Ingeniería Social: Un Peligro Latente

Mientras estaba leyendo sobre diferentes temas para poder compartir con ustedes me topé con varios documentos que mencionaban 3 tipos de espionaje corporativo y el que más me llamó la antención fue la ingeniería social, ya que, aunque, aparentemente, no es algo nuevo, para mi sí lo es y esto es lo que pude recopilar de mi lectura.

Para comenzar, su definición, que según lo que pude leer es una técnica, ya sea aprendida o practicada de forma empírica para manipular a las personas para inducirlas a realizar cosas que normalmente no harían, en el caso del espionaje corporativo, proporcionar información confidencial, como contraseñas, nombres de usuarios, secretos comerciales, etc.

Existen 2 tipos de ingeniería social:

  1. Ingeniería social basada en personas.
  2. Ingeniería social basada en computadoras.

Basada en personas.

La ingeniería social no surgió en las computadoras, aunque en nuestros tiempos es la más popular, sino que inició jugando con los sentimientos y emociones de las personas como el miedo, la avaricia, el sexo, la curiosidad, la compasión, confianza, reciprocidad, el querer ayudar a otros y demás aspectos de la naturaleza humana que pueden utilizarse para manipular a las personas.

Los ingenieros sociales orientados a las personas usan sus habilidades de persuasión para hacer los manipulados escuchen o graben conversaciones no autorizadas, leer mensajes, intervenir en en cualquier forma de comunicación, robar passwords o usernames, etc.

Los scammers se valen de situaciones hostiles dentro de la empresa que puedan motivar a los empleados a querer robar información empresarial, infiltrándose a través de un empleo en la empresa que se desea espiar, interpretando el lenguaje corporal, erotismo,  y otras técnicas más.

Basada en computadoras.

Siendo Internet una de las armas más nuevas y populares entre los espías corporativos, este tipo de ingeniería social es el más utilizado en la actualidad. Entre las técnicas más comunes están el phising o suplantacion de identidad. Su objetivo es obtener datos confidenciales, passwords, cuentas bancarias y demás información de uso personal de la persona a la que quieran suplantar. El phising tiene sus “mutaciones”, que son el smishing y el vishing

También como parte de la ingeniería social basada en computadoras tenemos el spyware , que son programas que envían información del usuario, como páginas visitadas, generalmente a empresas de marketing para que éstas comercialicen con esos datos.

Además del spyware, los ingenieros sociales se valen de otros malware (malicious software), para cumplir con sus fines:

  • Virus: que infectan el software de las computadoras para hacer que no funcionen correctamente.
  • Troyanos: o trojan horse, son software maliciosos que, aparentemente son inofensivos, al ejecutarse pueden causar mucho daño a un sistema y puede permitir el acceso a usuarios no permitidos a éste.
  • Gusanos: pueden duplicarse y enviar copias vía e-mail o Internet y son capaces de desactivar redes completas.
  • Backdoors: es un programa que permite el acceso a otros programas más peligrosos a un sistema, es decir abre una “puerta trasera” para éstos.
  • Keyloggers: son programas que registran todas las pulsaciones que se realizan en un teclado y a veces también en el mouse, y sirve para obtener datos confidenciales, contraseñas, etc. Pueden ser enviados por troyanos.

La ingeniería social basada en computadoras también hace uso de las redes sociales como Facebook y Twitter para obtener la información que se quiere extraer de las personas que están siendo espiadas, utilizando direcciones de correo electrónico falso y programas de espía.

Para protegerse de estos ataques, tanto los basados en personas como los basados en computadoras, las empresas deben asegurar que sus empleados estén informados de las formas que pueden tomar estas posibles agresiones contra la información confidencial empresarial, crear una cultura de desconfianza frente a diversas situaciones sospechosas, invertir en capacitaciones acerca del tema al personal con acceso al sistema y a datos vitales de la compañía.

Kevin Mitnick es uno de los hackers más famosos del mundo. Fue liberado en enero de 2000, después de cumplir una condena de casi 5 años por robo de software, información y alteración de datos a corporaciones tales como Motorola, Nokia, el FBI y el Pentágono. Hoy en día, cuenta con su propia consultora de seguridad informática, libros e incluso una película de su vida titulada Takedown. Los que siguen son los principios, que según Mitnick se presentan en las personas que serán atacadas por los hackers, scammers o ingenieros sociales:

  1. Todos queremos ayudar.
  2. El primer movimiento siempre es de confianza hacia el otro.
  3. No nos gusta decir que no.
  4. A todos nos gusta que nos alaben.

Mis mejores deseos,

MauricioGochez

Publicado el octubre 29, 2010 en Espionaje Corporativo y etiquetado en , , , , , , , , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: