SEGURIDAD EMPRESARIAL: El factor humano y la ingeniera social

El mundo de la seguridad de la informacin est integrado por 2

componentes: uno tcnico y otro humano.
El aspecto tcnico lo ven las empresas con la compra de nuevos firewalls,
antivirus, circuitos de cmaras, cajas fuertes, etc.; pero siempre existe un
elemento que aunque se gaste mucho dinero en capacitaciones y
seminarios, siempre ser un punto del cual los delincuentes informticos se
aprovecharan.cul es este factor? Kevin Mitnick, un hacker reconvertido
en consultor, nos lo dice con la siguiente frase: Cuando la gente es
ingenua, se vuelve el eslabn ms dbil de una compaa, porque la
empresa puede tener la mejor tecnologa, el mejor antivirus, encriptacin,
dispositivos de autenticacin, etc., pero cuando a alguien dentro de la
organizacin se le puede tender una trampa para que divulgue informacin
o haga una accin en la red en la que entregue informacin que no
debera, esos miles de dlares en tecnologa son intiles, se estn
desperdiciando. Los sistemas de seguridad deben pensar en la gente, los
procesos y la tecnologa, si alguno de estos eslabones es dbil, sern presa
fcil.

Para esto, los delincuentes o crackers usan una serie de tcnicas que son
conocidas como Ingeniera social, pero surge la duda en muchas personas
que no estn al tanto de seguridad informtica y es la primera vez que se
escucha Qu es la ingeniera social? En este artculo buscaremos aclarar
lo que es y la repercusin que tiene en la seguridad empresarial y de
nuestros datos.
Qu es la INGENIERIA SOCIAL?
La ingeniera social es un trmino que fue popularizado por Kevin Mitnick
que es el acto de engaar a la gente mediante tcnicas psicolgicas y
habilidades sociales para que haga algo que no desea o para que
proporcione informacin confidencial.
Otra forma de ver a la ingeniera social seria cuando vemos que los hackers
usan a las mismas personas para ingresar a los datos privados de las
organizaciones. Por ejemplo, el delincuente o interesado llama al rea de
caja de la empresa a la cual se dirige el ataque y se hace pasar por el
encargado de mantenimiento para conseguir la clave administradora de la
lista de clientes. Esto demuestra un caso clsico de ingeniera social;
adems, esto evidencia que los correos electrnicos son el medio ms
efectivo para la comunicacin empresarial en estos das, y por ende un
blanco fcil para los delincuentes para la manipulacin y uso de esta
herramienta para realizar sus actos delictivos.
A menudo, se escucha entre los expertos de seguridad que la nica
computadora segura es la que est desenchufada, a lo que, los amantes
de la Ingeniera Social suelen responder que siempre habr oportunidad
de convencer a alguien de enchufarla
FORMAS DE ATAQUE

Hace unos das se revel un caso de robo a bancos a nivel internacional,

considerado por el momento el mayor robo ciberntico de la historia:
Ms de 100 bancos, instituciones bancarias y sistemas de pago en lnea a
nivel mundial fueron vctimas de un "robo ciberntico sin precedentes", dice
un informe realizado por la firma de software de seguridad rusa Kaspersky
Lab y estima que en estos ataques se robaron US$1.000 millones.
La empresa especializada en programas y aplicaciones antivirus nombr la
operacin Carbanak, y asegura que, aunque comenz en 2013, sigue en
marcha.
El presunto responsable es una banda de criminales cibernticos con
miembros de Rusia, Ucrania y China, de acuerdo a la investigacin. Segn la
informacin hecha pblica, los atracos tuvieron lugar en firmas financieras
de 30 pases.
"Estos ataques vuelven a poner de relieve que estos criminales explotan
cualquier tipo de vulnerabilidad de los sistemas", dijo Sanjay Virmani, el
director del centro de crimen digital de Interpol, ante la noticia.
Luego de revisar la nota y de haber ledo las primeras lneas de este
artculo, revisamos un poco ms a fondo el caso de este ataque y nos
llevamos la sorpresa que la forma en que ingresaron fue usando la
Ingeniera social, ya que penetraron a la organizacin mediante el envo de
correos electrnicos a los empleados. Muchos de nosotros podemos afirmar:
pero que incrdulos al caer ante un correo falso, a m no me pasara; lo
que no sabemos es que estas personas evalan y estudian nuestro
comportamiento y costumbres, para as realizar un ataque ms eficaz.
Tras realizar esta estudio sobre nuestros gustos, hbitos, familiares, etc.;
viene las formas de ataque, que son de dos formas:
1. Las formas usadas a nivel fsico:

Ataque por telfono. Es la forma ms persistente de Ingeniera Social.

En sta el perpetrador realiza una llamada telefnica a la vctima
hacindose pasar por alguien ms, como un tcnico de soporte o un
empleado de la misma organizacin. Es un modo muy efectivo, pues las
expresiones del rostro no son reveladas y lo nico que se requiere es un
telfono.

Ataque va Internet. Los ataques ms comunes son:

o Va correo electrnico (obteniendo informacin a travs de un
phishing* o infectando el equipo de la vctima con malware)
o Web (haciendo llenar a la persona objetivo un formulario
falso)
o Salas de chat, servicios de mensajera o foros.

Dumpster
Diving o Trashing (zambullida en la basura).
Consiste en buscar informacin relevante en la basura, como:
agendas telefnicas, organigramas, agendas de trabajo, unidades
de almacenamiento (CDs, USBs, etc.), entre muchas otras cosas.

Ataque va SMS. Ataque que aprovecha las aplicaciones de los

celulares. El intruso enva un mensaje SMS a la vctima hacindola
creer que el mensaje es parte de una promocin o un servicio,
luego, si la persona lo responde puede revelar informacin personal,
ser vctima de robo o dar pie a una estafa ms elaborada.
Ataque va correo postal. Uno de los ataques en el que la
vctima se siente ms segura, principalmente por la fiabilidad del
correo postal. El ingeniero social enva un correo falso a la vctima,
tomando como patrn alguna suscripcin de una revista, cupones
de descuento, etc. Una vez que disea la propuesta para hacerla
atractiva, se enva a la vctima, quien si todo sale bien, responder
al apartado postal del atacante con todos sus datos.
Ataque cara a cara. Es el mtodo ms eficiente, pero a la vez
el ms difcil de realizar. El perpetrador requiere tener una gran
habilidad social y extensos conocimientos para poder manejar
adecuadamente cualquier situacin que se le presente. Las
personas ms susceptibles suelen ser las ms inocentes, por lo
que no es un gran reto para el atacante cumplir su objetivo si elige
bien a su vctima.
2. Los entornos psicolgicos y sociales que influyen en un ataque
de ingeniera social:

Exploit de familiaridad. Tctica en que el atacante

aprovecha la confianza que la gente tiene en sus amigos y
familiares, hacindose pasar por cualquiera de ellos. Un ejemplo
claro de esto ocurre cuando un conocido llega a una fiesta con uno
de sus amigos. En una situacin normal nadie dudara de que ese
individuo pudiera no ser de confianza. Pero de verdad es de fiar
alguien a quien jams hemos tratado?

Crear una situacin hostil. El ser humano siempre procura alejarse de

aquellos que parecen estar locos o enojados, o en todo caso, salir de su
camino lo antes posible. Crear una situacin hostil justo antes de un
punto de control en el que hay vigilantes, provoca el suficiente estrs
para no revisar al intruso o responder sus preguntas.

Conseguir empleo en el mismo lugar. Cuando la situacin lo

amerita, estar cerca de la vctima puede ser una buena estrategia para
obtener toda la informacin necesaria. Muchas pequeas y medianas
empresas no realizan una revisin meticulosa de los antecedentes de un
nuevo solicitante, por lo que obtener un empleo donde la vctima labora
puede resultar fcil.

Leer el lenguaje corporal. Un ingeniero social experimentado

puede hacer uso y responder al lenguaje corporal. El lenguaje
corporal puede generar, con pequeos, detalles una mejor conexin
con la otra persona. Respirar al mismo tiempo, corresponder
sonrisas, ser amigable, son algunas de las acciones ms efectivas.

Si la vctima parece nerviosa, es bueno reconfortarla. Si est

reconfortada, al ataque!

Explotar la sexualidad. Tcnica casi infalible. Las mujeres que

juegan con los deseos sexuales de los hombres, poseen una gran
capacidad de manipulacin, ya que el hombre baja sus defensas y
su percepcin. Probablemente suene asombroso, pero es aprovechar
la biologa a favor.

CONTROLES ANTE LA INGENIERIA SOCIAL

Uno de los mejores controles, muy aparte de realizar campaas de
concientizacin a todo el personal y capacitaciones, es estar siempre
alerta sobre los posibles ataques que podamos recibir en nuestra
empresa y ser bastante detallistas, pues siempre es en los detalles
donde uno se puede dar cuenta cuando algo est bien o est mal.

Nunca divulgar informacin sensible con desconocidos o en

lugares pblicos (como redes sociales, anuncios, pginas web, etc.).
Si se sospecha que alguien intenta realizar un engao, hay que
exigir se identifique y tratar de revertir la situacin intentando
obtener la mayor cantidad de informacin del sospechoso.
Implementar un conjunto de polticas de seguridad en la
organizacin que minimice las acciones de riesgo.
Efectuar controles de seguridad fsica para reducir el peligro
inherente a las personas.
Realizar rutinariamente auditoras usando Ingeniera Social para
detectar huecos de seguridad de esta naturaleza.
Llevar a cabo programas de concientizacin sobre la seguridad
de la informacin.
(Fuente: http://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-socialcorrompiendo-la-mente-humana)