la Información que desea obtener para acceder a nuestros sistemas.
Protección de información
confidencial
La Ingeniería social
incluye principalmente amenazas no técnicas para la seguridad de la compañía.
La amplia naturaleza de estas posibles amenazas hace necesario el contar con Información sobre las amenazas y las defensas
disponibles que permiten ayudar a enfrentarse a los piratas informáticos de la Ingeniería social.Para proteger
a su personal de los ataques de ingeniería social, tiene que conocer los tipos
de ataque que puede sufrir, saber lo que quiere el Pirata informático y valorar lo que podría
suponer la pérdida para su organización. Con estos datos, puede hacer más estricta su
directiva de seguridad para que incluya defensas contra la ingeniería social.
Una
vez comprendida una parte de la amplia gama de amenazas que existen, se
necesitan tres pasos para diseñar un Sistema de defensa frente a las amenazas de la
Ingeniería social hacia el personal de su compañía. Una defensa efectiva es
contar con una función de planeamiento. Las defensas suelen ser reactivas: se
detecta un ataque que tuvo éxito y se crea una barrera para garantizar que el
problema no vuelva a producirse. Si bien este método demuestra cierto nivel de
concienciación, la solución llega demasiado tarde si el problema es grave o
costoso. Para adelantarse a esta situación, debe realizar los tres pasos
siguientes:
No hay comentarios.:
Publicar un comentario