domingo, 15 de julio de 2012

Ingeniería Social

Entendemos por ingeniería social "la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos". Creo que todos coincidimos en que el usuario de Internet (aplicación o cualquier práctica informática que estemos llevando a cabo) es el que se encuentra en la posición débil y por tanto es la persona a la que se manipula y engaña para obtener información valiosa. 

A continuación voy a nombrar los dos tipos de inginería social que existen y cómo evitar ser una víctima de los ataques y/o los llamados "hackers". 

En primer lugar tenemos el engaño basado en tecnología: En este proceso se engaña al individuo a través de una aplicación. Entre los múltiples ejemplos podemos mencionar correos spam, pharming, software, ventanas emergentes, etc. ¿Cuántas veces hemos recibido correos en los que habíamos ganado un premio? o ¿Cuántas veces hemos tenido ventanas que se abren para redireccionarnos a alguna otra página en la que nos pedían nuestros datos para completar algún formulario / procedimiento?. También encontramos simples frases como, "es divertido, prueba haciendo click". Todas estas prácticas están basadas en el engaño para poder extraer nuestra información, hacer copiado de nuestro ordenador / sistema  o simplemente acceder a nuestros datos. 



En segundo lugar tenemos el engaño humano: las prácticas más usadas se basan en las debilidades humanas. Las técnicas más usadas son el teléfono e internet. A través del teléfono los "ingenieros sociales" se suplantan por empleados, técnicos,  o por algún compañero de empresa que llama para intentar resolver alguna situación inusual que están detectando. Normalmente el "hacker" creara un un escenario inventado que tiene algún vinculo con la victima de manera que vea confianza en el traspaso de información. 

En lugar de personas particulares también podemos estar en el escenario de empresas, a las que un "hacker" llamar haciendose pasar por un usuario que perdió su contraseña o necesita algún acceso particular. En este escenario es primordial establecer buenas políticas de seguridad para evitar traspaso de datos. 

Todos los ejemplos expuestos anteriormente considero que son los más comunes a la hora de burlar a las personas y obtener información. A continuación voy a dar unas pautas que creo no debemos olvidar para no ser víctimas de estos ataques:

- No hay que olvidar hacer uso del sentido común y en caso de duda entre facilitar o no los datos, no facilitarlos.
- Nunca revelar por teléfono o por web datos confidenciales, así como no hacer click en ningún enlace web o de ofertas para ganar dinero. Instalar un buen software de seguridad en nuestro ordenador será muy útil.
- Mantener una postura escéptica en cuanto al trato de información ser refiere.  
- Llevar un buen seguimiento de contraseñas, realizar cambios periódicos e intentar llevar a cabo dos procesos de autentificación de password. 
- En el ambiente laboral, los empleados deben recibir información para ser capaces de entender las medidas de seguridad físicas y lógicas para proteger la información confidencial. 
- Manejar la información confidencial con riguroso cuidado, asegurándose de quién tiene acceso a ella y cerciorándose de que siempre se elimina correctamente, etc.

Son numerosos los factores que podríamos mencionar para mitigar los riesgos, pero al fin y al cabo se trata de educar al usuario, ponerle en antecedentes para que sea consciente y esté alerta de las posibles situaciones que pudieran ocurrir. Estos ataques pueden ser muy dañinos tanto a nivel personal como profesional, sin embargo, aunque se recomiende la instalación de políticas de seguridad, no dejamos de estar hablando de que "una persona haga lo que otra persona desea",  inquietud que surge desde que el "hombre es hombre".

Finalmente, os dejo un vídeo en el que se muestra una forma de ingeniería social, por la que, a través del teléfono, nuestro "hacker" consigue robar usuarios y contraseñas de sistemas operativos.





No hay comentarios: