Blog - Seguridad | Informática

Usar puntuación: / 3
MaloBueno 

Como segunda parte (ver primera parte) estaremos concluyendo sobre este tipo de amenaza a través de la ingeniería social. 

Después de haber visto en la edición anterior algunas de las técnicas de Ingeniería social que se utilizan actualmente, alguien podría pensar que si estos tipos de ataques no están tan difundidos es porque no representan tanto peligro. Y allí puede aparecer la pregunta ¿Por qué comenzar a hablar ahora de Ingeniera social?

Es que estamos en una época en la cual la Ingeniera social está viviendo un verdadero auge, alentada por algunos factores como: crecimiento tecnológico sin procesos, movilidad y conectividad, y redes sociales.

Cuando hablamos de “crecimiento tecnológico sin procesos”, nos referimos a un doble efecto que podemos encontrar en las organizaciones. En primer lugar, durante los últimos tres años la mayoría de las empresas han realizado —en mayor o menor medida— inversiones en tecnología relacionada a la seguridad, por lo cual existe una peligrosa sensación de seguridad que sin duda dejar lugar para el aprovechamiento de actividades maliciosas, simplemente porque la tecnología no alcanza por sí sola para ofrecer seguridad, y mucho menos ante escenarios de ataque de Ingenieria social.

En segundo lugar, las implementaciones tecnológicas que se realizaron no fueron acompañadas por un esfuerzo similar en las áreas de procesos y procedimientos, que son justamente las principales armas frente a la Ingenieria social (junto con la concientización). Es decir, que si sumamos una falsa sensación de seguridad junto con la falta de controles adecuados, encontramos un terreno propicio para el desarrollo de estas técnicas.

Lo cierto es que es mucho más difícil implementar procesos que tecnología, y no porque las tecnologías sean sencillas ni mucho menos! Tengamos en cuenta que si tomamos como referencia la principal norma internacional relacionada a la seguridad de la información, es decir la ISO 27000, realizar una implementación de los lineamientos de la norma en una organización promedio toma entre 2 y 3 años, considerando que luego de la implementación y a través del sistema de mejora continua, se irán mejorando los controles y procesos hasta alcanzar una madurez hasta dentro de otros 2 o 3 años posteriores. Adicionalmente, implementar este tipo de normas requiere apoyo y participación de toda la organización, lo cual ya de por sí representa un reto muy difícil de alcanzar.

Respecto a la conectividad y la movilidad, sin duda que muchas veces van a favor de las técnicas orientadas al engaño, ya que ahora ni siquiera es necesario ingresar a la empresa para acceder a la información, porque los usuarios la llevan consigo todo el tiempo! Desde algo tan sencillo (comparado con vulnerar un sistema informático) como robar la PDA de un Gerente para sustraer datos, hasta la instalación de accesos Wi-Fi falsos para obtener información de forma ilegal, existen gran variedad de técnicas que combinan algún tipo de conocimiento técnico con otro tipo de tácticas.

Más allá de la falta de concientización que hace tiempo se advierte en relación con las tecnologías móviles, gracias a lo cual es muy difícil encontrar que existan controles implementados para este tipo de tecnologías, las técnicas de Ingeniería social pueden ser efectivas incluso en contextos donde a nivel tecnológico se han tomado los recaudos mínimos necesarios.

Adicionalmente, el auge de las redes sociales sin duda está dando mucho impulso al surgimiento de nuevas formas de ataque, relacionadas con la Ingeniería social.

Lo cierto es que existen técnicas, como el cross-side scripting, a través de las cuales es posible obtener datos privados de la persona sin siquiera necesitar su usuario y contraseña, a través de un engaño. En general, los ataques realizados a las redes sociales se realizan sobre la base de que las aplicaciones no son vulnerables, y se trata de plantear un escenario de engaño que por sí solo no genera el ataque, sino que sirve de base para la realización de la intrusión propiamente dicha, o la obtención de información que permita luego ganar un acceso no autorizado.

Incluso, sin necesidad de violar una restricción de seguridad, las redes sociales son muchas veces fuente de información para producir luego otros ataques. Tengamos en cuenta que hay empresas que comenzaron a utilizar información disponible en Facebook o en LinkedIN (por nombrar solamente a algunas fuentes) para incorporarla a sus procesos de selección de personal. Y entonces ¿por qué no podría encontrar un hacker allí mismo información valiosa para sus propósitos?

Datos tales como cuándo una persona está de viaje y dónde, quiénes son sus conocidos, dónde se desempeñó laboralmente y con quiénes, a qué lugares suele concurrir, y quiénes son sus familiares, entre otros, son generalmente fáciles de conseguir a través de redes sociales. Sin duda, esto representa una gran tentación para quien se dedica a realizar ilícitos relacionados al fraude.

En definitiva, y si bien es cierto que no existe tal cosa como un grado de seguridad total o de riesgo cero, también frente a estos escenarios es posible tomar ciertos recaudos que eleven el nivel de protección de la información.

Para las organizaciones, las recomendaciones generales son:

• Concientizar permanentemente a los empleados, clientes y proveedores acerca de los riesgos inherentes a las distintas actividades.
• Implementar, controlar y mejorar políticas y procedimientos específicos para la seguridad de la información en todas las áreas de la empresa.
• Utilizar la información de los elementos de control tecnológico para medir posibles brechas de seguridad asociadas a la Ingeniería social.
• Contar con apoyo externo especializado para realizar auditorías y análisis de riesgo periódicos que incluyan tanto a la infraestructura tecnológica como a los procesos y procedimientos.

Y para los usuarios individuales podemos recomendar:

• Ser extremadamente cuidadoso con la información pública que se almacena en redes sociales.
• No llevar información confidencial fuera de la empresa (siempre debería ser posible acceder en forma remota).
• Habilitar las conexiones Wi-Fi en las PDAs y notebooks solamente cuando se las está utilizando.
• Participar de todas las actividades de concientización que se ofrecen tanto en la propia organización como a través de medios especializados en seguridad de la información.

El artículo completo lo podrá encontrar en: Parte 1 y Parte 2.

 

< Prev		Próximo >