Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Publicado: 18/08/2006
En esta página
Introducción
Amenazas y defensas de la ingeniería social
Diseño de defensas frente a las amenazas de la ingeniería social
Implementación de defensas frente a las amenazas de la ingeniería social
Apéndice 1: Listas de comprobación de la directiva de seguridad para amenazas de ingeniería social
Apéndice 2: Glosario
Introducción
Bienvenido a este documento de la colección Guías de seguridad para medianas empresas. Microsoft espera que esta información le ayude a crear un entorno informático más seguro y productivo.
Quién debería leer este artículo
Este artículo proporciona información sobre la administración de seguridad de las amenazas que suponen la ingeniería social y las defensas disponibles que permiten ayudar a enfrentarse a los piratas informáticos de la ingeniería social. La ingeniería social incluye principalmente amenazas no técnicas para la seguridad de la compañía. La amplia naturaleza de estas posibles amenazas hace necesario el contar con información sobre las amenazas y las posibles defensas a una amplia variedad de personal técnico y de dirección de una compañía, incluidos:
Miembros del consejo de administración
Administradores de servicios y de operaciones técnicas
Personal de soporte técnico
Personal de seguridad
Ejecutivos
Información general
Para atacar a su organización, los piratas informáticos de la ingeniería social se aprovechan de la credulidad, pereza, buenas maneras o incluso el entusiasmo de su personal. Por tanto, es difícil defenderse de un ataque de este tipo, ya que los destinatarios no se dan cuenta de que los están engañando o tal vez prefieran no admitirlo ante otras personas. Los objetivos de un pirata informático de ingeniería social, es decir, alguien que intenta conseguir acceso no autorizado a sus sistemas informáticos, son similares a los de cualquier otro pirata informático: desean obtener dinero, información o recursos de TI de su compañía.
Un pirata informático de ingeniería social intenta persuadir a su personal para que le proporcione información que le permitirá usar sus sistemas o los recursos de éstos. Normalmente, este método se conoce como engaño por confianza. Muchas pequeñas y medianas empresas consideran que los ataques de los piratas informáticos suponen un problema para las grandes corporaciones u organizaciones que ofrecen importantes recompensas. Si bien éste puede haber sido el caso en el pasado, el aumento de los delitos por Internet hace que los piratas informáticos ahora se dirijan a todos los sectores de la comunidad, desde las corporaciones hasta los individuos. Los delincuentes pueden robar directamente de una compañía, desviando fondos o recursos, pero también pueden usar a ésta como punto de partida para perpetrar delitos contra otros. Esto hace que las autoridades encuentren más dificultades para seguir la pista a estos delincuentes.
Para proteger a su personal de los ataques de ingeniería social, tiene que conocer los tipos de ataque que puede sufrir, saber lo que quiere el pirata informático y valorar lo que podría suponer la pérdida para su organización. Con estos datos, puede hacer más estricta su directiva de seguridad para que incluya defensas contra la ingeniería social. En este artículo se asume que cuenta con una directiva de seguridad con objetivos, prácticas y procedimientos que la compañía reconoce como elementos necesarios para proteger sus activos de información, sus recursos y su personal frente a ataques tecnológicos o físicos. Los cambios en la directiva de seguridad ayudarán al personal a contar con una guía acerca de cómo reaccionar cuando se encuentren con una persona o una aplicación que intenta coaccionarlos o persuadirlos para que proporcionen recursos de la empresa o desvelen información de seguridad.
Amenazas y defensas de la ingeniería social
Hay cinco tipos principales de vectores de ataque que un pirata informático de ingeniería social usa:
En línea
Telefónicos
Gestión de residuos
Contactos directos
Ingeniería social inversa
Además de reconocer estos puntos iniciales, también debe saber lo que el pirata informático espera obtener. Sus objetivos se basan en las mismas necesidades que nos guían a todos: el dinero, el avance social y la autoestima. Los piratas informáticos desean obtener dinero y recursos, desean que se les reconozca en la sociedad o en su grupo y desean sentirse bien con ellos mismos. Desgraciadamente, logran todo esto de forma ilegal robando o dañando los sistemas informáticos. Los ataques de cualquier tipo le costarán dinero, al perder ingresos, recursos, información, disponibilidad o credibilidad comercial. Cuando diseñe sus defensas contra esas amenazas, debe calcular lo que le costará un ataque.
Amenazas en línea
En nuestro mundo donde los negocios están cada vez más relacionados, el personal suele usar y responder a solicitudes e información que recibe de forma electrónica tanto desde dentro como desde fuera de la compañía. Esta conectividad permite a los piratas informáticos contactar con su personal desde el anonimato relativo de Internet. En ocasiones habrá oído hablar en la prensa de los ataques en línea, como ataques por correo electrónico, aplicaciones emergentes y mensajes instantáneos que usan caballos de Troya, gusanos y virus, a los que se conoce conjuntamente como malware, para dañar o trastocar los recursos informáticos. Puede empezar a poder hacer frente a muchos de estos ataques de malware mediante la implementación de fuertes defensas antivirus.
Nota Para obtener más información acerca de las defensas antivirus, consulte la Guía de defensa en profundidad antivirus en http://go.microsoft.com/fwlink/?linkid=28732 (puede estar en inglés).
El pirata informático de ingeniería social persuade a un empleado para que le proporcione información mediante una artimaña creíble, en lugar de infectando un equipo con malware mediante un ataque directo. Un ataque puede proporcionar información que permitirá al pirata informático realizar un posterior ataque de malware, pero este resultado no es una función de la ingeniería social. Por tanto, debe aconsejar a su personal sobre cómo poder identificar mejor y evitar los ataques de ingeniería social en línea.
Amenazas por correo electrónico
Muchos empleados reciben decenas e incluso cientos de mensajes de correo electrónico cada día, tanto de sistemas de correo electrónico privados como de empresas. El volumen del correo electrónico manejado puede hacer que no se preste la atención necesaria a cada uno de los mensajes que se reciben. Este hecho es muy útil para un pirata informático de ingeniería social. La mayoría de los usuarios del correo electrónico se sienten bien consigo mismos cuando manejan la correspondencia; se trata del equivalente electrónico de mover el papel de una bandeja de entrada a una de salida. Si el pirata informático puede realizar una solicitud que no requiera acciones complicadas por parte de la víctima de su ataque, ésta aceptará hacer algo sin ni siquiera pensar en lo que está haciendo.
Un ejemplo de este tipo de ataque sencillo consiste en enviar un mensaje de correo electrónico a un empleado que indique que su jefe desea que se le envíen todas las fechas de vacaciones para una reunión y se copia a todo el mundo en el mensaje. Es muy fácil incluir un nombre externo en la lista de personas con copia y suplantar el nombre del remitente para que el mensaje parezca proceder de una fuente interna. La suplantación es especialmente sencilla si un pirata informático tiene acceso al sistema informático de una compañía, ya que no es necesario traspasar los firewalls del perímetro. Conocer las vacaciones de un departamento puede que no parezca una amenaza de seguridad, pero significa que un pirata informático sabe cuándo estará ausente un empleado. Será entonces cuando pueda hacerse pasar por esa persona con pocas posibilidades de ser descubierto.
El uso del correo electrónico como herramienta de ingeniería social se ha convertido en endémico en la última década. El término suplantación de identidad (phishing) describe el uso del correo electrónico para obtener información restringida o personal identificable de un usuario. Los piratas informáticos pueden enviar mensajes de correo electrónico que parezcan proceder de organizaciones válidas, como bancos o socios comerciales.
En la siguiente figura se muestra un vínculo aparentemente válido al sitio de administración de cuentas de Contoso.
.gif)
Figura 1. Hipervínculo de suplantación de identidad (phishing) mediante correo electrónico
Sin embargo, si observa más detenidamente podrá notar dos diferencias:
El texto del mensaje indica que el sitio es seguro, lo que viene denotado por https, si bien la sugerencia de la pantalla muestra que el sitio usa realmente http.
El nombre de la compañía del mensaje es “Contoso,” pero el vínculo lleva a una compañía denominada “Comtoso”.
Como indica el término suplantación de identidad (phishing), estos métodos suelen ser especulativos y en ellos se realiza una solicitud genérica de información a un cliente. El camuflaje realista que se usa en los mensajes de correo electrónico, con logotipos de compañía, fuentes e incluso números de soporte telefónico gratuito aparentemente válidos, hace que el mensaje parezca más creíble. En cada mensaje de suplantación de identidad (phishing) hay una solicitud de información del usuario, que suele proporcionar, a cambio, un servicio adicional o una actualización. Una extensión de la suplantación de identidad (phishing) es el spear-phishing, en el que se contacta con una persona o grupo departamental explícitos. Este método es mucho más sofisticado, porque se necesita información personal y relevante de la compañía para conseguir que el engaño sea creíble. Para él se necesitan más conocimientos sobre la persona objeto del ataque, pero con él se puede obtener información más detallada y específica.
El mensaje de correo electrónico también puede llevar hipervínculos que pueden tentar a un empleado a incumplir la seguridad de la compañía. Como se muestra en la Figura 1, los vínculos no siempre llevan al usuario a la ubicación esperada o prometida. El pirata informático cuenta con una serie de opciones adicionales en el mensaje de correo electrónico de suplantación de identidad (phishing), incluidas imágenes que son hipervínculos que descargan malware, como virus o software espía, o texto que se presenta en una imagen con el fin de eludir los filtros de seguridad de los hipervínculos.
La mayoría de las medidas de seguridad ayudan a mantener alejados a los usuarios no autorizados. Un pirata informático puede eludir muchas defensas si puede engañar a un usuario para que introduzca un caballo de Troya, un gusano o un virus en la compañía mediante un vínculo. El hipervínculo también puede llevar a un usuario a un sitio en el que se usen aplicaciones emergentes para solicitar información u ofrecer ayuda.
Puede usar una matriz de vectores de ataque, objetivos de los ataques, descripciones y el costo que suponen para su compañía similar a la que aparece en la siguiente tabla para poder clasificar los ataques y establecer el riesgo de cada uno de ellos para su compañía. En ocasiones, una amenaza representa algo más que un riesgo. Cuando éste sea el caso, en los siguientes ejemplos se muestran los principales riesgos en negrita.
Tabla 1. Ataques en línea por correo electrónico y costos
| Objetivos de los ataques | Descripción | Costo |
|---|---|---|
| Robo de información de la compañía | El pirata informático se hace pasar por (suplanta a) un usuario interno para obtener información de la compañía. | Información confidencial Credibilidad comercial |
| Robo de información financiera | El pirata informático usa la técnica de suplantación de identidad (phishing) (o "spear-phishing") para solicitar información confidencial de la compañía, como detalles de cuentas. | Dinero Información confidencial Credibilidad comercial |
| Descarga de malware | El pirata informático engaña a un usuario para que haga clic en un hipervínculo o abra un archivo adjunto y, de esta forma, infecte la red de la compañía. | Disponibilidad comercial Credibilidad comercial |
| Descarga de software del pirata informático | El pirata informático engaña a un usuario para que haga clic en un hipervínculo o abra un archivo adjunto y, de esta forma, descargue un programa suyo que use recursos de la red de la compañía. | Recursos Credibilidad comercial Dinero |
Al igual que en la mayoría de los engaños de confianza, puede conseguir resistirse a los ataques de piratas de ingeniería social de forma más efectiva mediante una actitud de prudencia ante cualquier mensaje inesperado que reciba en la bandeja de entrada. Para que se implante este método en una organización, debe incluir en la directiva de seguridad unas directrices específicas sobre uso del correo electrónico que incluyan:
Archivos adjuntos en documentos.
Hipervínculos en documentos.
Solicitudes de información personal o de la compañía desde dentro de ésta.
Solicitudes de información personal o de la compañía desde fuera de ésta.
Además de estas directrices, debe incluir ejemplos de ataques de suplantación de identidad (phishing). Cuando un usuario reconozca una estafa mediante suplantación de identidad (phishing), notará que es mucho más fácil detectar otras.
Aplicaciones y cuadros de diálogo emergentes No es realista pensar que los empleados no usan el acceso a Internet de la compañía para actividades no relacionadas con su trabajo. La mayoría de los empleados en algún momento navegan por Internet para asuntos personales, como para realizar búsquedas o compras en línea. Esta navegación para fines personales puede hacer que los empleados y, por tanto, los sistemas informáticos de la compañía, entren en contacto con ingenieros sociales genéricos. Si bien puede que no vayan destinados de forma específica a su compañía, usarán a su personal en su esfuerzo por obtener acceso a los recursos de su empresa. Uno de los objetivos más habituales consiste en incrustar un motor de correo en el entorno del equipo, mediante el cual, el pirata informático puede iniciar ataques de suplantación de identidad (phishing) o de otro tipo mediante correo electrónico en otras compañías o personas.
En la siguiente figura se muestra cómo un hipervínculo parece llevar a un sitio de administración de cuentas seguro (secure.contosa.com account_id?Amendments), mientras que la barra de estado muestra que va a llevar al usuario al sitio de un pirata informático. Dependiendo del explorador que use, un pirata informático puede suprimir o cambiar el formato de la información de la barra de estado.
.gif)
Figura 2. Hipervínculo de suplantación de identidad (phishing) a una página web
Los dos métodos más habituales de engañar a un usuario para que haga clic en un botón de un cuadro de diálogo son el advertir de un problema, por ejemplo, mostrando un mensaje de error de la aplicación o del sistema operativo realista, u ofreciendo servicios adicionales, por ejemplo, una descarga gratuita que haga que el equipo del usuario vaya más rápido. Para los usuarios de TI y web experimentados, estos métodos pueden parecer engaños clarísimos. Sin embargo, para los usuarios no experimentados, estas aplicaciones o cuadros de diálogo emergentes pueden ser intimidatorios o atractivos.
Tabla 2. Ataques en línea mediante aplicaciones y cuadros de diálogo emergentes y costos
| Objetivos de los ataques | Descripción | Costo |
|---|---|---|
| Robo de información personal | El pirata informático solicita información personal de un empleado | Información confidencial Dinero (empleado) |
| Descarga de malware | El pirata informático engaña a un usuario para que haga clic en un hipervínculo o abra un archivo adjunto | Disponibilidad comercial Credibilidad comercial |
| Descarga de software del pirata informático | El pirata informático engaña a un usuario para que haga clic en un hipervínculo o abra un archivo adjunto | Recursos Credibilidad comercial Dinero |
Proteger a los usuarios de aplicaciones emergentes de ingeniería social es principalmente una función de concienciación. Para evitar el problema, puede configurar el explorador de forma predeterminada para que bloquee los elementos emergentes y las descargas automatizadas, pero algunos elementos emergentes pueden eludir esta configuración. Resulta más efectivo asegurarse de que los usuarios son conscientes de que no deben hacer clic en elementos emergentes a menos que lo consulten con el personal de soporte técnico. Por tanto, su personal debe poder confiar en que el personal de soporte técnico no va a juzgarle por haber navegado por la Web. Esta relación de confianza puede verse afectada por la directiva de la compañía sobre la navegación por Internet para fines personales.
Mensajería instantánea La mensajería instantánea (IM) es un medio de comunicación relativamente nuevo, pero que cada vez es más popular como herramienta en el trabajo. Algunos analistas calculan que habrá 200 millones de usuarios de productos de mensajería instantánea en 2006. La inmediatez y la familiaridad de la mensajería instantánea la convierte en un lugar adecuado para los ataques de ingeniería social, ya que los usuarios lo consideran como el teléfono y no lo relacionan con posibles amenazas para el software del equipo. Los dos ataques principales que se realizan con mensajería instantánea son el envío de un vínculo de malware en un mensaje de mensajería instantánea y el envío de un archivo real. Por supuesto, la mensajería instantánea también representa otra forma de solicitar información de manera sencilla.
Existen una serie de posibles amenazas inherentes a la mensajería instantánea cuando se trata el tema de la ingeniería social. La primera es el carácter informal de la mensajería instantánea. La naturaleza de chat de la mensajería instantánea, junto con la opción de asignarse un nombre falso o inventado, hace que no esté totalmente claro que se esté hablando con la persona con la que se cree estar hablando, lo que aumenta de forma significativa la posibilidad de suplantaciones casuales.
En la siguiente figura se muestra el funcionamiento de la suplantación, tanto para correo electrónico como para la mensajería instantánea.
.gif)
Figura 3. Suplantación mediante mensajería instantánea y correo electrónico
El pirata informático (de color rojo) se hace pasar por otro usuario conocido y envía un mensaje de correo electrónico o de la mensajería instantánea que el destinatario asumirá que procede de alguien conocido. La familiaridad hace que se relajen las defensas del usuario, por lo que es mucho más probable que éste haga clic en un vínculo o abra un archivo adjunto de alguien que conozca o que crea conocer. La mayoría de los proveedores de mensajería instantánea permiten la identificación de los usuarios según la dirección de correo electrónico, lo que permite a un pirata informático que ha identificado un estándar de direcciones en una compañía enviar invitaciones de contactos de mensajería instantánea a otras personas de la organización. Esta funcionalidad no supone una amenaza, pero significa que aumenta significativamente el número de personas que pueden ser objeto de un ataque en la compañía.
Tabla 3. Ataques por mensajería instantánea y costos
| Objetivos de los ataques | Descripción | Costo |
|---|---|---|
| Solicitud de información confidencial de la compañía | Los piratas informáticos usan la suplantación por mensajería instantánea para hacerse pasar por un compañero de trabajo y solicitar información de la compañía. | Información confidencial Credibilidad comercial |
| Descarga de malware | El pirata informático engaña a un usuario para que haga clic en un hipervínculo o abra un archivo adjunto y, de esta forma, infecte la red de la compañía. | Disponibilidad comercial Credibilidad comercial |
| Descarga de software del pirata informático | El pirata informático engaña a un usuario para que haga clic en un hipervínculo o abra un archivo adjunto y, de esta forma, descargue un programa suyo, como un motor de correo, que use recursos de la red de la compañía. | Recursos Credibilidad comercial Dinero |
Si desea aprovechar la inmediatez y las reducciones de costos que puede proporcionar la mensajería instantánea, debe incluir en sus directivas de seguridad defensas específicas para la mensajería instantánea. Para ayudarle a controlar la mensajería instantánea en su empresa, debe establecer las cinco reglas de uso siguientes:
Estandarizar su uso en una sola plataforma de mensajería instantánea. Con esta norma se minimizará el esfuerzo de compatibilidad y se desanimará a los usuarios para que no charlen con su propio proveedor de mensajería instantánea personal. Si desea un método más controlado para limitar las opciones de los usuarios, puede decidir bloquear los puertos que usan los servicios de mensajería instantánea comunes.
Definir una configuración de seguridad de implementación. Los clientes de mensajería instantánea ofrecen una serie de opciones de privacidad y seguridad, como la detección de virus.
Establecer directrices de contacto. Recomiende que los usuarios no acepten de forma predeterminada nuevas invitaciones de contacto.
Establecer estándares de contraseñas. Haga que las contraseñas de mensajería instantánea cumplan con los estrictos estándares de contraseñas establecidos para las contraseñas de host.
Ofrecer ayuda para el uso. Cree un conjunto de directrices de prácticas recomendadas para sus usuarios, en las que explique los motivos inherentes a ellas.
Amenazas telefónicas El teléfono ofrece un vector de ataque excelente para los piratas informáticos de ingeniería social. Se trata de un medio familiar, pero también impersonal, ya que la persona objeto del ataque no puede ver al pirata informático. Las opciones de comunicación de la mayoría de los sistemas informáticos también pueden convertir a la central de conmutación (PBX) en un objetivo atractivo. Otro ataque, tal vez muy rudimentario, es el robo de PIN de tarjetas telefónicas o de crédito en cabinas telefónicas. Este ataque suele realizarse como robo a una persona, pero las tarjetas de crédito de las compañías son igualmente útiles. La mayoría de las personas saben que tienen que ser prudentes ante los fisgones en los cajeros automáticos, pero la mayoría suele tener menos precaución cuando usan un PIN en una cabina telefónica.
El sistema de voz sobre IP (VoIP) es un mercado en desarrollo que ofrece reducciones de costos a las compañías. Actualmente, debido al relativamente reducido número de instalaciones, las actividades de piratas informáticos sobre VoIP no se considera una amenaza importante. Sin embargo, conforme cada vez más empresas usan esta tecnología, la suplantación mediante VoIP puede generalizarse tanto como lo está ahora en el correo electrónico y en mensajería instantánea.
Central de conmutación (PBX) El pirata informático que ataca una central PBX tiene tres objetivos principales:
Solicitar información, normalmente imitando a un usuario legítimo, ya sea para tener acceso al propio sistema telefónico o para obtener acceso remoto a sistemas informáticos.
Obtener acceso al uso “gratuito” del teléfono.
Obtener acceso a la red de comunicaciones.
Cada uno de estos objetivos supone un tema distinto, en el que el pirata informático llama a la compañía para intentar obtener los números de teléfono que proporcionan acceso directo a una central PBX o mediante una central PBX a la red telefónica pública. El término que se usa para este hecho es phreaking. El método más habitual consiste en que el pirata informático finja ser un técnico telefónico, que solicita línea exterior o una contraseña para analizar y resolver los problemas indicados en el sistema telefónico interno, como se muestra en la siguiente figura.
.gif)
Figura 4. Ataques telefónicos a centrales PBX
Las solicitudes de información o acceso telefónico constituyen una forma de ataque relativamente sin riesgos. Si el destinatario sospecha o no decide responder a una solicitud, el pirata informático sólo tiene que colgar. Sin embargo, tenga en cuenta que dichos ataques son más sofisticados que el hecho de que un pirata informático simplemente llame a una compañía y solicite el Id. y la contraseña de un usuario. Éste normalmente presenta una situación, en la que pide u ofrece ayuda, antes de realmente solicitar la información personal o de la empresa, casi como si se tratara de algo que se le hubiera ocurrido a última hora.
Tabla 4. Ataques a centrales de conmutación y costos
| Objetivos de los ataques | Descripción | Costo |
|---|---|---|
| Solicitud de información de la compañía | El pirata informático se hace pasar por un usuario legítimo para obtener información confidencial. | Información confidencial Credibilidad comercial |
| Solicitud de información telefónica | El pirata informático se hace pasar por un técnico telefónico para obtener acceso a la central PBX con el fin de realizar llamadas externas. | Recursos Dinero |
| Uso de la central PBX para tener acceso a sistemas informáticos | El pirata informático entra en los sistemas informáticos, mediante una central PBX, para robar o manipular información, infectar con malware o usar recursos. |
| Objetivos de los ataques | Descripción | Costo |
|---|---|---|
| Solicitud de información | El pirata informático se hace pasar por un usuario legítimo para obtener información de la empresa. | Información confidencial |
| Solicitud de acceso | El pirata informático se hace pasar por un usuario legítimo para obtener acceso de seguridad a los sistemas comerciales. | Información confidencial Credibilidad comercial Disponibilidad comercial Recursos Dinero |
El servicio de ayuda debe conseguir un equilibrio entre la seguridad y la eficacia comercial y, en este contexto, las directivas y procedimientos de seguridad deben servirles de apoyo. Una prueba de identidad, como proporcionar el número de empleado, departamento, y nombre del jefe, no debe suponer un gran problema para que el analista del servicio de ayuda lo solicite, ya que todo el mundo sabe estos datos. Sin embargo, esta prueba tal vez no sea completamente segura, ya que un pirata informático puede haber robado esta información. No obstante, puede ser una forma realista de empezar. En verdad, el único método de identificación seguro al 99,99% es una prueba de DNA, lo cual es claramente poco realista.
Es más difícil defender al analista del servicio de ayuda frente a un pirata informático que sea un trabajador interno o un contratista. Dicho pirata tendrá un conocimiento detallado de los procedimientos internos y tendrá tiempo para asegurarse de que cuenta con toda la información necesaria antes de llamar al servicio de ayuda. Los procedimientos de seguridad deben proporcionar una función doble ante esta situación:
El analista del servicio de ayuda debe asegurarse de que se realiza una pista de auditoría de todas las acciones. Si un pirata informático consigue obtener acceso no autorizado a información o recursos mediante una llamada al servicio de ayuda, dicho servicio debe registrar todas las actividades para que se pueda reparar o limitar de forma rápida cualquier daño o pérdida. Si cada llamada desencadena un mensaje de correo electrónico automatizado o manual que indique el problema o solicitud, también será más fácil para un empleado que sufriera un robo de identidad darse cuenta de lo sucedido y llamar al servicio de ayuda.
El analista del servicio de ayuda debe contar con un procedimiento bien estructurado sobre cómo tratar los distintos tipos de llamadas. Por ejemplo, si el jefe del empleado debe enviar por correo electrónico solicitudes de cambio de acceso, no debe producirse ningún cambio informal o no autorizado en los niveles de seguridad.
Si los usuarios son conscientes de estas reglas y la directiva apoya su implementación, los piratas informáticos lo tendrán mucho más difícil a la hora de conseguir sus objetivos o pasar inadvertidos. La pista de auditoría de 360 grados es la herramienta más valiosa para evitar y detectar actos ilícitos.
Amenazas en la gestión de residuos El análisis ilícito de los residuos, o búsqueda en contenedores, como se conoce habitualmente, es una actividad muy valiosa para los piratas informáticos. Los restos de documentos comerciales pueden contener información de utilidad inmediata para un pirata informático, por ejemplo, números de cuenta e Id. de usuario desechados, o bien puede servir como información de base, por ejemplo, para listados telefónicos y gráficos de organizaciones. Este último tipo de información es importantísimo para un pirata informático de ingeniería social, ya que permite que parezca creíble cuando realiza un ataque. Por ejemplo, si el pirata informático parece tener un buen conocimiento del personal del departamento de una compañía, es mucho más probable que tenga éxito cuando contacte con el mismo; la mayoría del personal asumirá que alguien que sabe mucho de su compañía tiene que ser un empleado de ésta.
Los medios electrónicos pueden ser incluso más útiles. Si las compañías no cuentan con reglas de gestión de residuos que incluyan el desecho de medios redundantes, se podrá encontrar todo tipo de información en unidades de disco duro, CDs y DVDs desechados. La naturaleza sólida de los medios fijos y extraíbles implica que los responsables de la seguridad de TI deban estipular directivas de gestión de medios que incluyan instrucciones de borrado o destrucción.
Tabla 6: Ataques de gestión de residuos y costos
| Objetivos de los ataques | Descripción | Costo |
|---|---|---|
| Restos de papel en contenedores externos | El pirata informático toma el papel de contenedores externos para robar cualquier tipo de información relevante de la compañía. | Información confidencial Credibilidad comercial |
| Restos de papel en papeleras internas | El pirata informático toma el papel de las papeleras internas de la oficina, eludiendo cualquier directriz de gestión externa de residuos de papel. | Información confidencial Credibilidad comercial |
| Residuos de medios electrónicos | El pirata informático roba información y aplicaciones de medios electrónicos desechados. El pirata informático también roba el propio medio. | Información confidencial Recursos Credibilidad comercial |
Su personal debe comprender las implicaciones que tiene el arrojar residuos de papel o medios electrónicos a una papelera o contenedor. Una vez que los residuos salen del edificio, su propiedad puede entrar en un vacío legal. La búsqueda en contenedores tal vez no se considere ilegal en todas las circunstancias, por lo que debe asegurarse de que aconseja a su personal sobre cómo tratar los residuos. Triture los documentos y borre o destruya los medios magnéticos que vaya a desechar. Si algún residuo es lo demasiado grande o rígido como para poderlo destruir en una trituradora, como una agenda telefónica, o técnicamente el usuario no lo puede destruir, se deberá crear un protocolo específico para su desecho. También debe colocar los contenedores en una zona segura a la que no pueda acceder todo el mundo.
Cuando diseñe una directiva de gestión de residuos, es importante que se asegure de que cumple con la normativa local sobre seguridad. También puede ser una buena medida desde el punto de vista social adoptar estrategias de gestión de recursos que respeten el medioambiente.
Además de la gestión de residuos externos (el papel o los medios electrónicos que se puedan enviar a personas externas a la compañía) también debe gestionar los residuos internos. Las directivas de seguridad no suelen tener en cuenta este asunto, porque se suele asumir que cualquier persona que tenga acceso a la compañía debe ser de confianza. Está claro que éste no es siempre el caso. Una de las medidas más efectivas a la hora de gestionar los residuos de papel es la especificación de una clasificación de datos. Puede definir distintas categorías de información en papel y especificar cómo debe desechar el personal los residuos en cada caso. Entre las categorías de ejemplo se podrían incluir:
Información confidencial de la compañía. Triture todos los documentos confidenciales de la compañía antes de desecharlos en cualquier papelera o contenedor.
Información privada. Triture todos los documentos privados antes de desecharlos en cualquier papelera o contenedor.
Información del departamento. Triture todos los documentos del departamento antes de desecharlos en contenedores públicos.
Información pública. Deseche todos los documentos públicos en cualquier papelera o recíclelos.
Para obtener más información acerca del desarrollo de clasificaciones de datos, consulte el tema Función SMF de administración de la seguridad en Microsoft® TechNet en la dirección http://go.microsoft.com/fwlink/?linkid=37696 (puede estar en inglés).
Contactos directos La forma más sencilla y barata en la que un pirata informático puede obtener información es solicitarla directamente. Este método puede parecer rudimentario y obvio, pero se ha convertido en la base de los engaños por confianza desde el comienzo. Hay cuatro métodos principales que demuestran ser útiles para los ingenieros sociales:
Intimidación. Este método puede implicar la suplantación de una figura de autoridad para coaccionar a una persona a responder a una solicitud.
Persuasión. Las formas más habituales de persuasión suelen incluir la adulación o el mencionar a alguien importante.
Congraciamiento. Este método suele ser una estratagema más a largo plazo, en la que un compañero de trabajo de la misma categoría de una inferior inicia una relación para conseguir la confianza y, finalmente, información de esta persona.
Ayuda. En este método, el pirata informático se ofrece a ayudar al objetivo del ataque. La ayuda normalmente hará que finalmente el objetivo del ataque divulgue información personal que permitirá al pirata informático robar su identidad.
La mayoría de las personas asumen que cualquiera que les hable es una persona de confianza, lo que es interesante ya que es un hecho que la mayoría de las personas admite que se mienten a sí mismas. The Lying Ape: An Honest Guide to a World of Deception (El mono mentiroso: una guía honesta en un mundo de engaños), Brian King, Icon Books Limited. La confianza total es uno de los objetivos de un pirata informático de ingeniería social.
Es muy difícil defender a los usuarios frente a estos tipos de contactos directos. Algunos usuarios tienen una predisposición natural a que la ingeniería social use uno de estos cuatro ataques. La defensa frente a un ataque por intimidación es el resultado de una cultura “sin miedo” dentro de una empresa. Si el comportamiento habitual es la educación, se reduce el éxito que tendrá la intimidación, ya que es más probable que los empleados consulten las situaciones polémicas. Una actitud de apoyo en la directiva y funciones de supervisión que busquen la consulta de problemas y la toma de decisiones es lo peor con lo que se puede encontrar un pirata informático de ingeniería social. Su objetivo consiste en alentar a los destinatarios del ataque a tomar una decisión rápida. Si el problema se consulta a una autoridad superior, es mucho menos probable que consigan su objetivo.
La persuasión siempre ha sido un método muy usado por los humanos para lograr objetivos personales. No puede conseguir esto sin más de sus empleados, pero puede proporcionar una guía firme sobre lo que un individuo debe y no debe hacer. El pirata informático siempre preguntará o creará una situación en la que un usuario ofrece voluntariamente información restringida. Su mejor defensa son las campañas de concienciación continuadas y la ayuda básica sobre dispositivos de seguridad como las contraseñas.
Los piratas informáticos necesitan tiempo para congraciarse con los usuarios. Tendrán que contactar habitualmente, probablemente asumiendo el papel de un compañero de trabajo. Para la mayoría de las medianas empresas, la principal amenaza de un compañero de trabajo procede del personal de contratas o de servicio habitual. El grupo de recursos humanos debe tener la misma precaución al investigar los antecedentes del personal de contratas que al hacerlo con el personal fijo. Puede encargar la mayor parte de este trabajo al contratista. Para asegurarse de que esta empresa realiza un trabajo efectivo, puede pedirle que cumpla con sus propias directivas de investigación de antecedentes que se aplica al personal fijo. Si un pirata informático de ingeniería social consigue un puesto fijo en la compañía, la mejor defensa sería la concienciación del personal y su cumplimiento de las reglas de la directiva de seguridad sobre la seguridad de la información.
Finalmente, los ataques de ayuda se pueden reducir si cuenta con un servicio de ayuda efectivo. El recurrir a la ayuda de alguien interno suele ser el resultado de una animadversión hacia los servicios de soporte existentes de la compañía. Debe aplicar dos elementos para asegurarse de que el personal contacta con el servicio de ayuda en lugar de con un experto interno no autorizado o, lo que es peor aún, un experto externo a la compañía:
Especifique en la directiva de seguridad que el servicio de ayuda es el único lugar al que deben informar los usuarios sobre sus problemas.
Asegúrese de que el personal de servicio cuente con un proceso de respuesta acordado dentro de acuerdo de nivel de servicio del departamento. Realice una auditoría frecuente del rendimiento del servicio de ayuda para asegurarse de que los usuarios reciban el nivel adecuado de respuesta y solución.
No debe subestimar la importancia del servicio de ayuda a la hora de proporcionar una defensa de primer nivel frente a los ataques de la ingeniería social.
Contactos virtuales Los piratas de ingeniería social deben contactar con los objetivos de sus ataques para poder realizarlos. La mayoría de las veces, este contacto se llevará a cabo mediante algún medio electrónico, como un mensaje de correo electrónico o una ventana emergente. El volumen de correo no deseado que llega a la mayor parte de los buzones de correo personales hace que este método de ataque sea menos exitoso, ya que los usuarios son cada vez más escépticos frente a las solicitudes de correo en cadena y solicitudes de complicidad para formar parte de transacciones financieras lucrativas y “legales”. A pesar de esto, el volumen de este tipo de correo y el uso de motores de correo con caballos de Troya hacen que siga siendo un método atractivo, con sólo un índice de éxito mínimo, para algunos piratas informáticos. La mayoría de estos ataques son personales y tienen como objetivo descubrir información sobre la identidad de la persona objeto de los mismos. Sin embargo, en el caso de las empresas, el abuso extendido de los sistemas comerciales, como equipos y acceso a Internet, para fines personales hace que los piratas informáticos puedan entrar en la red corporativa.
Los teléfonos ofrecen un método de contacto más personal y de menor volumen. Las pocas posibilidades de ser detenido hacen que algunos piratas informáticos usen el teléfono como medio de contacto, pero este método se usa principalmente para ataques al servicio de ayuda y centrales PBX; la mayoría de los usuarios desconfiaría de una llamada que solicite información de una persona a la que no conozcan personalmente.
Contactos directos Menos habitual, aunque más efectivo para el pirata informático es el contacto directo y personal con una persona objeto de un ataque. Sólo el empleado más cauto dudará de la validez de alguien que se presente y que pida u ofrezca ayuda con un sistema informático. Si bien estos métodos tienen muchos más riesgos para el que los perpetra, las ventajas son obvias. El pirata informático puede obtener un acceso sin límites a equipos de la compañía, en cualquier defensa de perímetro tecnológica que exista.
El aumento del uso de tecnologías móviles, que permite a los usuarios conectarse a redes corporativas mientras se encuentran de viaje o en sus casas, suponen otra importante amenaza para los recursos de TI de la compañía. Los posibles ataques en este campo incluyen el ataque de observación más sencillo, en el que un pirata informático observa por detrás de un usuario de un equipo móvil en un tren para ver su Id. de usuario y contraseña, hasta ataques más sofisticados donde un técnico de servicio muy solícito entrega e instala un lector de tarjetas o una actualización de enrutador para poder obtener acceso a la red de la empresa pidiendo el Id. de usuario, su contraseña y, tal vez, un café. Un pirata informático concienzudo incluso podría solicitar al usuario una firma de autorización; ahora ya tiene la firma del usuario. Entre estos tipos de ataques se incluyen amenazas como vecinos que usan el ancho de banda que paga la compañía para tener acceso a Internet mediante una LAN inalámbrica desprotegida.
Si bien la mayoría de las grandes empresas cuentan con infraestructuras de seguridad para sus instalaciones altamente desarrolladas, las oficinas más pequeñas, de tamaño medio, tal vez no pongan tantos impedimentos para el acceso a sus instalaciones. El seguimiento, en el que una persona no autorizada sigue a alguien que tiene un pase para entrar a una oficina, es un ataque de ingeniería social muy sencillo. El intruso abre la puerta, que el usuario autorizado traspasa y, a continuación, el primero inicia una conversación sobre el tiempo o un partido del fin de semana mientras pasan juntos por el área de recepción. Este método no funcionaría en una gran compañía, donde cada persona tendría que pasar su tarjeta por un torniquete o en una pequeña compañía donde todos se conocen. Sin embargo, es perfectamente válido en una compañía con mil empleados, donde es habitual que un empleado no conozca a todos los demás. Si el impostor hubiera obtenido acceso anteriormente a la información de la compañía, como nombres de departamentos, nombres de empleados o algún otro tipo informe interno, la conversación de distracción sería más creíble.
La seguridad de los trabajadores en casa suele estar limitada a la tecnología. La directiva de seguridad debe exigir que los firewalls garanticen que los piratas informáticos externos no puedan tener acceso a las redes. Aparte de este requisito, la mayoría de las medianas empresas permiten que sus empleados que trabajan en casa se ocupen de su propia seguridad e incluso de las copias de seguridad.
Tabla 7. Ataques con acceso físico y costos
| Objetivos de los ataques | Descripción | Costo |
|---|---|---|
| Robo de la identidad del usuario móvil | El pirata informático observa al usuario legítimo cuando éste especifica la información de inicio de sesión u otros detalles en el equipo. Esto puede permitir el robo de un equipo físico. | Información confidencial |
| Robo de la identidad del usuario que trabaja en casa | El pirata informático se hace pasar por un trabajador de soporte de TI o un socio de mantenimiento para obtener acceso a la red del trabajador en casa y solicita el Id. y la contraseña del usuario para probar que la actualización se realizó con éxito. | Información confidencial |
| Contacto directo con la red mediante la red del trabajador en casa | El pirata informático tiene acceso a la red de la compañía mediante la red del trabajador en casa haciéndose pasar por un ingeniero de soporte técnico. El pirata informático tiene un acceso sin límites a los recursos de la red y la compañía. | Información confidencial Credibilidad comercial Disponibilidad comercial Recursos Dinero |
| Acceso continuado a la red del trabajador en casa | El pirata informático o el usuario local tiene acceso de banda ancha a Internet mediante una red doméstica desprotegida. | Recursos |
| Acceso a las oficinas de la compañía sin compañía | El pirata informático sigue a un empleado autorizado para entrar en las oficinas de la compañía. | Información confidencial Credibilidad comercial Disponibilidad comercial Dinero Recursos |
| Acceso de un individuo a una oficina de la compañía | El pirata informático obtiene acceso a un individuo, lo que le permite intentar usar el equipo informático o recursos en papel, como archivadores. | Información confidencial Recursos Dinero |
Las defensas frente a estas amenazas dependen fundamentalmente de la implementación de procedimientos recomendados por parte de los usuarios, basados en una directiva de seguridad efectiva de la compañía que debe tratar las tres áreas siguientes:
Las instalaciones de la compañía
El hogar
El trabajo móvil
Sería imposible acceder a las instalaciones de una compañía si no se contara con la autorización adecuada. El personal de recepción debe ser educado pero firme cuando reciban al personal, a los contratistas o a los visitantes. Unas pocas y sencillas condiciones dentro de la directiva de seguridad de la compañía harán que sea prácticamente imposible que una persona dispuesta a realizar un ataque de ingeniería social físico tenga acceso al edificio. Estas condiciones podrían incluir el uso de:
Pases con identificación fotográfica, que se deben mostrar cada vez que un empleado entre o salga del edificio.
Un libro de visitas firmado por el visitante y autorizado por el empleado al que visita tanto al llegar como al salir.
Pases de visita con fecha visibles en todo momento y que se deben devolver en la recepción al salir.
Un libro de contratistas firmado por el contratista y autorizado por el empleado que autorizó su trabajo al llegar y salir.
Pases de contratistas con fecha visibles en todo momento y que se deben devolver en la recepción al salir.
Para asegurarse de que todas las personas se presentan al empleado de la recepción, la compañía debe crear barreras para asegurarse de que los visitantes pasan directamente por delante de éste para presentar sus credenciales o firmar. Dichas barreras no tienen que ser torniquetes o barreras por las que tendrán que pasar.
Por ejemplo, un área de recepción puede tener algo tan relajante como un sofá para que la gente se siente mirando hacia la persona de recepción, como muestran los dos ejemplos de la siguiente figura.
.gif)
Figura 5. Diseño de la recepción
El área de recepción de la izquierda permite a un visitante no autorizado seguir a una persona, usando a un empleado legítimo para ocultarse. En el ejemplo de la derecha cualquier visitante tendría que pasar por delante de la recepción. La posición del equipo no tapa la visión del empleado de la recepción. El espacio debe ser lo suficientemente amplio como para permitir que cualquier persona pueda pasar sin problemas, incluidas las personas que usan sillas de ruedas. Es fundamental que los empleados de recepción reciban la instrucción necesaria y sean coherentes cuando reciban y comprueben la identidad de los visitantes. Todas las entradas al edificio deben cumplir con estos estándares y el personal sólo debe usar las entradas y salidas autorizadas al edificio; no debe haber puertas traseras.
Cuando se cree cualquier sistema de control de puertas o separaciones, debe asegurarse de que cumple con la normativa sobre seguridad y accesibilidad.
En el domicilio, no es realista autorizar a que entre cualquier vendedor o persona que venga. En realidad, la mayoría de las personas suelen ser mucho más precavidas sobre las visitas que reciben en su hogar de lo que lo son con las que visitan la oficina. Lo que es más importante aún, debe asegurarse de que un ataque no pueda tener acceso a los recursos de la empresa. Un protocolo sobre los servicios de TI externos debe incluir reglas que estipulen las siguientes condiciones:
Cada acción de soporte técnico, ya sea una solución in situ o una actualización, debe estar planeada y autorizada por el personal de soporte técnico.
Los contratistas y el personal interno que realizan tareas in situ de mantenimiento o de instalaciones deben tener una identificación, que incluya preferiblemente una fotografía.
El usuario debe contactar con el departamento de soporte de TI para indicarles cuándo llega el técnico y cuándo finaliza el trabajo.
Cada puesto tiene una hoja correspondiente, que firma el usuario.
El usuario nunca debe proporcionar información de acceso personal ni iniciar sesión en el equipo para proporcionar acceso a un técnico.
Este último punto es crucial. Es responsabilidad del grupo de servicios de TI asegurarse de que cualquier técnico externo tenga el acceso personal suficiente para realizar su trabajo. Si el técnico no tiene un acceso de usuario suficiente para realizar una tarea, debe contactar con el servicio de ayuda. Este requisito es esencial, ya que trabajar como modesto técnico para una compañía de servicios informáticos es uno de los puestos más rentables que un posible pirata informático puede encontrar, ya que lo convierte en una figura de autoridad técnica y en ayudante a la vez.
Los trabajadores móviles suelen usar sus equipos en lugares con mucha gente, como trenes o estaciones, aeropuertos o restaurantes. Claramente, es mucho más improbable asegurarse de que nadie le observa mientras escribe en uno de estos lugares, pero la directiva de seguridad de la compañía debe ofrecer consejo sobre cómo reducir los riesgos que suponen para la información personal y de la empresa. Si los empleados usan asistentes digitales personales (PDA), debe incluir información sobre la administración de seguridad y la sincronización.
Ingeniería social inversa La ingeniería social inversa describe una situación en la que la persona o personas objetivo realizan el contacto inicial y ofrecen al pirata informático la información que desean. Aunque esta situación pueda parecer improbable, figuras de autoridad, sobre todo autoridad técnica o social, suelen recibir información personal fundamental, como los Id. y contraseñas de los usuarios porque están por encima de toda sospecha. Por ejemplo, ningún trabajador del departamento de soporte pediría a la persona que llama su Id. o contraseña de usuario; simplemente soluciona los problemas sin esta información. Muchos usuarios que tienen problemas de TI ofrecerían de forma voluntaria estos elementos de seguridad fundamentales para conseguir rápidamente una solución a su problema. El pirata informático no tendría ni que preguntar. Los ataques de ingeniería social no son tan reactivos como puede sugerir este contexto.
Un ataque de ingeniería social crea un situación, aconseja una solución y proporciona ayuda cuando se solicita, puede que de forma tan sencilla como en el siguiente caso:
Un compañero de trabajo, que es en realidad un pirata informático, cambia el nombre o mueve un archivo para que el objetivo de su ataque piense que ya no existe dicho archivo. El pirata informático especula con la posibilidad de recuperar el archivo. El objetivo del ataque, que desea poder continuar con su trabajo, o preocupado por ser culpable de esa pérdida de información, cede ante su oferta. El pirata informático dice que para poder recuperarlo tendría que iniciar sesión como si fuera la otra persona. Incluso puede decir que la directiva de la compañía prohíbe esto. El objetivo del ataque pedirá al pirata informático que inicie sesión como si fuera él para intentar recuperar el archivo. De mala gana, el pirata informático acepta, recupera el archivo original y roba el Id. y la contraseña del usuario. Incluso puede que mejore su reputación de forma que reciba solicitudes de ayuda de otros compañeros de trabajo. Con este método se pueden eludir los canales de soporte técnico de TI habituales y permitir que el pirata informático no sea detectado.
No siempre es necesario tener información o incluso conocer a un objetivo para usar la ingeniería social inversa. Inventar problemas mediante cuadros de diálogo puede ser útil en un ataque de ingeniería social inversa no específico. En el cuadro de diálogo se avisa de que hay un problema o de que se debe realizar una actualización para continuar. En el cuadro de diálogo se ofrece una descarga para solucionar el problema. Cuando la descarga finaliza, el problema supuesto desaparece y el usuario sigue trabajando, sin saber que incumplió la directiva de seguridad y descargó un programa de malware.
Tabla 8. Ataques de ingeniería social inversa y costos
| Objetivos de los ataques | Descripción | Costo |
|---|---|---|
| Robo de identidad | El pirata informático recibe el ID. y la contraseña de un usuario autorizado. | Información confidencial Credibilidad comercial Disponibilidad comercial Dinero Recursos |
| Robo de información | El pirata informático usa el Id. y la contraseña del usuario autorizado para obtener acceso a los archivos de la compañía. | Información confidencial Dinero Recursos Credibilidad comercial Disponibilidad comercial |
| Descarga de malware | El pirata informático engaña a un usuario para que haga clic en un hipervínculo o abra un archivo adjunto y, de esta forma, infecte la red de la compañía. | Disponibilidad comercial Credibilidad comercial |
| Descarga de software del pirata informático | El pirata informático engaña a un usuario para que haga clic en un hipervínculo o abra un archivo adjunto y, de esta forma, descargue un programa suyo, como un motor de correo, que use recursos de la red de la compañía. | Recursos Credibilidad comercial Dinero |
Defenderse frente a la ingeniería social inversa es probablemente el desafío más difícil. El objetivo del ataque no tiene motivos para sospechar del pirata informático, porque cree que controlan la situación. La principal defensa es la estipulación en la directiva de seguridad de que todos los problemas se deben resolver mediante el servicio de ayuda. Si los miembros del servicio de ayuda son eficientes, educados y no se erigen en jueces, el resto de empleados acudirán a ellos, en lugar de pedir ayuda a un empleado no autorizado o a conocidos.
Diseño de defensas frente a las amenazas de la ingeniería social
Una vez comprendida la amplia gama de amenazas que existen, se necesitan tres pasos para diseñar un sistema de defensa frente a las amenazas de la ingeniería social hacia el personal de su compañía. Una defensa efectiva es contar con una función de planeamiento. Las defensas suelen ser reactivas: se detecta un ataque que tuvo éxito y se crea una barrera para garantizar que el problema no vuelva a producirse. Si bien este método demuestra cierto nivel de concienciación, la solución llega demasiado tarde si el problema es grave o costoso. Para adelantarse a esta situación, debe realizar los tres pasos siguientes:
Crear un marco de administración de la seguridad. Debe definir un conjunto de objetivos de seguridad de ingeniería social y de empleados responsables de lograr que se cumplan.
Realizar evaluaciones sobre la administración de riesgos. Amenazas similares no presentan el mismo nivel de riesgo para distintas compañías. Debe revisar cada una de las amenazas de ingeniería social y racionalizar el peligro que presenta cada una para su organización.
Implementar defensas de ingeniería social en su directiva de seguridad. Cree un conjunto escrito de directivas y procedimientos que estipulen la forma en que su personal debe enfrentarse a las situaciones que puedan suponer ataques de ingeniería social. En este paso se asume que existe una directiva de seguridad, aparte de la amenaza que supone la ingeniería social. Si actualmente no dispone de una directiva de seguridad, tendrá que crear una. Los elementos que identifique su evaluación de riesgos de ingeniería social serán un comienzo, pero tendrá que tener en cuenta otras posibles amenazas.
Para obtener más información acerca de las directivas de seguridad, consulte el sitio web sobre seguridad de Microsoft en www.microsoft.com/security (puede estar en inglés).
Creación de un marco de administración de la seguridad
Un marco de administración de la seguridad define una visión general de las posibles amenazas que suponen para su organización la ingeniería social y asigna funciones con puestos responsables del desarrollo de directivas y procedimientos que mitiguen esas amenazas. Este método no significa que tenga que contratar a personal cuyas únicas funciones sean asegurar la seguridad de los activos de la empresa. Si bien este método puede ser una opción en grandes organizaciones, resulta poco viable o deseable tener asignadas esas funciones en las medianas empresas. El requisito consiste en asegurarse de que un grupo de personas asuma las responsabilidades clave de las siguientes funciones de seguridad:
Patrocinador de seguridad. Miembro de la directiva, probablemente del consejo, que pueda tener la autoridad necesaria para asegurar que todo el personal asuma con seriedad el tema de la seguridad.
Administrador de seguridad. Empleado de la directiva que tiene la responsabilidad de orquestar el desarrollo y mantenimiento de una directiva de seguridad.
Empleado de seguridad de TI. Empleado técnico que tiene la responsabilidad de desarrollar la infraestructura de TI y las directivas y procedimientos de seguridad operativos.
Empleado de seguridad de las instalaciones. Miembro del equipo de instalaciones responsable de desarrollar directivas y procedimientos del sitio y operativos.
Empleado de concienciación sobre la seguridad. Miembro de la directiva, normalmente del departamento de recursos humanos o de desarrollo de personal, responsable del desarrollo y la ejecución de campañas de concienciación sobre la seguridad.
Este grupo, el comité de control de seguridad, representa a los moderadores de la compañía. Como responsables seleccionados para la seguridad, este comité debe establecer los principales objetivos del marco de administración de la seguridad. Sin un conjunto de objetivos definibles, es difícil fomentar la participación del resto del personal o medir el éxito del proyecto. La tarea inicial del comité de control de seguridad es identificar las vulnerabilidades de ingeniería social que existen en la compañía. Una sencilla tabla como la siguiente le permitirá hacerse rápidamente una idea de estos vectores de ataque.
Tabla 9. Vulnerabilidades vectoriales de los ataques de ingeniería social a compañías
| Vector de ataque | Descripción de uso de la compañía | Comentarios |
|---|---|---|
| En línea | ||
| Correo electrónico | Todos los usuarios tienen Microsoft Outlook® en sus equipos de escritorio. | |
| Internet | Los usuarios móviles tienen Outlook Web Access (OWA) además de acceso al cliente de Outlook. | |
| Aplicaciones emergentes | Actualmente no se implementa ninguna barrera tecnológica contra los elementos emergentes. | |
| Mensajería instantánea | La compañía permite el uso no administrado de una serie de productos de mensajería instantánea. | |
| Teléfono | ||
| Central de conmutación (PBX) | ||
| Servicio de ayuda | Actualmente el “servicio de ayuda” es una función de soporte informal que ofrece el departamento de TI. | Necesitamos ampliar los servicios de soporte para que incluyan otras áreas adicionales a la de TI. |
| Gestión de residuos | ||
| Interno | Todos los departamentos gestionan sus propios residuos. | |
| Externo | Los contenedores están situados fuera de las instalaciones de la compañía. La recogida de basura se produce los jueves. | Actualmente no tenemos espacio para contenedores dentro de las instalaciones. |
| Contactos directos | ||
| Seguridad física | ||
| Seguridad de la oficina | Todas las oficinas permanecen abiertas durante el día. | El 25% del personal trabaja desde casa. No contamos con estándares escritos para la seguridad de los trabajadores en casa. |
| Trabajadores en casa | No tenemos protocolos de mantenimiento in situ para los trabajadores en casa. | |
| Otros, específicos de la compañía | ||
| Franquicias internas | Todo el catering lo realiza una franquicia. | No sabemos nada sobre este personal y no hay ninguna directiva de seguridad para ellos. |
| Vector de ataque | Posible requisito de directiva | Tipo de riesgo Información confidencial Credibilidad comercial Disponibilidad comercial Recursos Dinero | Nivel de riesgo Alto = 5 Bajo = 1 | Acción |
|---|---|---|---|---|
| Conjunto escrito de directivas de seguridad frente a la ingeniería social | ||||
| Cambios para crear la parte de cumplimiento de la directiva del contrato del empleado estándar | ||||
| Cambios para crear la parte de cumplimiento de la directiva del contrato del contratista estándar | ||||
| En línea | ||||
| Correo electrónico | Directiva sobre los tipos de archivos adjuntos y cómo tratarlos | |||
| Internet | Directiva de uso de Internet | |||
| Aplicaciones emergentes | Directiva sobre el uso de Internet, con una especial atención en qué hacer con los cuadros de diálogo inesperados | |||
| Mensajería instantánea | Directiva sobre los clientes de mensajería instantánea admitidos y permitidos | |||
| Teléfono | ||||
| Central de conmutación (PBX) | Directiva sobre la administración del soporte de centrales PBX | |||
| Servicio de ayuda | Directiva para permitir el acceso a los datos | |||
| Gestión de residuos | ||||
| Papel | Directiva para la gestión de residuos de papel | |||
| Directrices para la gestión de contenedores | ||||
| Medios electrónicos | Directiva para la gestión de los materiales de residuo de medios electrónicos | |||
| Contactos directos | ||||
| Seguridad física | Directiva para la administración de visitas | |||
| Seguridad de la oficina | Directiva para la administración de Id. de usuario y contraseñas: no escribir las contraseñas en una nota adhesiva ni pegarla a la pantalla, por ejemplo. | |||
| Trabajadores en casa | Directiva para el uso de equipos móviles fuera de la compañía | |||
| Otros/ específicos de la compañía |
||||
| Franquicias internas | Directa para conocer los antecedentes de los empleados de franquicias internas |
| Requisito de directiva | Procedimiento / documento necesario | Acción / fecha |
|---|---|---|
| Conjunto escrito de directivas de seguridad frente a la ingeniería social | Ninguna | |
| Cambios para crear la parte de cumplimiento de la directiva del contrato del empleado estándar |
|
|
| Cambios para crear la parte de cumplimiento de la directiva del contrato del contratista estándar |
|
|
| Directiva para la administración de visitas |
|
|
| Directrices para la gestión de contenedores |
|
|
| Directiva para permitir el acceso a los datos | ||
| Directiva para la gestión de residuos de papel | ||
| Directiva para la gestión de los materiales de residuo de medios electrónicos | ||
| Directiva para el uso de Internet, con una atención especial en lo que hacer con cuadros de diálogo inesperados | ||
| Directiva para la administración de Id. de usuario y contraseñas: no escribir las contraseñas en una nota adhesiva ni pegarlas a la pantalla, etc. | ||
| Directiva para el uso de equipos móviles fuera de la compañía | ||
| Directiva para tratar los problemas relacionados con la conexión a aplicaciones relacionadas (bancarias, financieras, de compra, de administración de existencias) |
| Vector de ataque | Descripción de uso de la compañía | Comentarios |
|---|---|---|
| En línea | ||
| Correo electrónico | ||
| Internet | ||
| Aplicaciones emergentes | ||
| Mensajería instantánea | ||
| Teléfono | ||
| Central de conmutación (PBX) | ||
| Servicio de ayuda | ||
| Gestión de residuos | ||
| Interno | ||
| Externo | ||
| Contactos directos | ||
| Seguridad física | ||
| Seguridad de la oficina | ||
| Otros/específicos de la compañía |
| Vector de ataque | Posible requisito de directiva | Tipo de riesgo Información confidencial Credibilidad comercial Disponibilidad comercial Recursos Dinero | Nivel de riesgo Alto = 5 Bajo = 1 | Acción |
|---|---|---|---|---|
| En línea | ||||
| Teléfono | ||||
| Gestión de residuos | ||||
| Contactos directos | ||||
| Otros/ específicos de la compañía |
||||
| Requisito de directiva | Procedimiento / documento necesario | Acción en / fecha |
|---|---|---|
| Acción | Descripción | Acción en / fecha |
|---|---|---|
| Desarrollar directivas de seguridad en línea | ||
| Desarrollar directivas de seguridad física | ||
| Desarrollar directivas de seguridad telefónica | ||
| Desarrollar directivas de seguridad de gestión de residuos | ||
| Desarrollar directivas de administración de seguridad del servicio de ayuda | ||
| Desarrollar un modelo de respuesta a incidentes | ||
| Desarrollar una campaña de concienciación | ||
| ... |
| Representante del servicio de ayuda | |
| Nombre de la persona objeto del ataque | |
| Departamento objeto del ataque | |
| Fecha | |
| Vector de ataque | |
| Descripción del ataque | |
| Resultado del ataque | |
| Efecto del ataque | |
| Recomendaciones, |
| Término | Definición |
|---|---|
| acceso | En el contexto de la privacidad, capacidad de un individuo de ver, modificar y comprobar la precisión e integridad de la información personal identificable recopilada sobre él o ella. El acceso forma parte de las prácticas de información justas. |
| software antivirus | Programa informático diseñado para detectar y responder al software malintencionado, como virus y gusanos. Entre las respuestas se pueden incluir el bloqueo del acceso del usuario a los archivos infectados, la limpieza de los archivos o equipos infectados o la notificación al usuario que se detectó un programa infectado. |
| ataque | Intento deliberado de poner en peligro la seguridad de un sistema informático o de privar a los demás usuarios del uso del sistema. |
| autenticación | Proceso de validación de las credenciales de una persona, proceso informático o dispositivo. Para la autenticación se necesita que la persona, proceso o dispositivo que realiza la solicitud proporcione una credencial que demuestre que se trata en realidad de la entidad o persona que dice ser. Entre las formas habituales de credenciales se incluyen las firmas digitales, las tarjetas inteligentes, los datos biométricos y una combinación formada por los nombres de usuario y sus contraseñas. |
| autorización | Proceso por el que otorga a una persona, proceso informático o dispositivo acceso a determinada información, servicios o funcionalidades. La autorización se obtiene de la identidad de la persona, proceso informático o dispositivo que solicita el acceso, lo que se verifica mediante la autenticación. |
| administración de cambios | Práctica de administración de cambios con la ayuda de métodos y técnicas probados con el fin de evitar nuevos errores y reducir el impacto de los cambios. |
| seguridad del equipo | Protección de los activos de información mediante tecnología, procesos y aprendizaje. |
| pirata informático | Malhechor que entra en un equipo mediante estrategias tecnológicas y no de ingeniería social. |
| descargar | Transferir una copia de un archivo de un equipo remoto a un equipo que realiza la solicitud mediante un módem o una red. |
| extranet | Extensión de la intranet de una organización que se usa para facilitar la comunicación con los socios de confianza de la misma. Una extranet permite que estos socios de confianza obtengan acceso limitado a los datos comerciales internos de la organización. |
| firewall | Solución de seguridad que segrega una parte de una red de otra, lo que permite que sólo pase el tráfico de red autorizado según unas reglas de filtrado del tráfico. |
| malware | Software que cumple la intención deliberada de un atacante de producir daños cuando se ejecuta. Por ejemplo, los virus, gusanos y caballos de Troya constituyen código malintencionado. |
| inicio de sesión de red | Proceso de conexión a un equipo mediante una red. Normalmente, el usuario inicia sesión de forma interactiva en un equipo local y, a continuación, proporciona las credenciales de inicio de sesión a otro equipo de la red, como un servidor, que está autorizado a usar. |
| contraseña | Cadena de caracteres que un usuario escribe para verificar su identidad en una red o en un equipo local. Consulte también contraseña segura. |
| permisos | Autorización para realizar operaciones relacionadas con un recurso compartido específico, como un archivo, un directorio o una impresora. Los permisos los debe otorgar el administrador del sistema a cuentas de usuario individuales o grupos administrativos. |
| número de identificación personal (PIN) | Código de identificación secreto similar a una contraseña y que se asigna a un usuario autorizado. El PIN se usa junto con una tarjeta de cajero o inteligente, por ejemplo, para desbloquear una funcionalidad autorizada, como el acceso a una cuenta bancaria. |
| información personal identificable | Cualquier información relacionada con un individuo identificado o identificable. Esta información puede incluir: el nombre, el país, la dirección postal, la dirección de correo electrónico, el número de la tarjeta de crédito, el número de la Seguridad Social, el número del documento nacional de identidad, la dirección IP o cualquier otro identificador único relacionado con esta información personal identificable en otro sistema. También conocida como información personal o datos personales. |
| información personal | Consulte información personal identificable. |
| phreaker | Usuario malintencionado que usa de forma no autorizada la central de conmutación (PBX) para realizar llamadas. |
| timador | Usuario o sitio web malintencionado que engaña a las personas para que revelen información personal, como las contraseñas de sus cuentas y los números de sus tarjetas de crédito. Un timador suele usar mensajes de correo electrónico engañosos o anuncios en línea como anzuelo para que los usuarios confiados usen sitios web fraudulentos, donde se les engaña para que proporcionen información personal. |
| vulnerabilidad física | Imposibilidad de proporcionar seguridad física a un equipo, como dejar una estación de trabajo en funcionamiento desbloqueada en un área de trabajo, lo que permite el acceso a la misma de usuarios no autorizados. |
| privacidad | Control que los clientes tienen sobre la recopilación, uso y distribución de su información personal. |
| vulnerabilidad de seguridad | Vulnerabilidad del software que se soluciona con una actualización de seguridad de Microsoft y un boletín de seguridad o Service Pack. |
| correo no deseado | Mensajes de correo electrónico comercial no solicitado. También conocido como correo electrónico no deseado. |
| suplantar | Hacer que una transmisión parezca provenir de un usuario que no es el que realizó la acción. |
| software espía | Software que puede mostrar anuncios (como anuncios emergentes), recopilar información sobre el usuario o incluso cambiar la configuración del equipo, generalmente sin obtener antes su consentimiento. |
| contraseña segura | Contraseña que ofrece una defensa efectiva frente al acceso no autorizado a un recurso. Una contraseña segura tiene al menos 6 caracteres de longitud, no contiene ni la totalidad ni parte del nombre de la cuenta de usuario y contiene al menos tres de las cuatro categorías siguientes de caracteres: letras mayúsculas, letras minúsculas, dígitos en base 10 y símbolos del teclado como !, @ y #. |
| caballo de Troya | Programa que parece ser útil o inofensivo, pero que contiene código oculto diseñado para explotar o dañar el equipo en el que se ejecuta. Los programas de caballos de Troya suelen llegar a los usuarios mediante mensajes de correo electrónico que engañan sobre la función y objetivo del programa. También se denominan código troyano. |
| actualización | Paquete de software que sustituye a una versión instalada por una más reciente del mismo software. El proceso de actualización suele dejar intactos los datos y preferencias existentes del cliente y sólo sustituye el software existente por el de una versión más actual. |
| Id. del usuario | Nombre único con el que un usuario puede iniciar sesión en un equipo. |
| virus | Código escrito con la intención específica de autorreplicarse. Un virus intenta propagarse de un equipo a otro adjuntándose a un programa del host. Puede dañar el hardware, el software o los datos. Similar a un gusano. Consulte también la definición proporcionada por Virus Info Alliance (f-secure.com). |
| vulnerabilidad | Cualquier debilidad, proceso o acto administrativo o exposición física que hace que un equipo pueda ser objeto de una amenaza. |
| gusano | Código malintencionado que se autopropaga y que puede distribuirse automáticamente de un equipo a otro sin conexiones de red. Un gusano puede realizar una acción dañina, por ejemplo, usar recursos del sistema local o de la red, lo que probablemente provoque un ataque de denegación de servicio. Similar a un virus. |