¿Cúal es el eslabón más débil en el campo de la seguridad informática? En la mayoría de los casos el usuario. Es mucho mas sencillo y casi siempore rápido y barato conseguir información o hacer que el usuario haga algo en contra de su propia empresa (sin querer por supuesto, no vamos a ser mal pensados), que usando técnicas avanzadas de cracker.
Entiéndase por Ingeniería social a la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos (wikipedia). Es una técnica que pueden usar ciertas personas para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
No pretendo que el nivel de paranoia se extienda ahora, pero debemos admitir que las personas somos confiadas, basta con una simple llamada de teléfono para revelar algún dato de interés, nombre de usuario, dirección de correo electrónico, nombre del ordenador, dirección IP, e incluso algunos proporcionan hasta su contraseña, y todo eso con una simple llamada telefónica de alguien que a lo peor ni siquiera pertenece a la organización. Otro ejemplo es el uso de ficheros adjuntos en correos electrónicos, la mayoría de usuarios abrirán el fichero pps, mp3, jpeg, etc. sin pensárselo 2 veces, y en muchos casos sin tener en cuenta el remitente del mismo, o el phising (menos mal que los filtros antispam funcionan relativamente bien).
La defensa contra este tipo de problemas, según mi opinión, pasa por la educación del usuario. Hay que hacer participe y responsable a cada usuario de la seguridad, explicarle las políticas de seguridad y asegurarse de que se cumplan.
Concluiré con un ejemplo real del cual fui participe hace unos años (no mencionaré nombres ni de personas ni de empresas). En la primera visita a un cliente, para tratar de venderle una solución de seguridad perimetral, tuvimos una reunión con el responsable de sistemas de la empresa, este con mucho ímpetu me dijo que sus sistemas estaban completamente seguros, y no estaba interesado en nuestra solución, pero además de esto me dijo otras muchas cosas como por ejemplo su web, su correo electrónico, servicios que daban al exterior, tipo de seguridad implementada, pero además tuvo la osadía de "retarme" a que intentara entrar en sus sistemas. Como es normal ante tal prepotencia, y con toda la información obtenida un compañero y yo nos pusimos manos a la obra. Nos bastó media hora para acceder a la zona privada de su portal corporativo, y guardarnos el fichero de claves de todos los empleados, podríamos haber hecho muchas mas cosas, pero no nos dedicamos a eso. Una vez hecho esto nuestro jefe fue a hablar con el personaje que me atendió en primera instancia, solo tuvo que pronunciar unos números (la contraseña del individuo), y este descompuesto respondió que era su contraseña de entrada en Windows, bueno otro dato mas, nosotros solo sabíamos que era la del portal corporativo, pero ahora sabíamos mas, eso junto con los servicios de Teminal de Windows abiertos al exterior, nos habilitaba para acceder a un escritorio con permisos de administrador, y a partir de ahí coser y cantar. Todo ello en menos de 1 día. Por supuesto nosotros no hicimos nada, simplemente entregamos un informe con lo acontecido y una serie de recomendaciones a seguir.
No importa lo que sea que te roben, antes era tuyo.
Entiéndase por Ingeniería social a la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos (wikipedia). Es una técnica que pueden usar ciertas personas para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
No pretendo que el nivel de paranoia se extienda ahora, pero debemos admitir que las personas somos confiadas, basta con una simple llamada de teléfono para revelar algún dato de interés, nombre de usuario, dirección de correo electrónico, nombre del ordenador, dirección IP, e incluso algunos proporcionan hasta su contraseña, y todo eso con una simple llamada telefónica de alguien que a lo peor ni siquiera pertenece a la organización. Otro ejemplo es el uso de ficheros adjuntos en correos electrónicos, la mayoría de usuarios abrirán el fichero pps, mp3, jpeg, etc. sin pensárselo 2 veces, y en muchos casos sin tener en cuenta el remitente del mismo, o el phising (menos mal que los filtros antispam funcionan relativamente bien).
La defensa contra este tipo de problemas, según mi opinión, pasa por la educación del usuario. Hay que hacer participe y responsable a cada usuario de la seguridad, explicarle las políticas de seguridad y asegurarse de que se cumplan.
Concluiré con un ejemplo real del cual fui participe hace unos años (no mencionaré nombres ni de personas ni de empresas). En la primera visita a un cliente, para tratar de venderle una solución de seguridad perimetral, tuvimos una reunión con el responsable de sistemas de la empresa, este con mucho ímpetu me dijo que sus sistemas estaban completamente seguros, y no estaba interesado en nuestra solución, pero además de esto me dijo otras muchas cosas como por ejemplo su web, su correo electrónico, servicios que daban al exterior, tipo de seguridad implementada, pero además tuvo la osadía de "retarme" a que intentara entrar en sus sistemas. Como es normal ante tal prepotencia, y con toda la información obtenida un compañero y yo nos pusimos manos a la obra. Nos bastó media hora para acceder a la zona privada de su portal corporativo, y guardarnos el fichero de claves de todos los empleados, podríamos haber hecho muchas mas cosas, pero no nos dedicamos a eso. Una vez hecho esto nuestro jefe fue a hablar con el personaje que me atendió en primera instancia, solo tuvo que pronunciar unos números (la contraseña del individuo), y este descompuesto respondió que era su contraseña de entrada en Windows, bueno otro dato mas, nosotros solo sabíamos que era la del portal corporativo, pero ahora sabíamos mas, eso junto con los servicios de Teminal de Windows abiertos al exterior, nos habilitaba para acceder a un escritorio con permisos de administrador, y a partir de ahí coser y cantar. Todo ello en menos de 1 día. Por supuesto nosotros no hicimos nada, simplemente entregamos un informe con lo acontecido y una serie de recomendaciones a seguir.
No importa lo que sea que te roben, antes era tuyo.
Comentarios
Secuestro de sistema de computación millonario en San francisco