Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Tácticas de ingeniería social y cómo prevenirlas

Muchas veces depende de los empleados filtrar y eliminar las peticiones malintencionadas de los astutos hackers.

Muy bien, usted ha implantado dos firewalls, un sistema de prevención de intrusos (IPS) y software antivirus. Se siente bastante cómodo con la seguridad general de su red. Los servidores están parcheados, los paquetes indebidos son interceptados, le alertan cuando el tráfico de la red no se comporta correctamente y los virus son eliminados inmediatamente. Sí señor, todo bajo control. ¿Quién habló de problemas?

Los hackers pueden ser muy listos y, a menudo, perversos cuando se trata de recopilar información de empleados despistados. Por ejemplo, su mesa de ayuda, el personal de TI y los usuarios en general sólo quieren servir —a veces apaciguar— a la gente que necesita ayuda. Por mucho que les pague, a sus empleados no los puede configurar para que dejen caer llamadas de asistencia como si fueran un firewall interceptando paquetes. De hecho, la mayoría de la gente está dispuesta a ayudar a cualquier persona que de forma aparentemente inocente solicita asistencia.

La ingeniería social puede ser una táctica que dé buenos frutos a los hackers, y sin gastar tanto tiempo como tratar de identificar o rodear un firewall o un IPS. Desgraciadamente, o afortunadamente, depende de a quién se haga la pregunta, los administradores de la seguridad no pueden filtrar todas las llamadas ni exigir la identificación de todas las personas que ponen pie en la empresa. Es, por tanto, responsabilidad del resto de sus empleados –esos seres humanos no configurables– filtrar y eliminar las peticiones malintencionadas que llegan por las puertas o las líneas telefónicas. ¿Están preparados para ello? Lo mejor es educarlos sobre las técnicas de ingeniería social empleadas comúnmente para atacar redes, técnicas con las que se pueden encontrar tanto dentro como fuera del trabajo.

Hablando sin rodeos, el arte de la ingeniería social implica utilizar la astucia para obtener respuestas a preguntas y usar la información obtenida con esas respuestas para acceder a información o áreas restringidas. Puede consistir en un hacker actuando como si fuera un técnico de la mesa de ayuda y pidiéndole a un empleado la clave, o haciéndose pasar por un administrador de la red, un usuario nervioso, un electricista que necesita acceder a un armario de comunicaciones, un técnico de extinción de incendios que pretende acceder a una sala de cómputo, una persona de la limpieza u otra persona cualquiera que se vea creíble en su artimaña.

¿Le resultaría difícil a alguna de estas personas acceder a una PC o a su sala de cómputo? ¿Cuántas veces les ha pedido su tarjeta de identificación a los electricistas con los que se cruza en el pasillo? Si usted encontrara un “electricista” en un armario de cableado, ¿se molestaría en preguntarle qué hace allá dentro? Si usted es como la mayoría de las personas, asumiría que todo parece normal y seguiría con su quehacer diario. Ese patrón de comportamiento tan predecible es precisamente lo que espera el hacker.

Además de educar a su personal, la mejor manera de prevenir este tipo de ataques es creando una política de prevención de la ingeniería social que prohíba la divulgación de información sensible por vía telefónica o email y evite que alguien aproveche el paso de una persona por una puerta protegida para pegarse a ella y cruzarla sin estar autorizada, además de exigir que los visitantes lleven etiquetas de identificación.

Recomiendo ampliamente la lectura del libro The Art of Deception, de Kevin Mitnick, sobre ingeniería social. Centrar su atención en el factor humano de la seguridad le ayudará a prevenir intromisiones y entradas no autorizadas en las joyas de la corona de su empresa.

 

Acerca del autor. Vernon Habersetzer es presidente de la compañía i.e.security, especializada en consultoría y seminarios sobre seguridad. Habersetzer tiene siete años de experiencia en las trincheras de la seguridad, en entornos relacionados con la sanidad y el consumo.

Este artículo se actualizó por última vez en abril 2013

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close