“Buenos días, le llamo por la incidencia que tenía en su equipo…”
Este enunciado simbólico hace referencia a la ingeniería social o el proceso de “engañar” a una persona para obtener información de un usuario, como puede ser su contraseña suplantando a una determinada persona mediante una llamada telefónica, correo electrónico o de manera física aparentando ser otra persona (servicio de mantenimiento, consultor,…).
En algunas pruebas de hacking ético se intenta obtener un mayor acceso a diferentes ubicaciones físicas donde no debería tener acceso como Centros de Procesamiento de Datos, Centros de I+D, Despachos de gerencia u obtener contraseñas de usuarios para acceder a diferentes sistemas de información o el robo de información de cuentas bancarias a través del phishing.
¿Por qué se consiguen resultados? Porque en cualquier cadena de seguridad, el usuario es el eslabón mas débil y sin tener una correcta formación es mas fácil obtener información a través de él.
¿Cómo combatir la ingeniería social? No existe una fórmula mágica pero el primer paso está claro es definir una política de seguridad donde se describe qué se puede y no se puede hacer. Desde un punto de seguridad física, habrá que tener controlados los accesos físicos y cualquier persona que entre a las oficinas debe ser registrada y controlada, pero lo más importante es la formación continua de los empleados en las diferentes temáticas relativas a la seguridad de la información.
Una buena práctica en las empresas es realizar un ataque de ingeniería social tanto desde un punto de vista físico (acceso a las instalaciones de la organización, descubrimiento del CPD,..) como desde el punto de vista lógico (obtención de contraseñas, identificación de la red interna) únicamente con el conocimiento de personas claves dentro de la organización.
Javier Allende
Enviar comentarios