Ingeniería social
Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas,
tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información,
acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga
la persona u organismo comprometido a riesgo o abusos.
La
ingeniería social también se aplica al acto de manipulación cara a cara para
obtener acceso a los sistemas informáticos.
Ejemplo es el conocimiento sobre la víctima, a través de la introducción
de contraseñas habituales, lógicas típicas o conociendo su pasado y presente;
respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la
víctima?
La
principal defensa contra la ingeniería social es educar y entrenar a los
usuarios en el uso de políticas de seguridad y asegurarse de que estas sean
seguidas.
Los atacantes de la ingeniería social usan la fuerza persuasiva y se
aprovechan de la inocencia del usuario haciéndose pasar por un compañero de
trabajo, un técnico o un administrador, etc.
En general, los métodos de la ingeniería social están organizados de la
siguiente manera:
·
Una fase de acercamiento para ganarse la confianza del usuario, haciéndose
pasar por un integrante de la administración, de la compañía o del círculo o un
cliente, proveedor, etc.
·
Una fase de alerta, para desestabilizar al usuario y observar la velocidad
de su respuesta. Por ejemplo, éste podría ser un pretexto de seguridad o una
situación de emergencia;
·
Una distracción, es decir, una frase o una situación que tranquiliza al
usuario y evita que se concentre en el alerta. Ésta podría ser un
agradecimiento que indique que todo ha vuelto a la normalidad, una frase hecha
o, en caso de que sea mediante correo electrónico o de una página Web, la
redirección a la página Web de la compañía.
La ingeniería social puede llevarse a cabo a través de una serie de medios:
·
Por teléfono,
·
Por correo electrónico,
·
Por correo tradicional,
·
Por mensajería instantánea,
·
etc.
No existe una limitación en cuanto al
tipo de información y tampoco en la utilización posterior de la información
obtenida. Puede ser ingeniería social el obtener de un profesor las preguntas
de un examen o la clave de acceso de la caja fuerte del Banco de España. Sin
embargo, el origen del término tiene que ver con las actividades de obtención
de información de tipo técnico utilizadas por hackers.
Un hecho importante es que el acto de
ingeniería social acaba en el momento en que se ha conseguido la información
buscada. Las acciones que esa información pueda facilitar o favorecer no se
enmarcan bajo este término. En muchos casos los ingenieros sociales no tocan un
ordenador ni acceden a sistemas, pero sin su colaboración otros no tendrían la
posibilidad de hacerlo.
¿Cómo puede protegerse?
La mejor manera de protegerse contra las
técnicas de ingeniería social es utilizando el sentido común y no divulgando
información que podría poner en peligro la seguridad de la compañía. Sin
importar el tipo de información solicitada, se aconseja que:
·
averigüe la identidad de la otra persona al solicitar información precisa
(apellido, nombre, compañía, número telefónico);
·
si es posible, verifique la información proporcionada;
·
pregúntese qué importancia tiene la información requerida.
En este contexto, puede ser necesario capacitar a los usuarios para que
tomen conciencia acerca de los problemas de seguridad.
¿Qué tiene que ver la Ingeniería
Social con la seguridad informática?
La seguridad informática tiene por
objetivo el asegurar que los datos que almacenan nuestros ordenadores se
mantengan libres de cualquier problema, y que el servicio que nuestros sistemas
prestan se realice con la mayor efectividad y sin caídas.
En este sentido, la seguridad
informática abarca cosas tan dispares como:
Los aparatos de aire acondicionado que
mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
La calificación del equipo de
administradores que deberá conocer su sistema lo suficiente como para
mantenerlo funcionando correctamente.
La definición de entornos en los que
las copias de seguridad han de guardarse para ser seguros y como hacer esas
copias.
El control del acceso físico a los
sistemas.
La elección de un hardware y de un
software que no de problemas.
La correcta formación de los usuarios
del sistema.
El desarrollo de planes de
contingencia.
Debemos tener en cuenta que una gran
parte de las intrusiones en sistemas se realizan utilizando datos que se
obtienen de sus usuarios mediante diferentes métodos y con la intervención de
personas especialmente entrenadas, los ingenieros sociales.
Técnicas de Ingeniería Social
Tres tipos, según el nivel de
interacción del ingeniero social:
Técnicas Pasivas:
Observación
Técnicas no presenciales:
Recuperar la contraseña
Ingeniería Social y Mail
IRC u otros chats
Teléfono
Carta y fax
Técnicas presenciales no agresivas:
Buscando en La basura
Mirando por encima del hombro
Seguimiento de personas y vehículos
Vigilancia de Edificios
Inducción
Entrada en Hospitales
Acreditaciones
Ingeniería social en situaciones de
crisis
Ingeniería social en aviones y trenes
de alta velocidad
Agendas y teléfonos móviles
Desinformación
Métodos agresivos
Suplantación de personalidad
Chantaje o extorsión
Despersonalización
Presión psicológica
No hay comentarios:
Publicar un comentario