Principios de Seguridad Informática

Seba Bortnik —  25 noviembre 2008 — 2 comentarios

Desde Openware, la empresa donde trabajo; y en el contexto de la Semana Internacional de la Seguridad Informática, lanzamos una iniciativa en la que estoy trabajando y coordinando. La misma consiste en publicar durante toda la semana un artículo por día, bajo el hilo conductor de principios de la seguridad informática. Para los amigos: consejos simples para el usuario final. ;-)

Ayer arrancamos y hoy le tocó a mi artículo y se los dejo aquí a continuación. El mismo habla sobre la Ingeniería Social. Cuando terminemos les paso bien los links a los artículos de mis compañeros pero si lo quieren seguir durante la semana lo pueden hacer a través de la nota de prensa.

Principio 2: “No brindes información indebida”

La Ingeniería Social es la técnica que consiste en manipular al usuario para lograr que este brinde información voluntariamente. Esta también puede ser utilizada para lograr que un usuario ejecute una acción deseada por el atacante.

Un ejemplo muy sencillo es realizar un llamado telefónico a un empleado de la organización, presentarse como el departamento de sistemas e indicar que están existiendo problemas en la red. Posteriormente, se solicita al usuario que cierre la sesión y que indique su contraseña para hacer unas pruebas.
Así de sencillo un atacante puede conseguir credenciales válidas para loguearse en la red. Aunque parezca extremadamente simple, este tipo de técnicas es de las más utilizadas para conseguir información. En palabras sencillas, la Ingeniería Social es el arte de conseguir información de otra persona por medio de habilidades sociales.

También es frecuentemente utilizada en combinación con otros ataques. Por ejemplo, para propagar troyanos. Un troyano es un archivo malicioso que simula ser un archivo inofensivo para lograr que el usuario lo instale por sí mismo en el equipo.

En estos casos, la Ingeniería Social es utilizada, por ejemplo, para enviar correos con imágenes tentadoras para el usuario o textos indicando grandes beneficios. Una Web que invite a descargar una aplicación paga, de forma gratuita (con un mensaje de “GRATIS” llamativo en tamaños y colores) está utilizando la Ingeniería Social para lograr sus objetivos. Si uno observa detenidamente esta técnica, no existe un robo de información claro ni un acto delictivo explícito por parte del “atacante” en estos hechos. Incluso es la
misma víctima quien termina siendo el principal cómplice del delito.

Uno de los ingenieros sociales más conocidos, llamado Kevin Mitnick, postula que la Ingeniería Social se basa en cuatro principios:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir “No”.
  • A todos nos gusta que nos alaben.

Estos son útiles para comprender los motivos por los cuales esta técnica funciona.

Precauciones

Para evitar ser víctima de técnicas de Ingeniería Social, el usuario debe:

  • Chequear la identidad: cuando se entrega información sensible es importante asegurar que la persona que la está recibiendo es quien dice ser.
  • No brindar información personal: cuando se solicita al usuario brindar información que se ha brindado anteriormente, negar la entrega de esta información y remitir al hecho de que el solicitante debería conocer esa información.
  • Verificar: ante la duda, chequear por otro medio la veracidad de la solicitud de información. Por ejemplo, en el caso de un llamado telefónico el usuario puede indicar que “ahora está ocupado” pero que “se comunicará en breve para brindar la información”.
  • Analizar el medio: las personas y organizaciones serias no solicitan información personal por medios inseguros (por ejemplo una contraseña por correo electrónico). El usuario debe evaluar cuando se le solicita información, si la misma está siendo solicitada correctamente.

La Ingeniería Social es una técnica antigua que se perfecciona día a día; y no hay tecnología capaz de proteger al usuario. No existe usuario que esté protegido contra esta técnica, y todos los consejos valiosos remiten a la concientización y al uso del sentido común y criterio para pensar, antes de brindar información indebida.

Descargar el artículo

About these ads

2 respuestas hacia Principios de Seguridad Informática

  1. 
    katia varinobal segura luna 27 agosto 2012 en 0:54

    quiero0 entrar

Trackbacks y pingbacks:

  1. Principios de Seguridad Informática II « Mundo Binario - noviembre 30, 2008

    [...] de Seguridad Informática II El otro día les comentaba una campaña de concientización que iniciamos desde Openware en el contexto de la Semana [...]

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s