Ingeniería Social, el
punto débil de cualquier organización
Hoy en día
es común el recibir correos de príncipes africanos que sólo necesitan nuestra
información bancaria para salvar sus millones a cambio de una comisión o de
loterías de internet que sólo requieren de $200 de impuesto para que nos envía
$4 millones de dólares, pero ¿cuantas personas cayeron ante estos engaños?,
¿Cuánta gente sigue cayendo?
El robo de
información de la empresa Kickstart, la empresa que ha conseguido capital para
las nuevas empresas a través de internet, no fue algo inesperado, por lo menos
no para los profesionales de seguridad, sino algo que era de esperarse luego de
los grandes robos contemporáneos.
Sony y
Target son empresas aún más grandes que han sufrido ataques informáticos en
los últimos años, la seguridad informática es algo que ni siquiera es prioridad
para los programadores y gerentes de empresas, es sólo otro gasto ¿verdad?,
pero cuando pasa algo como esto uno no duda en preguntarse, ¿no es un error
lógico y fácil de evitar?
La verdad,
difícil de tragar, es que la culpa es nuestra como usuarios, ¿cuántos de
nosotros leen los términos de licencia de un programa, o le encargamos a un
abogado a que lo haga y nos los explique?, ahora bien ¿cuántos leemos siquiera
lo que nos piden en las pantallas emergentes?, ¿cuándo es mejor presionar
“cancelar” que presionar “ok”?
Hace poco
me llegó un correo que fue novedoso, me guio a una página igual a paypal, una
página muy conocida de pago con tarjeta de crédito, y me alarmó mostrándome un
cargo al que yo no había accedido, siendo honesto yo ya sospechaba algo raro
por el comportamiento de la página, ya que todos los links me pedían “resetear” la cuenta antes de darme más
información e insistían en que debía “refrescar”
los datos de tarjeta de crédito, ¡Alerta!
Las páginas reales te dan la información una vez que uno se autentica,
no le piden más datos hasta que uno intente cambiar algo y le informan de lo
que pasa sin tener que autenticarse varias veces.
¿Cómo reconocer una página
falsa de una real?
1. Revise el campo de dirección: Las
páginas falsas utilizan nombres de dominio alternos o de países diferentes como
http://Bancogeneral.freewebs.com o http://Bancogeneral.com.ru
2. Los enlaces van todos hacia un mismo
destino: rara vez los artistas del engaño dedican mucho tiempo en la creación
de páginas falsas así que para ahorrar tiempo envían todos los enlaces de la
página a obtener su información
3. Exigen más información de la
necesaria para acceder: por lo general estos artistas son muy ambiciosos y
apuestan a obtener toda su información de una sola vez
Recuerde
1. Siempre acceda a sus páginas
financieras escribiendo la dirección directamente, nunca desde un enlace.
2. Si sospecha que entró a una página
falsa, ¡Cambie su clave!
3. Si recibe un email sospechoso,
envíelo a la oficina de seguridad informática de su empresa financiera
4. Elija empresas financieras que
tengan oficinas de seguridad informática.
¿Qué es ingeniería social?
El tema de
la ingeniería social es utilizar las habilidades sociales de una persona o
grupo para obtener información, esto se da a través de:
·
Llamadas
telefónicas: Cuando el “administrador del sistema” ocupa su clave para hacer un
mantenimiento de su cuenta, los administradores tienen control absoluto del
sistema y no requieren de claves para respaldar su correo electrónico.
·
Correos
electrónicos: ahora es posible el esconder virus en fotos y archivos de música
que se vuelven indetectables para muchos antivirus, solo abra los archivos que
vienen de fuentes fidedignas.
·
Acceso
físico: hay miles de tipos de dispositivos electrónicos diseñados para copiar y
rastrear información.
Recuerde, conforme la
empresa es más grande, la información es más valiosa.
El método
de defensa de las empresas pequeñas que les permite mantener cero o muy poco
presupuesto en seguridad es que el costo de violar su seguridad es más alto que
la ganancia potencial, esto no se da en empresas cuya base de datos incluya
información sensible de funcionarios de otras empresas o gobierno.
El error
de muchas empresas es minimizar el valor de sus activos, es recomendable invertir entre el 20% y el 30% de sus ganancias en
diversos dispositivos de seguridad y respaldo para su información.
Ahora
siempre va a existir un límite entre lo aceptable y lo inverosímil, un juego de
espías es muy poco probable conforme es una pequeña empresa, pero en una gran
empresa con negocios de millones de dólares, los micrófonos y cámaras espías no
son gran inversión contra la ganancia potencial.
Defiéndase de la
Ingeniería Social
La
ingeniería social depende del desconocimiento de sus empleados del valor de lo
que hacen y de la información recabada
por parte de los intrusos, la manera más fácil de defenderse es negativizar
ésta ecuación.
Sus
empleados deben conocer el valor de la información interna de la compañía y no revelarla
a personas externas, sus mercadólogos deben ser expertos en el arte de revelar
información que atraiga a sus clientes y posibles inversores, pero que sea
inútil a personas que deseen hacerle daño a su compañía.
Sus
auditorías de seguridad deben apoyar a
sus empleados dándoles herramientas para bloquear fugas de información y
reiterándoles el valor de su actividad y su valor en la empresa.
Recuerde
el 75% de los ataques (maliciosos y accidentales) dentro de cualquier empresa
son causados por sus mismo empleados.
Consultor
en informática e Instructor, certificado en Seguridad Informática, Graduado en
la Universidad Latina de Costa Rica con más de 10 años de experiencia en
diversas áreas de cultura organizacional en empresas multinacionales.
No comments:
Post a Comment