Ensayo Carlos Guerrero-ingeniería Social.docx

Ingeniería Social Ensayo Diplomado de Seguridad

ING. JOSE CARMONA Msc(C) Gerencia de TI Carlos Guerrero Solano

Diplomado de Seguridad Informática Corporación Universitaria Americana Barranquilla – Colombia 2016

Ingeniería Social

Introducción

En estos últimos años, la sociedad de hoy en día ha sufrido grandes cambios tecnológicos (Redes Sociales, Blogs, Foros Webs)que a la hora de pensar, comunicar, obtener, analizar y brindar información a las personas posteriormente podrían ser utilizados para otros fines. Pero al mismo tiempo, trajo una serie de riesgos y una nueva amenaza en representación de uno de los mayores problemas, la ingeniería social es utilizada entre los piratas informáticos los cuales utilizan técnicas que dependen más de las debilidades humanas, en lugar de la tecnología. El famoso consultor de seguridad y ex-hacker Kevin Mitnick define la ingeniería social como: “…una forma de hackeo que se basa en influenciar, engañar y manipular psicológicamente a la gente para que inconscientemente cumpla una solicitud (Kevin Mitnick, The Art of Intrusion, 2005)”. Pero todos se preguntaran para que es importante protegerse de la ingeniería social? Conociendo la importancia de la seguridad de la información y que existe gente preparada para intentar manipular y conseguir acceso a los sistemas sería un buen primer paso. Simplemente, previniendo posibles ataques futuros en contra de nuestros propios intereses, no divulgando información privada más de la cuenta, realizar campañas de concientización de tal amenaza y siempre utilizar el sentido común de las relaciones con personas que de forma licita le soliciten la información. Debido a este flagelo, muchas de las grandes empresas como Microsoft expresan su punto de vista frente a esto“… El objetivo de un hacker que emplea ingeniería social, alguien que trata de Ensayo Diplomado de Seguridad

2

obtener acceso no autorizado a sistemas de cómputo, es similar al de cualquier otro tipo de hacker: quiere el dinero, la información o los recursos de TI de una organización”(Foro sobre Seguridad Informática y Seguridad de la Información, Microsoft, Bogotá - Colombia, 2006). En pocas palabras, se podría definir como la práctica de conseguir información confidencial a través de la manipulación de las personas, donde los atacantes por medio del engaño intentan obtener información privada o privilegios en algún sistema.

Ingeniería Social agujero de seguridad

La Ingeniería Social puede utilizarse en muchas facetas de la vida, pero no todos estos usos son maliciosos o negativos. Muchas veces la Ingeniería Social puede utilizarse para motivar a una persona para realizar una acción que es buena para ella, pero son más los casos en que la utilizan para fines negativos. Algunos de los ataques de ingeniería social más comunes son impulsados por necesidades financieras donde los hackers intentan obtener información confidencial acerca de los usuarios para acceder a sus cuentas, estos expertos ganan confianza de las personas que son descuidadas o confían ciegamente en los demás ayudándoles a tomar una gran ventaja. Las personas que hacen uso de la ingeniería social saben el punto débil que puede ser utilizado, nada menos que el propio elemento humano, ya que proporciona el acceso a todos los agujeros de seguridad para que los ataques sean más fáciles de realizar. Para hacerla más evidente, un estudio de caso fue distribuido en la red, donde una cooperativa de ahorro y crédito contrató una empresa de hacking ético para probar las prácticas de seguridad de la empresa. Los consultores de seguridad dejaron caer intencionadamente algunas memorias

Ensayo Diplomado de Seguridad

3

USB, varios empleados fueron atrapados en flagrancia revisando el contenido de las memorias, las cuales estaban infectadas con un virus troyano que afecta a toda la red del sistema. “Una compañía puede gastar cientos de miles de dólares en firewalls, sistemas de encriptación y demás tecnologías de seguridad, pero si un atacante engaña a un empleado, todo ese dinero no habrá servido para nada” (Kevin Mitnick, FBI)¹.

Seguridad social defensa contra el ataque hacia los usuarios

La ingeniería social es el lado humano de una falla en una red corporativa. Para iniciar un ataque, la interacción humana se prefiere porque son blancos fáciles, la cual sirve para obtener información sobre nombres de usuario, contraseñas, códigos de identificación personales (PINS), números de tarjetas de crédito y las fechas de caducidad etc... Es un ataque contra las personas como los hackers están más inclinados hacia la extracción de información para tomar ventaja del personal en lugar de las fallas en el sistema. Web Spoofing es un problema eminente que implican fraudes de correo electrónico y sitios web que tienen la información privada de los usuarios. Para salvaguardar las personas, se podían introducir tácticas de ingeniería social para aumentar el conocimiento interno y reducir las amenazas futuras. Educación y supervisión son los medios para mitigar los riesgos de seguridad interna. La mejor protección contra el ataque de ingeniería social es crear conciencia para los usuarios a través de la educación, las personas revelan información a ingenieros sociales a causa de la confianza; fe y las relaciones sociales irreales son el hecho por el cual han sido víctimas.

Ensayo Diplomado de Seguridad

4

Procedimiento de evaluación interna

Un pequeño estudio de caso reflejaría la importancia de la incorporación de un procedimiento de evaluación interna para salvaguardarse uno mismo de los ataques de ingeniería social. Una mujer llama a mesa de ayuda de una empresa para obtener su contraseña, ya que ella la ha olvidado y la necesita con urgencia para arreglar sus plazos en un proyecto de publicidad. El trabajador de mesa de ayuda siente lástima por ella y rápidamente se restablece la contraseña sin querer da una clara entrada de hackers en la red corporativa. Mientras tanto, un hombre está en la parte trasera del edificio de carga de contenedores con el papel de reciclaje de la empresa en la parte trasera de un camión. Dentro de los contenedores se encuentran listas de títulos de empleados y números de teléfono, planes de marketing y las últimas finanzas de la empresa. Estos ejemplos ponen de manifiesto el hecho de la debilidad humana los vacíos tecnológicos que predominan. Para superar estos problemas, todas las empresas tienen que establecer un procedimiento de evaluación interna, con la cual los usuarios podrían ser dirigidos adecuadamente, entrenados y educados para manejar los problemas de seguridad y de información. Para llevar a cabo la tarea de un procedimiento de evaluación interna completa esta podría llevarse a cabo mediante la identificación de futuros proyectos y que un ingeniero social sea designado para la supervisión general del proyecto y el manejo de todos los asuntos de seguridad y los aspectos relacionados con el proyecto, incluyendo el empleado y los sistemas. El ingeniero del proyecto debe ser representado como un recurso importante dentro del proyecto, el cual pueda realizar todas las tácticas de ingeniería social para salvaguardar la información y la provisión de soluciones para remediar los problemas.

Ensayo Diplomado de Seguridad

5

La integración de la ingeniería social y los sistemas de información

Seguridad de la información es mucho más que parchear los ordenadores, se trata de una combinación y un esfuerzo unánime de todos los aspectos tales como la seguridad física, formación de usuarios y las políticas de red.” La capacitación en la seguridad de la información es una tarea primordial para cualquier organización para impartir a sus empleados unos mejores planes de seguridad y la incorporación de un mayor número de capas de seguridad desde los niveles más altos a niveles inferiores de las operaciones del sistema (Meyer Eric, The air gap: SCADA's enduring security myth, 2005)”. Por lo tanto, la ingeniería social debe integrarse como uno de los procedimientos de evaluación de la información de la empresa. Una planificación meticulosa, junto con objetivos cuidadosamente redactados, es una herramienta fundamental en la definición de un plan de seguridad dentro de las organizaciones. Dar a conocer la palabra de precaución y la realización de pruebas frecuentes para la detección de amenazas y un análisis significativo y oportuno, puede medir la eficacia del control de los usuarios que hacen parte en lugar de la aplicación de las medidas convencionales y anticuadas de seguridad.

Ensayo Diplomado de Seguridad

6

Conclusión

“El elemento humano ha demostrado ser el eslabón más débil de la seguridad de la información durante mucho tiempo. La pregunta del millón es: ¿vas a ser el eslabón más débil en tu empresa a quien un ingeniero social es capaz de explotar? (Kevin Mitnick, The Art of Intrusion, 2005)”. Ingeniería Social es sólo un método para explotar la actitud casual e inadecuada de las personas que sólo podría agravar los problemas de seguridad. La actualización de las políticas de seguridad e impartir formación a las personas sin duda son un gran paso para llegar a minimizar el impacto de los ataques de ingeniería social. El personal debe comprender la magnitud de los riesgos y la información en juego. Es importante hacer énfasis a todos los usuarios de la importancia de mantener secreta la información confidencial de nuestras organizaciones, reconociendo que la capacidad de los seres humanos para ser engañado fácilmente, este tipo de ataques son difíciles de ser erradicado o eliminado completamente, pero al crear una conciencia a todos los usuarios, estos puede ayudar en la restricción de la propagación de la epidemia en nuestras compañías. Referencias

1. Kevin David Mitnick: es un hacker especializado en ingeniería social, consultor y autor especializado en seguridad informática. En 1999, se declaró culpable de 7 cargos de fraude con computadoras. Al momento de su arresto, era el hacker más buscado en la historia de EE.UU. y era un fugitivo federal. Actualmente, es el dueño de la firma de seguridad Mitnick Security Consulting.

Ensayo Diplomado de Seguridad

7