martes, 11 de febrero de 2020

Ingeniería social: el mayor riesgo de seguridad somos nosotros mismos

Ingeniería social: el mayor riesgo de seguridad somos nosotros mismos

==============================================================================
==============================================================================
 Inscribite al curso de CEHv10
==============================================================================
==============================================================================



Uno de los hackers más populares de todos los tiempos, Kevin Mitnick, ha popularizado el término «Ingeniería social» durante los años 90. Sin embargo, las formas en que se aplican las distintas técnicas han existido desde siempre. Más adelante, te mostraremos las técnicas más populares. Muy probablemente, algunas de ellas podrán resultarte familiares para ti, especialmente en el ámbito laboral.
Esta es una técnica que se aprovecha de la psicología humana. Una popular definición dice que es «el arte de la explotación de la psicología humana». No se necesitan demasiados conocimientos técnicos para llevarla a la práctica. Sin embargo, la ingeniería social es el puente ideal para poder llevar a cabo otros ataques ya más complejos o específicos, como el Phishing.
Es increíble como todas las políticas de seguridad, todas las migraciones y mejoras a nivel infraestructura, prácticamente todo lo que esté relacionado a la tecnología, puedan quedar completamente inútiles por culpa del eslabón más débil de la cadena: el ser humano. Es necesaria una llamada telefónica de menos de 5 minutos, para poder tener acceso a informaciones que pueden resultar cruciales para la víctima, o bien, para la empresa para la cual está trabajando.
Una particularidad de esta técnica es el largo tiempo que se suele necesitar para poder prepararse para los ataques, más aún si es que el objetivo es atacar a una empresa. Se necesita estudiar el comportamiento de los colaboradores, prácticas corporativas, procedimientos, entre otras cosas relacionadas con la empresa, sin embargo, si podemos acceder a los datos de teléfono o email del objetivo, tomaría mucho menos tiempo. Generalmente, disponiendo de bases de datos filtradas, ya es posible perpetrar ataques por teléfono o correo electrónico. Así de rápido y fácil.

Casos populares de ingeniería social

Como ya mencionamos más arriba, la práctica de esta técnica vía telefónica es un hecho común. Un caso popular es recibir una llamada de alguien que dice ser de soporte técnico de (un ejemplo aleatorio) Gmail o Microsoft, y te comenta que es necesario actualizar tu contraseña y tus preguntas de seguridad ya que, si no lo hace, ya no tendrá acceso a su correo electrónico.
La inocencia y, por desgracia, la ignorancia de muchas personas, lleva a consecuencias no muy agradables. Millones de personas todos los años pierden el acceso a «cuentas menores» como el correo electrónico hasta cuentas mucho más delicadas como el correo corporativo, cuentas bancarias y accesos a sistemas de gestión.


Volviendo al ámbito empresarial. Un punto que no muchas personas comprenden del todo, es que es, si fuese el caso, solamente las personas que cuenten con tarjetas de acceso puedan acceder e irse de la oficina libremente. ¿Qué ocurre si una persona que usted no conoce le comenta que necesita acceder a la oficina, pero no cuenta con su tarjeta de acceso porque se le ha olvidado? ¿Qué pasa si es que le comenta que llega tarde y que uno de los gerentes solicitó su presencia lo antes posible?
El ser humano, por naturaleza, tiende a ayudar a la persona que lo necesita o que se encuentra en apuros. Entonces, le deja acceder. Sin embargo, los que practican estas técnicas de ingeniería social no necesitan ni deben acceder sin la autorización legítima previa. ¿Qué es lo peor que puede pasar si es que una persona no autorizada consigue acceder? Desde dejar dispositivos USB (con malware, ransomware, etc.) en el suelo para que se hagan pasar como «perdidos» hasta graves incidentes violentos.
No en vano existen empresas que aplican medidas muy estrictas, donde las personas que cuentan con tarjetas de acceso sean utilizadas solamente por ellas mismas. Sin posibilidad de prestar las tarjetas a ningún compañero, ni si quiera a sus jefes directos. El tiempo va dando cada vez más la razón a las políticas de Zero Trust, no sólo como una forma de mantener segura las redes, sino también un patrón de comportamiento que no confía en nada ni nadie.

Ingeniería social como puente para el Phishing

Se sabe que el Phishing es uno de los ataques más populares, principalmente por su eficacia y la facilidad con la que las víctimas caen. Una de las situaciones que se dan con más frecuencia, es cuando las personas caen en ataques de Phishing para que el atacante tenga acceso a cuentas bancarias.
Puede pasar que alguien te llame o te envíe un mail a nombre de tu banco, informándote que debes acceder a la banca online de manera urgente para poder actualizar tus datos, o caso contrario, perderías tus fondos disponibles. Recuerda, cualquier tipo de mensaje que incite a una acción urgente o que se haga lo antes posible, ya es un punto a tener muy en cuenta para dudar. Además, proporcionar información sensible vía telefónica a una persona que no conoces no es seguro, peor aún si es que te encuentras con personas que están muy próximas a ti y que podrían escucharte.
Por otro lado, estos tipos de ataques también se llevan a cabo mediante anuncios maliciosos que se despliegan en base a los intereses, preferencias y gustos de las víctimas. He ahí que queda en evidencia que la ingeniería social tiene un fuerte enfoque en el estudio de las personas y su comportamiento online sobre todas las cosas.

¿Cómo evitar caer en la trampa?

Lo principal ya es un secreto a voces: una práctica adecuada y eficaz de la conciencia de seguridad. Nunca ninguna medida de seguridad de la más alta tecnología va a ser eficaz, si es que la persona no cuenta con los conocimientos necesarios, y, sobre todo, conciencia acerca de la seguridad de los datos que maneja y el entorno en donde se encuentra. Nunca se debe proporcionar información sensible que te pertenezca vía telefónica, correo electrónico e incluso personalmente, si es que no es estrictamente necesario. Tampoco dejes acceder a personas ajenas o extrañas a la oficina donde trabajas sin la autorización correspondiente, sin importar la urgencia en que la persona dice estar. Ya lo sabemos, es mejor prevenir que curar.
Aprovechemos todas las utilidades que nuestras aplicaciones y servicios ofrecen para poder mantener seguros nuestros datos, sobre todo la verificación en dos pasos, ya que para poder acceder los cibercriminales no solamente necesitarán la contraseña sino también una clave adicional.

==============================================================================
==============================================================================
 Inscribite al curso de CEHv10
==============================================================================
==============================================================================

0 comentarios:

Publicar un comentario