ACTUALIDAD
  Reportaje especial
  Tecnología
  Bebés
  Salud
  Mascotas
  Psicología
  Hogar
  Psicología sexual
 
  ENTRETENIMIENTO
  Discos
  Cine
  Farándula
  Libros
 
  EL IMPRESO
  Hoy por hoy
  Panorama
  Nacionales
  Opinión
  Perspectiva
  Deportes
  Mundo
  Economía y Negocios
  Vivir +
  Reseña
    Sociales
    Horóscopo
 
  SUPLEMENTOS
  Ellas Virtual
  Martes Financiero
  Aprendo Web
  Reseña Empresarial
    Pulso de la Nación
 
  TIEMPO LIBRE
  Turismo
  De interés
  Cine
  De noche
 
  SERVICIOS
  Contáctenos
  ¿Quiénes somos?
 
 
 
 
INGENIERÍA SOCIAL: EL ARTE DEL ENGAÑO
 
Miércoles | 10.08.2005
 
Por: Jaime Blanco
Especialista en seguridad e infraestructura de redes IP
 
Fotos KRT
No hay duda de que usted es usuario regular de computadoras como yo.

Entonces, usted y yo estamos cada día expuestos a amenazas crecientes a la seguridad de la información que administramos o manipulamos.

Sin embargo, como yo, seguramente usted también tendrá un antivirus instalado en su computador y además alguno que otro programa adicional de protección.

Y si para la organización donde labora el tema de seguridad es una prioridad, también es seguro que tenga instalado algunas medidas de protección, entre ellas el llamado firewall o supuesto dispositivo que sirve de barrera de protección contra ataques de hackers.

Pero, desafortunadamente, para las compañías las personas siguen siendo el eslabón más débil de la cadena de seguridad.

Es aquí donde entra en juego la llamada Ingeniería Social, que no es más que el uso de la influencia y persuasión para engañar a la gente con el propósito de obtener información o convencer a la víctima para que realice una determinada acción.

Esta es la forma de ataque de la cual es más difícil defenderse porque no se puede eliminar con hardware y software.

A través de Ingeniería Social un empleado inconscientemente podría dar información clave en un correo electrónico, respondiendo preguntas por teléfono a alguien que él o ella no conoce, o al hablar con compañeros sobre proyectos después de horas de oficina en un lugar público.

Existen dos tipos de Ingeniería Social, la primera basada en humanos y se refiere a la interacción de persona a persona para recuperar la información deseada.

La segunda es basada en computadoras e intenta obtener información a través de programas, principalmente de uso en internet.

La Ingeniería Social basada en humanos podría catalogarse en algunas técnicas: personificación o pretender ser otra persona.

Un ejemplo de esta técnica es cuando alguien llama a su oficina y le pregunta a una secretaria cuáles son los horarios del personal de Informática, y se hace pasar por un funcionario del condominio donde están ubicadas las oficinas de su empresa.

Pero la segunda técnica es más avanzada que la personificación: un pirata informático podría hacerse pasar por alguien importante.

Si una persona llama a su oficina y dice ser, por ejemplo, que es un funcionario de rango de un ministerio o de una embajada, existe una posibilidad de que al primer intento o después de varios, alguien en su compañía conteste con información “interesante” que podría servir para atacar posteriormente su red de computadoras.

Pero un intruso también podría usar la tercera categoría de Ingeniería Social y simular tener autorización de un tercero, y solicitar, por ejemplo, la marca de su sistema de protección de seguridad.

Pero tal vez la más común, y en la cual cae la mayoría de las víctimas, es cuando el que llama pretende ser personal de soporte técnico.

Podría entonces, “por razones de seguridad”, solicitarle que le diga su contraseña.

Por último, la Ingeniería Social basada en humanos también se vale de la presencia física.

Los individuos con intenciones malévolas podrían estar dentro de su empresa y revisar entre la basura o tratar de espiar por encima de su hombro.

La Ingeniería Social basada en computadoras es bastante conocida.

Puede ser que a usted le llegue un correo electrónico, un mensaje de chat o una dirección de sitio web. En cualquier caso, siempre se intenta persuadir o engañar a la víctima de tal forma que entregue información.

Por ejemplo, cuando usted recibe un correo de Paypal, el conocido sistema de pagos y cobros usado en el sitio de web de subastas Ebay.

El correo le indicará que alguien intentó entrar a su cuenta y que “por razones de seguridad” usted debe introducir su nombre de usuario y contraseña actual y cambiar su contraseña.

Usted podría creer e introducir su contraseña. Entonces posteriormente notará que su cuenta de Paypal, que está asociada a su tarjeta de crédito, fue usada para hacer compras que usted desconoce.


Recomendaciones

Para poder limitar la exposición de su organización a este tipo de ataques, diseñe y adopte una política de seguridad que incluya los siguientes aspectos:

•Proceso de inducción de nuevos empleados sobre los aspectos de responsabilidad y uso de la infraestructura de información.
• Política de cambio de contraseñas.
• Procedimiento de “suministro” de contraseñas a personal de soporte técnico.
• Política de cómo reportar violaciones a la seguridad.
• Acuerdo de confidencialidad.
• Proceso de desecho de documentación importante.
• Restricciones de acceso físico.
• Control de virus.
• Sistema de privilegios de acceso a la información
 
 
¡ESCRÍBENOS TUS COMENTARIOS AQUÍ!
   
     
 
 
Publicidad
 
© Corporación La Prensa. Derechos reservados.
Advertencia: Todo el contenido de www.prensa.com pertenece a Corporación La Prensa S.A. Razón por la cual, el material publicado no se puede reproducir, copiar o transmitir sin previa autorización por escrito de Corporación La Prensa S.A.
Le agradecemos su cooperación y sugerencias a internet@prensa.com y Servicio al cliente.
En caso de necesitar mayor información accese a nuestra biblioteca digital o llámenos al 222-1222.
Apartado 6-4586 El Dorado Ave. 12 de octubre, Hato Pintado Panamá, República de Panamá