Comprender la ingeniería social: protección contra la piratería humana

Una noticia reciente me hizo darme cuenta de cómo las emociones y los pensamientos humanos pueden ser (o son) utilizados en beneficio de los demás. Casi todos ustedes conocen a Edward Snowden , el denunciante de la NSA que husmea en todo el mundo. Reuters informó que consiguió que entre 20 y 25 personas de la NSA le entregaran sus contraseñas para recuperar algunos datos que filtró más tarde [1]. ¡ Imagínese(Imagine) cuán frágil puede ser su red corporativa, incluso con el mejor y más sólido software de seguridad!

Ingeniería social

¿Qué es la ingeniería social?

La debilidad humana(Human) , la curiosidad, las emociones y otras características a menudo se han utilizado para extraer datos ilegalmente, ya sea en cualquier industria. Sin embargo, la industria de TI le ha dado el nombre de ingeniería social. (IT Industry)Defino ingeniería social como:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Aquí hay otra línea de la misma noticia [1] que quiero citar: " Las agencias de seguridad están teniendo dificultades con la idea de que el tipo en el cubículo de al lado puede no ser confiable(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ". Modifiqué un poco la declaración para que encaje en el contexto aquí. Puede leer la noticia completa usando el enlace en la sección de Referencias(References) .

En otras palabras, no tiene un control completo sobre la seguridad de sus organizaciones, ya que la ingeniería social evoluciona mucho más rápido que las técnicas para hacerle frente. La ingeniería social(Social) puede ser algo así como llamar a alguien diciendo que usted es soporte técnico y pedirle sus credenciales de inicio de sesión. Debe haber estado recibiendo correos electrónicos de phishing sobre loterías, personas ricas en Medio Oriente(Mid East) y África(Africa) que buscan socios comerciales y ofertas de trabajo para pedirle sus detalles.

A diferencia de los ataques de phishing, la ingeniería social es una gran interacción directa de persona a persona. El primero (phishing) emplea un cebo, es decir, la gente que "pesca" le ofrece algo con la esperanza de que caiga en la trampa. La ingeniería social(Social) se trata más de ganarse la confianza de los empleados internos para que divulguen los detalles de la empresa que necesita.

Leer: (Read:) Métodos populares de Ingeniería Social .

Técnicas conocidas de ingeniería social

Hay muchos, y todos utilizan tendencias humanas básicas para ingresar a la base de datos de cualquier organización. La técnica de ingeniería social más utilizada (probablemente obsoleta) es llamar y conocer gente y hacerles creer que son del soporte técnico que necesitan revisar su computadora. También pueden crear tarjetas de identificación falsas para establecer confianza. En algunos casos, los culpables se hacen pasar por funcionarios estatales.

Otra técnica famosa es emplear a su persona como empleado en la organización objetivo. Ahora, dado que este estafador es su colega, puede confiarle los detalles de la empresa. Puede que el empleado externo te ayude en algo, entonces te sientes obligado, y es entonces cuando pueden sacar el máximo provecho.

También leí algunos informes sobre personas que usan regalos electrónicos. Una elegante memoria USB(USB) entregada en la dirección de su empresa o un pen drive en su automóvil pueden resultar un desastre. En un caso, alguien dejó algunas unidades USB deliberadamente en el estacionamiento como cebo [2].

Si la red de su empresa tiene buenas medidas de seguridad en cada nodo, está bendecido. De lo contrario, estos nodos proporcionan un paso fácil para el malware, en esos pendrives de regalo u “olvidados”, a los sistemas centrales.

Como tal, no podemos proporcionar una lista completa de métodos de ingeniería social. Es una ciencia en el centro, combinada con arte en la parte superior. Y sabes que ninguno de los dos tiene límites. Los ingenieros sociales(Social) siguen siendo creativos mientras desarrollan software que también puede hacer un mal uso de los dispositivos inalámbricos para obtener acceso al Wi-Fi de la empresa .

Lea: (Read:) ¿Qué es el malware de ingeniería social ?

Prevenir la ingeniería social

Personalmente, no creo que haya ningún teorema que los administradores puedan usar para evitar ataques de ingeniería social. Las técnicas de ingeniería social siguen cambiando y, por lo tanto, se vuelve difícil para los administradores de TI realizar un seguimiento de lo que sucede.

Por supuesto, es necesario estar al tanto de las noticias de ingeniería social para estar lo suficientemente informado como para tomar las medidas de seguridad adecuadas. Por ejemplo, en el caso de los dispositivos USB , los administradores pueden bloquear las unidades USB en nodos individuales permitiéndoles solo en el servidor que tiene un mejor sistema de seguridad. Del mismo modo(Likewise) , Wi-Fi necesitaría un mejor cifrado que el que proporcionan la mayoría de los ISP(ISPs) locales .

Capacitar a los empleados y realizar pruebas aleatorias en diferentes grupos de empleados puede ayudar a identificar los puntos débiles de la organización. Sería fácil entrenar y advertir a los individuos más débiles. El estado de alerta(Alertness) es la mejor defensa. El énfasis debe ser que la información de inicio de sesión no debe compartirse ni siquiera con los líderes del equipo, independientemente de la presión. Si un líder de equipo necesita acceder al inicio de sesión de un miembro, puede usar una contraseña maestra. Esa es solo una sugerencia para mantenerse seguro y evitar los ataques de ingeniería social.

La conclusión es que, además del malware y los piratas informáticos en línea, la gente de TI también debe ocuparse de la ingeniería social. Mientras identifican los métodos de una violación de datos (como escribir contraseñas, etc.), los administradores también deben asegurarse de que su personal sea lo suficientemente inteligente como para identificar una técnica de ingeniería social para evitarlo por completo. ¿Cuáles crees que son los mejores métodos para prevenir la ingeniería social? Si te has encontrado con algún caso interesante, por favor compártelo con nosotros.

Descargue este libro electrónico sobre ataques de ingeniería social publicado por Microsoft y aprenda cómo puede detectar y prevenir tales ataques en su organización.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

Referencias(References)

[1] Reuters , Snowden convenció a los empleados de la NSA para que obtuvieran su (NSA Employees Into)información(Info) de inicio de sesión

[2] Boing Net , Pen Drives utilizados para propagar malware(Spread Malware) .



Juan jose Morales

About the author

Soy técnico informático profesional y tengo más de 10 años de experiencia en el campo. Me especializo en el desarrollo de Windows 7 y Windows Apps, así como en el diseño de Cool Websites. Tengo un gran conocimiento y experiencia en el campo, y sería un activo valioso para cualquier organización que busque hacer crecer su negocio.


Related posts