Uso de Ingenieria Social
14.11.2011 07:58
USO DE LA INGENIERA SOCIAL PARA OBTENER INFORMACION
En el campo de la seguridad informatica , "Ingeniería Social" (IS) es la práctica de obtener informacion confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el telefono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las politicas de seguridad típicas. Con este metodo, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que "los usuarios son el eslabón débil" en seguridad; éste es el principio por el que se rige la ingeniería social.
Un ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en el correo electrónico que ejecutan codigo malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, luego de que los primeros correo electrónicos maliciosos llevaron a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar los archivos adjuntos de forma explícita para que ocurra una accion maliciosa. Muchos usuarios, sin embargo, dan clic ciegamente a cualquier archivo adjunto recibido, concretando de esta forma el ataque.
Quizá el ataque más simple que aún es efectivo sea engañar a un usuario llevándolo a pensar que una persona es un administrador del sistema y solicitando una contraseña para varios propósitos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de credito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama Phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores del sistema. En realidad, los administradores de redes (nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario en una encuesta realizada por empresa InfoSecurity, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.
En muchos casos vemos a diario usuarios de nuestra red que se nos acercan y nos comunican que han perdido su cuenta de usuario o que perdieron la información almacenada en su backup, o tal vez que han sido víctimas pues su cuenta de correo electrónico fue blanco de ataques de spam, suplantación de identidad o envió de información no autorizada por la misma. ¿Cómo yo como usuario puedo contribuir o ayudar a que un Ingeniero Social me haga daño?
La ingeniería social se concentra en el eslabón más débil de cualquier cadena de políticas de seguridad. Se dice a menudo que la única compútadora segura es aquella que nunca será encendida. El hecho es que se ha visto como el password (contraseña) de inicio de sesión en la red se puede encontrar debajo del teclado, escrito en el PAD del mouse, en la mesa y en ocasiones hasta en las libretas de notas con el acceso de todo el personal que labora en su oficina o en los laboratorios.
ingenieria social.pdf (1 023,8 kB)