Ingeniería social: El arte de manipular Recursos Humanos

La ingeniería social es el arte de manipular a los recursos humanos para obtener datos confidenciales que permitan tener acceso a determinada información.

Consiste en la ejecución de maniobra con el objetivo de incitar a las personas a que voluntariamente realicen actos que normalmente no harían. Un intruso habitualmente utiliza esta técnica con el fin de conseguir información (usuarios y claves de acceso) para ingresar al sistema de una organización.

Los ingenieros sociales son personas que a través de engaños, gran ingenio y manipulación psicológica, influencian a los empleados para que les develen datos elementales que les permitirán penetrar a un sistema informático o acceder a información confidencial que puede estar disponible en diferentes formatos.

Puede tratarse de hackers, empleados disgustados, criminales e incluso espías industriales.

Es habitual que el intruso cuente con una meta concreta, como puede ser obtener un código fuente, una lista de clientes, datos financieros, planes de marketing e incluso planos de un desarrollo como ocurre en el espionaje industrial.

Para cumplir con estos objetivos, los atacantes recurren a diferentes métodos, como descubrir o cambiar contraseñas a un valor conocido, crear cuentas de usuario o administrador, inducir la ejecución de programas, como ser Keyloggers, Troyanos, Spywares, e inclusive hacer uso de técnicas como el Phishing y el Pharming.

Se recurre a técnicas de ingeniería social porque estas tienen gran probabilidad de éxito, su efectividad es cercana al 100%. No hay dispositivos que puedan detectar o detener este tipo de ataques. Además, el costo es bajo (dependerá del tiempo y dedicación asignado al objetivo), y el riesgo para el atacante es menor porque no deja huellas auditables.

Este tipo de amenazas son muy efectivas porque la gente no está enterada de su existencia, en realidad nos las espera. No hay conciencia acerca del valor real de la información y de las consecuencias que una organización puede experimentar si sufre este tipo de ataques.

Hay información que por sí sola puede parecer insignificante, pero que si se la complementa con otra es extremadamente valiosa. Porciones aisladas de datos funcionando colectivamente pueden se letales.

Es el ambiente de negocio lo que determina la exposición de las empresas a este tipo de ataques. El trabajo con personal externo que tiene acceso a recursos de la organización, la existencia de muchas sucursales y la interacción virtual con socios de negocios son algunos de los factores que tornan vulnerables a las organizaciones.

La ingeniería social es una ciencia que requiere preparación. Por ejemplo, cuando uno se plantea conseguir la información de una compañía, lleva a cabo un estudio previo para identificar los hábitos y gustos de las víctimas, para saber por donde iniciar los acercamientos y comenzar, lentamente, a ganar su confianza.

Aquellos ataques con mayor planificación son los que causan mayor impacto o daño. Para recolectar información relevante es común utilizar Internet con el propósito de obtener datos disponibles, revisar archivos corporativos y cosechar información del personal. Es común que el atacante vulnere un sitio público de Internet que no tiene ninguna relación con la empresa objetivo, con el fin de obtener información de alguna persona de la compañía, es un ejemplo los foros, los blogs e incluso los sitios de e-business.

Otra técnica utilizada con este fin es revisar cuáles son las ofertas laborales que tiene vigentes la compañía y a través del análisis de las mismas detectar cómo funcionan determinadas áreas de la empresa o que sistemas utilizan para realizar procesos puntuales. Otro método usual, es hacerse pasar por un colaborador del área de sistemas, encargado de ofrecer soporte a los usuarios internos de la compañía.

Otra fuente de información, menos común pero muchas veces más efectiva, es la denominada Dumpster Diving o revisión de basura y desechos. Revolviendo lo que los empleados descartan se pueden encontrar planes de negocio, correspondencia, manuales, calendarios, memos, propuestas comerciales e incluso listas de usuarios y contraseñas.

En cuanto al modo de identificar un posible ataque, se recomienda estar alerta cuando se perciben requerimientos de información fuera de lo común, a través del correo, telefónicamente e incluso personalmente. Cuando se reciben ofrecimientos de ayuda para resolver problemas descocidos y cuando se experimenta una amabilidad excesiva por parte de alguna persona que no se manifiesta habitualmente de ese modo.

Entre las recomendaciones básicas para evitar ataques de Ingeniería Social en las empresas se encuentran: poseer una clara política de seguridad, la cual deberá estar vigente y comunicada en toda la organización. Concientizar a los empleados en materia de seguridad, analizar las vulnerabilidades de la compañía, e identificar el grado de exposición de la misma. Contar con activos de información inventariada, realizar campañas que comprometan al personal de la empresa, evitar la fuga de información, recompensar a los empleados que cumplan los lineamientos de seguridad y realizar actividades de simulación de ataques a través de técnicas de ingeniería social.

Marcelo Giménez
Director de Seguridad de Operaciones y Tecnología de Global Crossing para América Latina y el Caribe

Fuente:  www.identidadrobada.com/site/nota.php?idNota=2168