Ingeniería social: la amenaza oculta es la más peligrosa


Jun 23, 2010, 06:23 PM | En los últimos tres años el grueso de las empresas ha invertido en la seguridad de su información Ahora, ni siquiera es necesario ingresar a la organización para acceder a sus datos. Para las organizaciones, las recomendaciones generales son:

* Concientizar permanentemente a los empleados, clientes y proveedores acerca de los riesgos inherentes a las distintas actividades.

* Implementar, controlar y mejorar políticas y procedimientos específicos para la seguridad de la información en todas las áreas de la empresa.

* Utilizar la información de los elementos de control tecnológico para medir posibles brechas de seguridad asociadas a la ingeniería social.

* Contar con apoyo externo especializado para realizar auditorías y análisis de riesgo periódicos que incluyan tanto a la infraestructura tecnológica como los procesos y procedimientos. Para los usuarios individuales, podemos recomendar: w Ser extremadamente cuidadoso con la información pública que se almacena en redes sociales.

* No llevar información confidencial fuera de la empresa (siempre debería ser posible acceder en forma remota).

* Habilitar las conexiones Wi-Fi en las PDA y notebooks solamente cuando estos dispositivos se están utilizando.

* Participar de todas las actividades de concientización que se ofrecen tanto en la propia organización como a través de medios especializados en seguridad de la información.

Después de revisar las técnicas de ingeniería social que se utilizan actualmente, alguien podría pensar que si este tipo de ataque no está tan difundido es porque no representa tanto peligro. Y allí puede aparecer la pregunta: ¿por qué comenzar a hablar ahora de ingeniera social?

Estamos en una época en la cual la ingeniera social está viviendo un verdadero auge, alentada por algunos factores, entre los que destacan: crecimiento tecnológico sin procesos, movilidad y conectividad y redes sociales.

Cuando hablamos de “crecimiento tecnológico sin procesos”, nos referimos a un doble efecto que podemos encontrar en las organizaciones. En primer lugar, durante los últimos tres años la mayoría de las empresas ha realizado -en mayor o menor medida- inversiones en tecnología relacionada a la seguridad, por lo cual existe una peligrosa sensación de seguridad, que sin duda deja lugar para el aprovechamiento de actividades maliciosas, simplemente porque la tecnología no alcanza por sí sola para ofrecer seguridad, y mucho menos ante escenarios de ataque de ingeniería social.

En segundo lugar, las implementaciones tecnológicas que se realizaron no fueron acompañadas por un esfuerzo similar en las áreas de procesos y procedimientos, que son justamente las principales armas frente a la ingeniería social (junto con la concientización). Es decir, que si sumamos una falsa sensación de seguridad junto con la falta de controles adecuados, encontramos un terreno propicio para el desarrollo de estas técnicas.

Es mucho más difícil implementar procesos que tecnología, y no porque las tecnologías sean sencillas ni mucho menos.

Tengamos en cuenta que si tomamos como referencia la principal norma internacional relacionada con la seguridad de la información, es decir, la ISO 27000, realizar una implementación de los lineamientos de la norma en una organización promedio toma entre dos y tres años, considerando que luego de la implementación y a través del sistema de mejora continua, se irán optimizando los controles y procesos hasta alcanzar la madurez en otros dos a tres años.

Adicionalmente, aplicar este tipo de normas requiere apoyo y participación de toda la organización, lo que ya de por sí representa un reto difícil de alcanzar.

Respecto a la conectividad y la movilidad, sin duda que muchas veces van a favor de las técnicas orientadas al engaño, ya que ahora ni siquiera es necesario ingresar a la empresa para acceder a la información, porque los usuarios la llevan consigo todo el tiempo.

Desde algo tan sencillo (comparado con vulnerar un sistema informático) como robar la PDA de un gerente para sustraer datos, hasta la instalación de accesos Wi-Fi falsos para obtener información de forma ilegal, existe una gran variedad de técnicas que combinan algún tipo de conocimiento técnico con otro tipo de tácticas.

Impacto de las redes

Más allá de la falta de concientización que se advierte en relación con las tecnologías móviles, gracias a lo cual es muy difícil encontrar que existan controles implementados para este tipo de tecnologías, las técnicas de ingeniería social pueden ser efectivas, incluso en contextos donde en el tema tecnológico solo se han tomado los recaudos mínimos.

Adicionalmente, el auge de las redes sociales sin duda está dando mucho impulso al surgimiento de nuevas formas de ataque, relacionadas con la ingeniería social.

Lo cierto es que existen técnicas, como el cross-side scripting, a través de las cuales es posible obtener datos privados de la persona sin siquiera necesitar su usuario y contraseña, a través de un engaño.

En general, los ataques realizados a las redes sociales se realizan sobre la base de que las aplicaciones no son vulnerables, y se trata de plantear un escenario de engaño que por sí solo no genera el ataque, sino que sirve de base para la realización de la intrusión propiamente dicha, o la obtención de información que permita luego ganar un acceso no autorizado.

La información en línea

Incluso, sin necesidad de violar una restricción de seguridad, las redes sociales son muchas veces fuente de información para producir luego otros ataques. Tengamos en cuenta que hay empresas que comenzaron a utilizar información disponible en Facebook o en Linkedin (por nombrar solamente algunas fuentes) para incorporarla a sus procesos de selección de personal. Y entonces ¿por qué no podría encontrar un hacker allí mismo información valiosa para sus propósitos?

Datos tales como cuándo una persona está de viaje y dónde, quiénes son sus conocidos, dónde se desempeñó laboralmente y con quiénes, a qué lugares suele concurrir, y quiénes son sus familiares, entre otros, son generalmente fáciles de conseguir a través de redes sociales. Sin duda, esto representa una gran tentación para quien se dedica a realizar ilícitos relacionados al fraude.

En definitiva, y si bien es cierto que no existe tal cosa como un grado de seguridad total o de riesgo cero, también frente a estos escenarios es posible tomar ciertos recaudos que eleven el nivel de protección de la información.

Vía El Mundo

Anuncios

Acerca de Luis Castellanos

Luego de unos años en Maracaibo, de regreso en Caracas. Docente Universitario y Bloguero. Orgulloso padre de dos hijos. luiscastellanos @ yahoo.com | @lrcastellanos

Publicado el 6 julio 2010 en Seguridad Informática, Seguridad Informática. Añade a favoritos el enlace permanente. 4 comentarios.

  1. Humberto Zambrano

    Para mí la clave primordial en el campo de la seguridad es no confiar en la entrada de datos de un usuario cualquiera, hasta de un amigo que por solo jugar una broma esta pude llegar a afectar nuestra información. Por otro lado, siempre ser precavido con la información que dejamos en redes sociales como facebook, twitter entre oros…….

  2. Me uno a las felicitaciones, la verdad que me parece que el contenido es bastante …. Es muy interesante tu blog.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: