Este es otro artículo revisado y actualizado originalmente publicado en en el antiguo sitio de Alcance Libre. A pesar de tener casi 20 años de haber sido publicado, sigue teniendo vigencia y sólo ha sido necesario mejorar la redacción y añadir a las redes sociales a la mezcla. ¿Las cosas han mejorado? Difícilmente. Las redes sociales han exacerbado el problema.


Introducción.

El talón de Aquiles de cualquier red lo componen los usuarios que la integran. La mejor tecnología y seguridad del mundo es inservible cuando un usuario es incapaz de mantener en secreto una clave de acceso o información confidencial. Los usuarios son el eslabón más débil de la cadena de seguridad. Es por tal motivo que tiene particular relevancia el impulsar una cultura de concienciar a los usuarios acerca de los peligros de la Ingeniería Social en la seguridad de tecnologías de la información. El más célebre personaje que utilizó ésta tan exitosamente que durante algún tiempo se convirtió en el hombre más buscado por el FBI fue Kevin Mitnick.

Ingeniería Social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social.

Wikipedia, la enciclopedia libre.

Clásicos ejemplos de ataques exitosos aprovechando la Ingeniería Social es el envío de archivos adjuntos en el correo electrónico (virus, troyanos y gusanos) que pueden ejecutar código malicioso en una estación de trabajo o computadora personal. Lo que prevalece los últimos 10 años son los troyanos especializados en el robo de credenciales de correo electrónico y el ransomware.

Todo lo anterior fue lo que obligó a muchos proveedores de software a desactivar le ejecución automática de los adjuntos al abrir el mensaje de correo electrónico, por lo que es necesario que el usuario active esta funcionalidad de modo explícito a fin de volver a ser vulnerable. Para los antivirus es imposible mantener una lista actualizada debido a que los virus y troyanos actuales mutan cambiando continuamente. Lo más desastroso es que la mayoría de los usuarios simplemente hacen clic con el ratón a cualquier cosa que llegue en el correo electrónico, haciendo que éste método de ingeniería social sea exitoso.

Otro tipo de ataque de ingeniería social, e increíblemente el más fácil de realizar, consiste en engañar a un usuario haciéndole pensar que se trata de un administrador de la red donde se labora solicitando claves de acceso u otro tipo de información confidencial. Buena parte del correo electrónico que llega al buzón del usuario consiste de engaños solicitando claves de acceso, número de tarjeta de crédito y otra información, haciendo pensar que es con una finalidad legítima, como sería el caso de reactivar o crear una cuenta o configuración. Este tipo de ataque se conoce actualmente como phising (pesca) y es activamente explotado en centros de llamadas en la India.

Lamentablemente muchos estudios muestran que los usuarios tienen una pobre conciencia acerca de la importancia de la seguridad. Hace algunos años, una encuesta de InfoSecurity arrojó como resultados que 90% de los oficinistas revelaría una clave de acceso a cambio de un bolígrafo.

Un tipo de ingeniería social muy efectivo es incluir grandes cantidades de texto a un acuerdo de licenciamiento. La gran mayoría de los usuarios, incluyendo administradores, rara vez leen siquiera una palabra contenida en dicho texto y sencillamente dan clic en la aceptación de licenciamientos y acuerdos. Esto regularmente es aprovechado por adware —software que despliega anuncios comerciales— y spyware —software que espía la actividad del usuario.

La principal defensa contra la ingeniería social es la educación del usuario, empezando por los propios administradores de redes. La mejor forma de combatir la ingeniería social es la prevención.

Recomendaciones para evitar ser víctimas de la ingeniería social.

  • Evitar utilizar cuentas de correo electrónico y redes sociales de uso personal para asuntos laborales.
  • Evitar utilizar cuentas de correo electrónico y redes sociales de uso laboral para asuntos personales.
  • Evitar publicar cuentas de correo en áreas públicas que permitan sean cosechadas por software para este fin.
  • Evitar publicar cuentas de correo electrónico en redes sociales.
  • Evitar proporcionar cuentas de correo electrónico y otros datos personales a personas o entidades que puedan utilizar estos con otros fines.
  • Evitar publicar direcciones de correo electrónico en formularios destinados a recabar datos de los clientes utilizando formularios que oculten la dirección de correo electrónico.
  • Si es inevitable, sólo utilizar una cuenta de correo electrónico destinada y dedicada para ser mostrada a través de HTTP y considerar que seguramente recibirá mucho correo basura, phishing, troyanos, virus, etc.
  • Adiestrar al usuario a utilizar claves de acceso más inteligentes.
  • Adiestrar al usuario a evitar abrir y dar clic a todo lo que llegue por correo.
  • Adiestrar al usuario para jamás responder a un mensaje de spam.

Siguiente Entrada Entrada Anterior