Ingeniería social
| ||||
Ingeniería social.Es el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.
Sumario
Ingeniería social y seguridad informática
- La seguridad informática tiene por objetivo el asegurar que los datos que almacenan los ordenadores se mantengan libres de cualquier problema, y que el servicio que los sistemas presten se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares como:
Aparatos de aire acondicionado
- Mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
Calificación del equipo de administradores
- Se deberá conocer el sistema lo suficiente como para mantenerlo funcionando correctamente.
Definición de entornos
- Las copias de seguridad han de guardarse para ser seguros.
Como hacer las copias
- El control del acceso físico a los sistemas.
- La elección de un hardware y de un software que no de problemas.
- La correcta formación de los usuarios del sistema.
- El desarrollo de planes de contingencia.
- Se debe tener en cuenta que una gran parte de las instrucciones en sistemas se realizan utilizando datos que se obtienen de los usuarios mediante diferentes métodos y con la intervención de personas especialmente entrenadas, los ingenieros sociales.
Técnicas de ingeniería social
- Existen tres tipos de técnicas según el nivel de interacción del ingeniero socialTres tipos,
Técnicas pasivas
- Observación
Técnicas no presenciales
- Recuperar la contraseña
- IRC u otros chats
- Teléfonos
- Carta y fax
Técnicas presenciales no agresivas
- Buscando en la basura.
- Mirando por encima del hombro.
- Seguimiento de personas y vehículos.
- Vigilancia de Edificios.
- Inducción.
- Entrada en Hospitales.
- Acreditaciones.
- Agendas y teléfonos móviles.
- Desinformación.
Métodos utilizados por los atacantes
Son varios los métodos que un atacante puede utilizar para conseguir que se le brinde Información o se le facilite un acceso a un Sistema restringido, aunque lo más normal es que el atacante utilice una mezcla de todos los métodos existentes.
Métodos agresivos
- Suplantación de personalidad.
- Chantaje o extorsión.
- Despersonalización.
- Presión psicológica.
Autoridad falsa
Esta técnica es usada muy a menudo y se basa en intentar convencer a la victima de que el atacante está en una posición en la que esa Información le es necesaria haciéndose pasar por un superior. Esta técnica puede ser usada en empresas muy grandes, donde lo más normal es que un empleado no conozca a todos sus superiores, con lo que un atacante puede hacerse pasar por un superior y solicitar la Información que necesite. Con lo que muchas veces no es necesario hacer muchos esfuerzos para conseguir la Información.
Ejemplo
Un atacante entra a una compañía de software y se hace pasar por un empleado del departamento de seguridad, y explica a los jefes que tiene que instalar un nuevo fichero para evitar que los ordenadores de todos los empleados se infecten con un Virus que acaba de salir y que para hacer eso es necesario que los empleados le faciliten su Contraseña de acceso a los ordenadores, con lo que el atacante ya podría hacer lo que quisiera con los ordenadores de los empleados.(Es muy utilizada en corporaciones de mas de 50 empleados). Aunque es un ejemplo muy simple, se puede ver que el atacante, haciéndose pasar por otra persona ha conseguido con relativa facilidad las contraseñas de todos los empleados de la Empresa.
Recomendaciones
Es muy importante capacitar al Usuario (empleado y superiores) en reconocer a este tipo de personas, siempre se le debe solicitar la identificación, y preferentemente tener un protocolo de trabajo (por ejemplo si se realizara una actualización de software, enviar 24 horas antes un correo electrónico a todos los empleados avisando que pasará el técnico a realizar el trabajo).
Suplantación
Aunque se parece mucho a la autoridad falsa, no es lo mismo, es decir, la suplantación se parece a la autoridad falsa en el hecho de que se intenta engañar a una persona haciéndose pasar por alguien que tiene más derechos en el Sistema. La diferencia radica que la suplantación se basa en hacerse pasar por una persona que realmente existe. En esta técnica el atacante se hace pasar por otra persona de distintos modos, por ejemplo podría imitar la Voz de la persona a suplantar, usar la mensajería instantánea o incluso imitar su estilo de Escritura leyendo sus correos, es decir, que un atacante podría recabar Información sobre una persona y hacerse pasar por ella. Una vez que el atacante ha conseguido convencernos que es quien dice ser sólo le quedará pedirnos la Información que desea obtener para acceder a nuestros sistemas.
Ejemplo
Si se debe entregar Información confidencial: debe ser personalmente, si debe ser enviada por correo electrónico: encriptada, y si es un archivo por mensajería instantánea: comprimido y encriptado con claves de acceso que las 2 personas conoscan o compartan.
Recomendaciones
Es muy importante capacitar al Usuario (empleado y superiores) en reconocer a este tipo de personas, nunca se debe dar Información confidencial por mensajería instantánea ni por Teléfono, se debe seguir un protocolo de trabajo. El peor error de las empresas es confiar en que nunca sucederá en su Empresa.
Protección de información confidencial
La Ingeniería social incluye principalmente amenazas no técnicas para la seguridad de la compañía. La amplia naturaleza de estas posibles amenazas hace necesario el contar con Información sobre las amenazas y las defensas disponibles que permiten ayudar a enfrentarse a los piratas informáticos de la Ingeniería social.Para proteger a su personal de los ataques de ingeniería social, tiene que conocer los tipos de ataque que puede sufrir, saber lo que quiere el Pirata informático y valorar lo que podría suponer la pérdida para su organización. Con estos datos, puede hacer más estricta su directiva de seguridad para que incluya defensas contra la ingeniería social.
Una vez comprendida una parte de la amplia gama de amenazas que existen, se necesitan tres pasos para diseñar un Sistema de defensa frente a las amenazas de la Ingeniería social hacia el personal de su compañía. Una defensa efectiva es contar con una función de planeamiento. Las defensas suelen ser reactivas: se detecta un ataque que tuvo éxito y se crea una barrera para garantizar que el problema no vuelva a producirse. Si bien este método demuestra cierto nivel de concienciación, la solución llega demasiado tarde si el problema es grave o costoso. Para adelantarse a esta situación, debe realizar los tres pasos siguientes:
Marco de administración de la seguridad
Un marco de Administración de la seguridad define una visión general de las posibles amenazas que suponen para su organización la Ingeniería social y asigna funciones con puestos responsables del desarrollo de directivas y procedimientos que mitiguen esas amenazas. Este método no significa que tenga que contratar a personal cuyas únicas funciones sean asegurar la seguridad de los activos de la Empresa.
Si bien este método puede ser una opción en grandes organizaciones, resulta poco viable o deseable tener asignadas esas funciones en las medianas empresas.El comité de control de seguridad debe identificar en primer lugar las áreas que pueden suponen un riesgo para la compañía.Este proceso debe incluir todos los vectores de ataque identificados y los elementos específicos de la compañía, como el uso de terminales públicas o procedimientos de Administración de la oficina.
Evaluaciones sobre la administración de riesgos
Cualquier tipo de seguridad exige que se evalúe el nivel de riesgo que supone un ataque para la compañía. Si bien la Evaluación del riesgo debe ser concienzuda, no tiene que tardarse mucho tiempo en realizarse. Según el trabajo realizado para identificar los elementos principales de un marco de Administración de la seguridad por parte del comité de control de seguridad, podrá establecer categorías y prioridades en los riesgos.
Se deben establecer prioridades mediante la identificación del riesgo y el cálculo del costo que implica su mitigación; si mitigar un riesgo es más caro que el propio riesgo, puede que dicho costo no sea justificable. La fase de Evaluación del riesgo puede resultar muy útil en el desarrollo final de la directiva de seguridad.
Directiva de seguridad
Se debe crear un conjunto escrito de directivas y procedimientos que estipulen la forma en que su personal debe enfrentarse a las situaciones que puedan suponer ataques de Ingeniería social. En este paso se asume que existe una directiva de seguridad, aparte de la amenaza que supone la Ingeniería social. Si actualmente no se dispone de una directiva de seguridad, se tendrá que crear una. Los elementos que identifique la Evaluación del riesgo de Ingeniería social serán un comienzo, pero se debe tener en cuenta otras posibles amenazas.
