Diferencia entre revisiones de «Ingeniería social»

(¿Qué es la Ingeniería social?)
(Etiqueta: nuestro-nuestra)
(Etiqueta: nuestro-nuestra)
Línea 1: Línea 1:
{{Normalizar}}
 
 
<div align="justify">
 
<div align="justify">
 
{{Definición
 
{{Definición
|nombre= Ingeniería social.
+
|nombre= Ingeniería Social
 
|imagen= Seguridad-informatica-1.jpg
 
|imagen= Seguridad-informatica-1.jpg
 
}}
 
}}
 
<div align="justify">
 
<div align="justify">
'''Ingeniería social'''.Cada vez que pensamos en problemas de seguridad se considera como parte de un plan integral al menos tres grandes esferas: la tecnológica, la de políticas y la humana.
+
'''Ingeniería social'''.Es el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros. 
El área tecnológica es la que cada vez está más reforzada incluyendo toda clase de productos desde [[Cortafuegos]], [[Encriptación]], detectores de intrusos, [[Antivirus Informáticos]], y un largo etcétera; el área de políticas también está muy avanzado considerando niveles de seguridad, seguridad física y lógica, modelos de [[Administración]] de riesgos, esquemas de claves privadas con renovación a corto plazo, mecanismos de autentificación y una larga lista; la tercer esfera es en cambio la menos trabajada y en donde se concentran los mayores peligros, y sin lugar a dudas ése es el factor humano y por ello cada vez son más los ataques a la seguridad utilizando la '''Ingeniería social'''.
+
== Ingeniería social y seguridad informática ==
 
+
* La seguridad informática tiene por objetivo el asegurar que los datos  que almacenan los ordenadores se mantengan libres de cualquier  problema, y que el servicio que los sistemas presten se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares como:
== ¿Qué es la Ingeniería social? ==
+
=== Aparatos de aire acondicionado ===  
 
+
* Mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
La ''Ingeniería social'' es la técnica especializada del uso de acciones estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente realicen actos que normalmente no harían, o simplemente para extraer [[Información]]. Este ataque quizás es el método más sencillo y menos peligroso para el atacante, por desgracia es uno de los más efectivos.
+
=== Calificación del equipo de administradores ===
De hecho, la ingeniería social no nació en las [[Computadora]]s, los timadores, estafadores, defraudadores y otros pillos han tenido éxito durante muchos años y ahora simplemente están encontrando en [[Internet]] territorio fértil para sus engaños.
+
* Se deberá  conocer el sistema lo suficiente como para mantenerlo funcionando  correctamente.  
Para atacar una organización, los piratas informáticos de la Ingeniería social se aprovechan de la credulidad, pereza, buenas maneras o incluso el entusiasmo de su personal. Por tanto, es difícil defenderse de un ataque de este tipo, ya que los destinatarios no se dan cuenta de que los están engañando. Los objetivos de un [[Pirata]] informático de Ingeniería social, es decir, alguien que intenta conseguir acceso no autorizado a sus sistemas informáticos, son similares a los de cualquier otro [[Pirata]] informático: desean obtener [[Dinero]], [[Información]] o recursos de su compañía.
+
== Definición de entornos ==
Conceptualmente la Ingeniería social no es considerada un ataque en si misma. Sucede que al ser la [[Información]] de la víctima, un elemento básico a utilizar en la intrusión de sistemas, cualquier técnica que ayude a su obtención debe ser considerada seriamente.
+
* Las copias de seguridad han de guardarse para ser seguros.
 
+
=== Como hacer las copias ===
 +
* El control del acceso físico a los sistemas.  
 +
* La elección de un hardware y de un software que no de problemas.
 +
* La correcta formación de los usuarios del sistema.  
 +
* El desarrollo de planes de contingencia.
 +
* Se debe tener en cuenta que una gran parte de las instrucciones en  sistemas se realizan utilizando datos que se obtienen de los usuarios  mediante diferentes métodos y con la intervención de personas  especialmente entrenadas, los ingenieros sociales.
 +
== Técnicas de ingeniería social ==
 +
* Existen tres tipos de técnicas según el nivel de interacción del ingeniero socialTres tipos,  
 +
=== Técnicas pasivas ===
 +
* Observación
 +
=== Técnicas no presenciales ===
 +
* Recuperar la contraseña
 +
* IRC u otros chats
 +
* Teléfonos
 +
* Carta y fax 
 +
=== Técnicas presenciales no agresivas ===
 +
* Buscando en la basura.
 +
* Mirando por encima del hombro.
 +
* Seguimiento de personas y vehículos.  
 +
* Vigilancia de Edificios.
 +
* Inducción.
 +
* Entrada en Hospitales.
 +
* Acreditaciones.
 +
* Agendas y teléfonos móviles.  
 +
* Desinformación.
 
==Métodos utilizados por los atacantes ==
 
==Métodos utilizados por los atacantes ==
 
 
Son varios los métodos que un atacante puede utilizar para conseguir que se le brinde [[Información]] o se le facilite un acceso a un [[Sistema]] restringido, aunque lo más normal es que el atacante utilice una mezcla de todos los métodos existentes.
 
Son varios los métodos que un atacante puede utilizar para conseguir que se le brinde [[Información]] o se le facilite un acceso a un [[Sistema]] restringido, aunque lo más normal es que el atacante utilice una mezcla de todos los métodos existentes.
 
+
=== Métodos agresivos ===
 +
* Suplantación de personalidad.
 +
* Chantaje o extorsión.
 +
* Despersonalización.
 +
* Presión psicológica.
 
===Autoridad falsa===
 
===Autoridad falsa===
 
 
Esta técnica es usada muy a menudo y se basa en intentar convencer a la victima de que el atacante está en una posición en la que esa [[Información]] le es necesaria haciéndose pasar por un superior.
 
Esta técnica es usada muy a menudo y se basa en intentar convencer a la victima de que el atacante está en una posición en la que esa [[Información]] le es necesaria haciéndose pasar por un superior.
 
Esta técnica puede ser usada en empresas muy grandes, donde lo más normal es que un empleado no conozca a todos sus superiores, con lo que un atacante puede hacerse pasar por un superior y solicitar la [[Información]] que necesite. Con lo que muchas veces no es necesario hacer muchos esfuerzos para conseguir la [[Información]].
 
Esta técnica puede ser usada en empresas muy grandes, donde lo más normal es que un empleado no conozca a todos sus superiores, con lo que un atacante puede hacerse pasar por un superior y solicitar la [[Información]] que necesite. Con lo que muchas veces no es necesario hacer muchos esfuerzos para conseguir la [[Información]].
 
 
====Ejemplo====
 
====Ejemplo====
 
 
Un atacante entra a una compañía de [[software]] y se hace pasar por un empleado del departamento de seguridad, y explica a los jefes que tiene que instalar un nuevo fichero para evitar que los ordenadores de todos los empleados se infecten con un [[Virus]] que acaba de salir y que para hacer eso es necesario que los empleados le faciliten su [[Contraseña]] de acceso a los ordenadores, con lo que el atacante ya podría hacer lo que quisiera con los ordenadores de los empleados.(Es muy utilizada en corporaciones de mas de 50 empleados).
 
Un atacante entra a una compañía de [[software]] y se hace pasar por un empleado del departamento de seguridad, y explica a los jefes que tiene que instalar un nuevo fichero para evitar que los ordenadores de todos los empleados se infecten con un [[Virus]] que acaba de salir y que para hacer eso es necesario que los empleados le faciliten su [[Contraseña]] de acceso a los ordenadores, con lo que el atacante ya podría hacer lo que quisiera con los ordenadores de los empleados.(Es muy utilizada en corporaciones de mas de 50 empleados).
 
Aunque es un ejemplo muy simple, se puede ver que el atacante, haciéndose pasar por otra persona ha conseguido con relativa facilidad las [[contraseñas]] de todos los empleados de la [[Empresa]].
 
Aunque es un ejemplo muy simple, se puede ver que el atacante, haciéndose pasar por otra persona ha conseguido con relativa facilidad las [[contraseñas]] de todos los empleados de la [[Empresa]].
 
 
====Recomendaciones====
 
====Recomendaciones====
 
 
Es muy importante capacitar al [[Usuario]] (empleado y superiores) en reconocer a este tipo de personas, siempre se le debe solicitar la identificación, y preferentemente tener un [[protocolo]] de trabajo (por ejemplo si se realizara una actualización de software, enviar 24 horas antes un [[correo electrónico]] a todos los empleados avisando que pasará el técnico a realizar el trabajo).
 
Es muy importante capacitar al [[Usuario]] (empleado y superiores) en reconocer a este tipo de personas, siempre se le debe solicitar la identificación, y preferentemente tener un [[protocolo]] de trabajo (por ejemplo si se realizara una actualización de software, enviar 24 horas antes un [[correo electrónico]] a todos los empleados avisando que pasará el técnico a realizar el trabajo).
 
 
===Suplantación===
 
===Suplantación===
 
 
Aunque se parece mucho a la autoridad falsa, no es lo mismo, es decir, la suplantación se parece a la autoridad falsa en el hecho de que se intenta engañar a una persona haciéndose pasar por alguien que tiene más derechos en el [[Sistema]]. La diferencia radica que la suplantación se basa en hacerse pasar por una persona que realmente existe.
 
Aunque se parece mucho a la autoridad falsa, no es lo mismo, es decir, la suplantación se parece a la autoridad falsa en el hecho de que se intenta engañar a una persona haciéndose pasar por alguien que tiene más derechos en el [[Sistema]]. La diferencia radica que la suplantación se basa en hacerse pasar por una persona que realmente existe.
 
En esta técnica el atacante se hace pasar por otra persona de distintos modos, por ejemplo podría imitar la [[Voz]] de la persona a suplantar, usar la [[mensajería instantánea]] o incluso imitar su estilo de [[Escritura]] leyendo sus correos, es decir, que un atacante podría recabar [[Información]] sobre una persona y hacerse pasar por ella.
 
En esta técnica el atacante se hace pasar por otra persona de distintos modos, por ejemplo podría imitar la [[Voz]] de la persona a suplantar, usar la [[mensajería instantánea]] o incluso imitar su estilo de [[Escritura]] leyendo sus correos, es decir, que un atacante podría recabar [[Información]] sobre una persona y hacerse pasar por ella.
 
Una vez que el atacante ha conseguido convencernos que es quien dice ser sólo le quedará pedirnos la [[Información]] que desea obtener para acceder a nuestros sistemas.
 
Una vez que el atacante ha conseguido convencernos que es quien dice ser sólo le quedará pedirnos la [[Información]] que desea obtener para acceder a nuestros sistemas.
 
 
====Ejemplo====
 
====Ejemplo====
 
 
Si se debe entregar [[Información]] confidencial: debe ser personalmente, si debe ser enviada por [[correo electrónico]]: encriptada, y si es un archivo por [[mensajería instantánea]]: comprimido y encriptado con claves de acceso que las 2 personas conoscan o compartan.
 
Si se debe entregar [[Información]] confidencial: debe ser personalmente, si debe ser enviada por [[correo electrónico]]: encriptada, y si es un archivo por [[mensajería instantánea]]: comprimido y encriptado con claves de acceso que las 2 personas conoscan o compartan.
 
 
====Recomendaciones====
 
====Recomendaciones====
 
 
Es muy importante capacitar al [[Usuario]] (empleado y superiores) en reconocer a este tipo de personas, nunca se debe dar [[Información]] confidencial por [[mensajería instantánea]] ni por [[Teléfono]], se debe seguir un [[protocolo]] de trabajo. El peor error de las empresas es confiar en que nunca sucederá en su [[Empresa]].
 
Es muy importante capacitar al [[Usuario]] (empleado y superiores) en reconocer a este tipo de personas, nunca se debe dar [[Información]] confidencial por [[mensajería instantánea]] ni por [[Teléfono]], se debe seguir un [[protocolo]] de trabajo. El peor error de las empresas es confiar en que nunca sucederá en su [[Empresa]].
 +
== Protección de información confidencial  ==
 +
La Ingeniería social incluye principalmente amenazas no técnicas para la seguridad de la compañía. La amplia naturaleza de estas posibles amenazas hace necesario el contar con [[Información]] sobre las amenazas y las defensas disponibles que permiten ayudar a enfrentarse a los [[piratas informáticos]] de la Ingeniería social.Para proteger a su personal de los ataques de ingeniería social, tiene que conocer los tipos de ataque que puede sufrir, saber lo que quiere el [[Pirata]] informático y valorar lo que podría suponer la pérdida para su organización. Con estos [[datos]], puede hacer más estricta su directiva de seguridad para que incluya defensas contra la ingeniería social.
  
== ¿Cómo proteger la información confidencial de las amenazas de la Ingeniería social? ==
 
 
La Ingeniería social incluye principalmente amenazas no técnicas para la seguridad de la compañía. La amplia naturaleza de estas posibles amenazas hace necesario el contar con [[Información]] sobre las amenazas y las defensas disponibles que permiten ayudar a enfrentarse a los piratas informáticos de la Ingeniería social.
 
Para proteger a su personal de los ataques de ingeniería social, tiene que conocer los tipos de ataque que puede sufrir, saber lo que quiere el [[Pirata]] informático y valorar lo que podría suponer la pérdida para su organización. Con estos [[datos]], puede hacer más estricta su directiva de seguridad para que incluya defensas contra la ingeniería social.
 
 
Una vez comprendida una parte de la amplia gama de amenazas que existen, se necesitan tres pasos para diseñar un [[Sistema]] de defensa frente a las amenazas de la Ingeniería social hacia el personal de su compañía. Una defensa efectiva es contar con una función de planeamiento. Las defensas suelen ser reactivas: se detecta un ataque que tuvo éxito y se crea una barrera para garantizar que el problema no vuelva a producirse. Si bien este método demuestra cierto nivel de concienciación, la solución llega demasiado tarde si el problema es grave o costoso. Para adelantarse a esta situación, debe realizar los tres pasos siguientes:
 
Una vez comprendida una parte de la amplia gama de amenazas que existen, se necesitan tres pasos para diseñar un [[Sistema]] de defensa frente a las amenazas de la Ingeniería social hacia el personal de su compañía. Una defensa efectiva es contar con una función de planeamiento. Las defensas suelen ser reactivas: se detecta un ataque que tuvo éxito y se crea una barrera para garantizar que el problema no vuelva a producirse. Si bien este método demuestra cierto nivel de concienciación, la solución llega demasiado tarde si el problema es grave o costoso. Para adelantarse a esta situación, debe realizar los tres pasos siguientes:
 
+
=== Marco de administración de la seguridad ===
===Crear un marco de administración de la seguridad. ===
 
 
 
 
Un marco de [[Administración]] de la seguridad define una visión general de las posibles amenazas que suponen para su organización la Ingeniería social y asigna funciones con puestos responsables del desarrollo de directivas y procedimientos que mitiguen esas amenazas.  
 
Un marco de [[Administración]] de la seguridad define una visión general de las posibles amenazas que suponen para su organización la Ingeniería social y asigna funciones con puestos responsables del desarrollo de directivas y procedimientos que mitiguen esas amenazas.  
Este método no significa que tenga que contratar a personal cuyas únicas funciones sean asegurar la seguridad de los activos de la [[Empresa]]. Si bien este método puede ser una opción en grandes organizaciones, resulta poco viable o deseable tener asignadas esas funciones en las medianas empresas.
+
Este método no significa que tenga que contratar a personal cuyas únicas funciones sean asegurar la seguridad de los activos de la [[Empresa]].  
El comité de control de seguridad debe identificar en primer lugar las áreas que pueden suponen un riesgo para la compañía.
 
Este proceso debe incluir todos los vectores de ataque identificados y los elementos específicos de la compañía, como el uso de terminales públicas o procedimientos de [[Administración]] de la oficina.
 
  
===Realizar evaluaciones sobre la administración de riesgos. ===  
+
Si bien este método puede ser una opción en grandes organizaciones, resulta poco viable o deseable tener asignadas esas funciones en las medianas empresas.El comité de control de seguridad debe identificar en primer lugar las áreas que pueden suponen un riesgo para la compañía.Este proceso debe incluir todos los vectores de ataque identificados y los elementos específicos de la compañía, como el uso de terminales públicas o procedimientos de [[Administración]] de la oficina.
 +
=== Evaluaciones sobre la administración de riesgos ===  
 +
Cualquier tipo de seguridad exige que se evalúe el nivel de riesgo que supone un ataque para la compañía. Si bien la [[Evaluación del riesgo]] debe ser concienzuda, no tiene que tardarse mucho tiempo en realizarse. Según el trabajo realizado para identificar los elementos principales de un marco de [[Administración]] de la seguridad por parte del comité de control de seguridad, podrá establecer categorías y prioridades en los riesgos.
  
Cualquier tipo de seguridad exige que se evalúe el nivel de riesgo que supone un ataque para la compañía. Si bien la [[Evaluación del riesgo]] debe ser concienzuda, no tiene que tardarse mucho tiempo en realizarse. Según el trabajo realizado para identificar los elementos principales de un marco de [[Administración]] de la seguridad por parte del comité de control de seguridad, podrá establecer categorías y prioridades en los riesgos. <br>
 
Entre las categorías de riesgo se incluyen: <br>
 
• [[Información]] confidencial<br>
 
• Credibilidad comercial<br>
 
• Disponibilidad comercial<br>
 
• Recursos<br>
 
• [[Dinero]]<br>
 
 
Se deben establecer prioridades mediante la identificación del riesgo y el cálculo del costo que implica su mitigación; si mitigar un riesgo es más caro que el propio riesgo, puede que dicho costo no sea justificable. La fase de [[Evaluación del riesgo]] puede resultar muy útil en el desarrollo final de la directiva de seguridad.
 
Se deben establecer prioridades mediante la identificación del riesgo y el cálculo del costo que implica su mitigación; si mitigar un riesgo es más caro que el propio riesgo, puede que dicho costo no sea justificable. La fase de [[Evaluación del riesgo]] puede resultar muy útil en el desarrollo final de la directiva de seguridad.
Por ejemplo, el comité de control de seguridad puede resaltar al personal de recepción el peligro para la seguridad que suponen los visitantes. En el caso de una compañía que no espera más de 20 visitantes a la hora, no hay necesidad de tener que pensar en algo más sofisticado que un(a) recepcionista, un [[Libro]] de firmas y algunos pases de visitantes numerados.
+
===Directiva de seguridad ===
Sin embargo, en el caso de una compañía que espera 150 visitas a la hora, puede que sea necesario más personal de recepción o terminales de registro de autoservicio. Si bien la compañía más pequeña no podría justificar los costos de estos terminales, la compañía grande no podría justificar el costo de la pérdida de [[Actividad]] debido a largas esperas.
 
Por otro lado, una compañía que nunca tenga visitas ni personal contratista puede considerar que existe un riesgo mínimo de dejar documentos en una ubicación central mientras esperan a ser recogidos. Sin embargo, una compañía que tenga un gran número de personas que no sean empleados puede considerar que tiene que salvar el riesgo comercial que presentaría que hubiera [[Información]] confidencial en una [[Impresora]] mediante la instalación de dispositivos de impresión locales en cada puesto de trabajo. La compañía puede obviar este riesgo mediante la estipulación de que un miembro del personal acompañe a un visitante durante su visita. Esta solución es mucho menos cara, excepto, posiblemente en términos de tiempo del personal.
 
 
 
===Implementar defensas de Ingeniería social en su directiva de seguridad. ===
 
 
 
 
Se debe crear un conjunto escrito de directivas y procedimientos que estipulen la forma en que su personal debe enfrentarse a las situaciones que puedan suponer ataques de Ingeniería social. En este paso se asume que existe una directiva de seguridad, aparte de la amenaza que supone la Ingeniería social. Si actualmente no se dispone de una directiva de seguridad, se tendrá que crear una. Los elementos que identifique la [[Evaluación del riesgo]] de Ingeniería social serán un comienzo, pero se debe tener en cuenta otras posibles amenazas.
 
Se debe crear un conjunto escrito de directivas y procedimientos que estipulen la forma en que su personal debe enfrentarse a las situaciones que puedan suponer ataques de Ingeniería social. En este paso se asume que existe una directiva de seguridad, aparte de la amenaza que supone la Ingeniería social. Si actualmente no se dispone de una directiva de seguridad, se tendrá que crear una. Los elementos que identifique la [[Evaluación del riesgo]] de Ingeniería social serán un comienzo, pero se debe tener en cuenta otras posibles amenazas.
 +
== Enlaces relacionados ==
 +
* [http://www.ecured.cu/index.php/Ingenier%C3%ADa  Ingeniería]
  
==Conclusión==
+
* [http://www.ecured.cu/index.php/Ingenier%C3%ADa_de_software  Ingeniería de Software]
 
 
Después de escribir y acordar la directiva de seguridad, se debe dar a conocer al personal y hacer que la cumpla. Si bien se puede implementar controles técnicos sin que lo sepan los empleados, se debe conseguir su apoyo si se desea implementar con éxito defensas frente a la ingeniería social.
 
 
 
No hay ningún sustituto a una buena campaña de concienciación cuando se implementan los elementos de ingeniería social de la directiva de seguridad. Claro está, la implementación es una forma de ingeniería social y debe conseguir que su personal conozca la directiva, aprenda por qué existe y sepa cómo debe reaccionar ante un posible ataque. El elemento clave de un ataque de ingeniería social es la confianza; la persona objeto del ataque confía en el [[Pirata]] informático. Para enfrentarse a este tipo de ataque, debe estimular a que haya un saludable [[Escepticismo]] entre su personal sobre cualquier cosa que se salga de lo normal y conseguir que éstos confíen en la infraestructura de soporte de la compañía.
 
Los elementos de una campaña de concienciación dependen de cómo se transmite la [[Información]] al personal de la compañía.
 
Puede optar por un [[Aprendizaje]] estructurado, reuniones menos formales, campañas con pósteres u otros eventos para anunciar las directivas de seguridad. Cuanto más refuerce el [[Mensaje]] de sus directivas, más exitosa será su implementación. Si bien puede iniciar la concienciación sobre seguridad con un gran evento, es igualmente importante que la seguridad siga siendo un asunto importante de la agenda de la directiva y el personal. La [[Seguridad Informática]] es un modo de pensar de la compañía, por lo que debe asegurarse de que las sugerencias sobre seguridad acerca del mantenimiento de la concienciación sobre este tema vengan de todas las personas de la compañía. Consiga opiniones de todos los departamentos y distinto tipo de [[Usuario]], especialmente, de los que trabajan fuera del entorno de la oficina.
 
  
 
==Fuentes==
 
==Fuentes==
 +
* [http://hackstory.net/index.php/Ingenier%C3%ADa_social_es  Ingeniería Social]
 +
* [http://www.iworld.com.mx/iw_Opinions_read.asp?IWID=64    Opiniones]
 +
* [http://technet.microsoft.com/es-es/library/cc875841.aspx    Librería]
  
* http://www.iworld.com.mx/iw_Opinions_read.asp?IWID=64
 
* http://technet.microsoft.com/es-es/library/cc875841.aspx
 
* Littlejohnnder, Debra. Prevención y detección de delitos informáticos. 2003. ISB:            84-415-1545-X.
 
* MARGERIT- versión 2: Metodología de Análisis y Gestión de Riesgos de los Sistemas de        Información.
 
  
[[Category:Ciencias_informáticas_y_Telecomunicaciones]]
+
[[Category:Ciencias_informáticas_y_Telecomunicaciones]][[Category:Seguridad_informática]][[Category:Informática]]
[[Category:Seguridad_informática]]
 
[[Category:Informática]]
 

Revisión del 11:38 18 mar 2012

Ingeniería Social
Información sobre la plantilla
Seguridad-informatica-1.jpg

Ingeniería social.Es el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.

Ingeniería social y seguridad informática

  • La seguridad informática tiene por objetivo el asegurar que los datos que almacenan los ordenadores se mantengan libres de cualquier problema, y que el servicio que los sistemas presten se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares como:

Aparatos de aire acondicionado

  • Mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.

Calificación del equipo de administradores

  • Se deberá conocer el sistema lo suficiente como para mantenerlo funcionando correctamente.

Definición de entornos

  • Las copias de seguridad han de guardarse para ser seguros.

Como hacer las copias

  • El control del acceso físico a los sistemas.
  • La elección de un hardware y de un software que no de problemas.
  • La correcta formación de los usuarios del sistema.
  • El desarrollo de planes de contingencia.
  • Se debe tener en cuenta que una gran parte de las instrucciones en sistemas se realizan utilizando datos que se obtienen de los usuarios mediante diferentes métodos y con la intervención de personas especialmente entrenadas, los ingenieros sociales.

Técnicas de ingeniería social

  • Existen tres tipos de técnicas según el nivel de interacción del ingeniero socialTres tipos,

Técnicas pasivas

  • Observación

Técnicas no presenciales

  • Recuperar la contraseña
  • IRC u otros chats
  • Teléfonos
  • Carta y fax

Técnicas presenciales no agresivas

  • Buscando en la basura.
  • Mirando por encima del hombro.
  • Seguimiento de personas y vehículos.
  • Vigilancia de Edificios.
  • Inducción.
  • Entrada en Hospitales.
  • Acreditaciones.
  • Agendas y teléfonos móviles.
  • Desinformación.

Métodos utilizados por los atacantes

Son varios los métodos que un atacante puede utilizar para conseguir que se le brinde Información o se le facilite un acceso a un Sistema restringido, aunque lo más normal es que el atacante utilice una mezcla de todos los métodos existentes.

Métodos agresivos

  • Suplantación de personalidad.
  • Chantaje o extorsión.
  • Despersonalización.
  • Presión psicológica.

Autoridad falsa

Esta técnica es usada muy a menudo y se basa en intentar convencer a la victima de que el atacante está en una posición en la que esa Información le es necesaria haciéndose pasar por un superior. Esta técnica puede ser usada en empresas muy grandes, donde lo más normal es que un empleado no conozca a todos sus superiores, con lo que un atacante puede hacerse pasar por un superior y solicitar la Información que necesite. Con lo que muchas veces no es necesario hacer muchos esfuerzos para conseguir la Información.

Ejemplo

Un atacante entra a una compañía de software y se hace pasar por un empleado del departamento de seguridad, y explica a los jefes que tiene que instalar un nuevo fichero para evitar que los ordenadores de todos los empleados se infecten con un Virus que acaba de salir y que para hacer eso es necesario que los empleados le faciliten su Contraseña de acceso a los ordenadores, con lo que el atacante ya podría hacer lo que quisiera con los ordenadores de los empleados.(Es muy utilizada en corporaciones de mas de 50 empleados). Aunque es un ejemplo muy simple, se puede ver que el atacante, haciéndose pasar por otra persona ha conseguido con relativa facilidad las contraseñas de todos los empleados de la Empresa.

Recomendaciones

Es muy importante capacitar al Usuario (empleado y superiores) en reconocer a este tipo de personas, siempre se le debe solicitar la identificación, y preferentemente tener un protocolo de trabajo (por ejemplo si se realizara una actualización de software, enviar 24 horas antes un correo electrónico a todos los empleados avisando que pasará el técnico a realizar el trabajo).

Suplantación

Aunque se parece mucho a la autoridad falsa, no es lo mismo, es decir, la suplantación se parece a la autoridad falsa en el hecho de que se intenta engañar a una persona haciéndose pasar por alguien que tiene más derechos en el Sistema. La diferencia radica que la suplantación se basa en hacerse pasar por una persona que realmente existe. En esta técnica el atacante se hace pasar por otra persona de distintos modos, por ejemplo podría imitar la Voz de la persona a suplantar, usar la mensajería instantánea o incluso imitar su estilo de Escritura leyendo sus correos, es decir, que un atacante podría recabar Información sobre una persona y hacerse pasar por ella. Una vez que el atacante ha conseguido convencernos que es quien dice ser sólo le quedará pedirnos la Información que desea obtener para acceder a nuestros sistemas.

Ejemplo

Si se debe entregar Información confidencial: debe ser personalmente, si debe ser enviada por correo electrónico: encriptada, y si es un archivo por mensajería instantánea: comprimido y encriptado con claves de acceso que las 2 personas conoscan o compartan.

Recomendaciones

Es muy importante capacitar al Usuario (empleado y superiores) en reconocer a este tipo de personas, nunca se debe dar Información confidencial por mensajería instantánea ni por Teléfono, se debe seguir un protocolo de trabajo. El peor error de las empresas es confiar en que nunca sucederá en su Empresa.

Protección de información confidencial

La Ingeniería social incluye principalmente amenazas no técnicas para la seguridad de la compañía. La amplia naturaleza de estas posibles amenazas hace necesario el contar con Información sobre las amenazas y las defensas disponibles que permiten ayudar a enfrentarse a los piratas informáticos de la Ingeniería social.Para proteger a su personal de los ataques de ingeniería social, tiene que conocer los tipos de ataque que puede sufrir, saber lo que quiere el Pirata informático y valorar lo que podría suponer la pérdida para su organización. Con estos datos, puede hacer más estricta su directiva de seguridad para que incluya defensas contra la ingeniería social.

Una vez comprendida una parte de la amplia gama de amenazas que existen, se necesitan tres pasos para diseñar un Sistema de defensa frente a las amenazas de la Ingeniería social hacia el personal de su compañía. Una defensa efectiva es contar con una función de planeamiento. Las defensas suelen ser reactivas: se detecta un ataque que tuvo éxito y se crea una barrera para garantizar que el problema no vuelva a producirse. Si bien este método demuestra cierto nivel de concienciación, la solución llega demasiado tarde si el problema es grave o costoso. Para adelantarse a esta situación, debe realizar los tres pasos siguientes:

Marco de administración de la seguridad

Un marco de Administración de la seguridad define una visión general de las posibles amenazas que suponen para su organización la Ingeniería social y asigna funciones con puestos responsables del desarrollo de directivas y procedimientos que mitiguen esas amenazas. Este método no significa que tenga que contratar a personal cuyas únicas funciones sean asegurar la seguridad de los activos de la Empresa.

Si bien este método puede ser una opción en grandes organizaciones, resulta poco viable o deseable tener asignadas esas funciones en las medianas empresas.El comité de control de seguridad debe identificar en primer lugar las áreas que pueden suponen un riesgo para la compañía.Este proceso debe incluir todos los vectores de ataque identificados y los elementos específicos de la compañía, como el uso de terminales públicas o procedimientos de Administración de la oficina.

Evaluaciones sobre la administración de riesgos

Cualquier tipo de seguridad exige que se evalúe el nivel de riesgo que supone un ataque para la compañía. Si bien la Evaluación del riesgo debe ser concienzuda, no tiene que tardarse mucho tiempo en realizarse. Según el trabajo realizado para identificar los elementos principales de un marco de Administración de la seguridad por parte del comité de control de seguridad, podrá establecer categorías y prioridades en los riesgos.

Se deben establecer prioridades mediante la identificación del riesgo y el cálculo del costo que implica su mitigación; si mitigar un riesgo es más caro que el propio riesgo, puede que dicho costo no sea justificable. La fase de Evaluación del riesgo puede resultar muy útil en el desarrollo final de la directiva de seguridad.

Directiva de seguridad

Se debe crear un conjunto escrito de directivas y procedimientos que estipulen la forma en que su personal debe enfrentarse a las situaciones que puedan suponer ataques de Ingeniería social. En este paso se asume que existe una directiva de seguridad, aparte de la amenaza que supone la Ingeniería social. Si actualmente no se dispone de una directiva de seguridad, se tendrá que crear una. Los elementos que identifique la Evaluación del riesgo de Ingeniería social serán un comienzo, pero se debe tener en cuenta otras posibles amenazas.

Enlaces relacionados

Fuentes

Obtenido de «https://www.ecured.cu/index.php?title=Ingeniería_social&oldid=1433710»