Continuamente escuchamos en los medios de comunicación, robos a entidades bancarias vía internet, miles de personas afectadas, los ahorros de toda su vida desaparecen sin explicación , surge la pregunta ¿como lo hicieron?. La ingeniería social es parte de la respuesta, Kevin Mitnick hizo popular este término. La ingeniería social no solo es aplicada por los delincuentes informáticos, también es utilizada por los ladrones de toda la vida, cuando averiguan el nombre de los ocupantes de una casa y vigilan sus actividades diarias.
Como el caso de una señora que todos los años a una fecha determinada recibía la encomienda de una hija, cierto día dos hombres, con apariencia de mensajeros, llegaron a su casa y le informaron que llevaban una caja con ropa que enviaba su hija desde Los Ángeles, confiada les abrió la puerta, ellos entraron y en menos de cinco minutos robaron sus objetos de valor. En una posterior declaración la señora dijo: "No sé cómo averiguaron el nombre de mi hija; son astutos".
Lo cierto es que el criminal tiene éxito porque conoce a plenitud a su víctima; hay que desconfiar de todo, orientar bien a los empleados para que por ningún motivo abran la puerta a desconocidos o den información comprometedora. Y eso aplica para el ciberespacio y nuestra vida diaria. El siguiente es parte de un articulo redactado por Violeta Villar, para la agencia EFE, en él, Kevin Mitnick explica "Que es la ingeniería social".
Según Mitnick: La ingeniería social es una de las principales herramientas de un delincuente. Ese término se refiere a los sistemas de engaño que emplea el atacante para obtener información o bienes. "En muchas empresas pretenden usar un firewall para protegerse de ese tipo de agresiones, pero eso no es suficiente, dice Mitnick.
El afirma que los ataques a compañias no sólo tienen un fundamento tecnológico. "Atribuyo al error humano el conocimiento que tienen los hackers de ciertas situaciones internas, lo cual favorece el acceso a las bases de datos o a sistemas que en teoría son seguros. Los ingenieros sociales tienen cientos de trampas guardadas en la manga", dice. En materia de métodos no todo está escrito, pero Mitnick dio el ejemplo del truco que usó con Motorola: "Mi objetivo era conocer el código fuente del proyecto ultratack (de telefonía móvil). Así que llame por teléfono y fingí ser otro empleado de la empresa. Un contacto me llevó a otro y, al final, logré hablar con la gerente, quien me facilitó el código fuente (las instrucciones originales con las que se crea un programa). Yo no quería venderlo ni nada, mi único interés era ver ese código".
En opinión de Mitnick hay varios factores que hacen vulnerable una organización: "Primero, la gente tiene mucha confianza en los demás; solemos creer lo que nos dice la otra persona. Segundo, hay miedo de perder el trabajo; el atacante puede identificarse como un ejecutivo y esta condición obliga al empleado a actuar de acuerdo con sus órdenes". En las compañias grandes no hay suficiente contacto humano. Cualquiera de la noche a la mañana puede disfrazar sus intenciones de robo con el uniforme del mensajero o del vigilante.
También puede ocurrir cuando las empresas tienen una alta rotación de personal; las caras nuevas pasan y entre ellas puede aparecer el delincuente" dijo Mitnick. Agregó que las situaciones parecen insólitas, pero ocurren. Un hacker disfrazado de mensajero es capaz de entrar con un computador portátil, conectarlo a la red de la oficina y permanecer varias horas ante la vista de todos.
Como el caso de una señora que todos los años a una fecha determinada recibía la encomienda de una hija, cierto día dos hombres, con apariencia de mensajeros, llegaron a su casa y le informaron que llevaban una caja con ropa que enviaba su hija desde Los Ángeles, confiada les abrió la puerta, ellos entraron y en menos de cinco minutos robaron sus objetos de valor. En una posterior declaración la señora dijo: "No sé cómo averiguaron el nombre de mi hija; son astutos".
Lo cierto es que el criminal tiene éxito porque conoce a plenitud a su víctima; hay que desconfiar de todo, orientar bien a los empleados para que por ningún motivo abran la puerta a desconocidos o den información comprometedora. Y eso aplica para el ciberespacio y nuestra vida diaria. El siguiente es parte de un articulo redactado por Violeta Villar, para la agencia EFE, en él, Kevin Mitnick explica "Que es la ingeniería social".
Según Mitnick: La ingeniería social es una de las principales herramientas de un delincuente. Ese término se refiere a los sistemas de engaño que emplea el atacante para obtener información o bienes. "En muchas empresas pretenden usar un firewall para protegerse de ese tipo de agresiones, pero eso no es suficiente, dice Mitnick.
El afirma que los ataques a compañias no sólo tienen un fundamento tecnológico. "Atribuyo al error humano el conocimiento que tienen los hackers de ciertas situaciones internas, lo cual favorece el acceso a las bases de datos o a sistemas que en teoría son seguros. Los ingenieros sociales tienen cientos de trampas guardadas en la manga", dice. En materia de métodos no todo está escrito, pero Mitnick dio el ejemplo del truco que usó con Motorola: "Mi objetivo era conocer el código fuente del proyecto ultratack (de telefonía móvil). Así que llame por teléfono y fingí ser otro empleado de la empresa. Un contacto me llevó a otro y, al final, logré hablar con la gerente, quien me facilitó el código fuente (las instrucciones originales con las que se crea un programa). Yo no quería venderlo ni nada, mi único interés era ver ese código".
En opinión de Mitnick hay varios factores que hacen vulnerable una organización: "Primero, la gente tiene mucha confianza en los demás; solemos creer lo que nos dice la otra persona. Segundo, hay miedo de perder el trabajo; el atacante puede identificarse como un ejecutivo y esta condición obliga al empleado a actuar de acuerdo con sus órdenes". En las compañias grandes no hay suficiente contacto humano. Cualquiera de la noche a la mañana puede disfrazar sus intenciones de robo con el uniforme del mensajero o del vigilante.
También puede ocurrir cuando las empresas tienen una alta rotación de personal; las caras nuevas pasan y entre ellas puede aparecer el delincuente" dijo Mitnick. Agregó que las situaciones parecen insólitas, pero ocurren. Un hacker disfrazado de mensajero es capaz de entrar con un computador portátil, conectarlo a la red de la oficina y permanecer varias horas ante la vista de todos.
Mitnick propone lo siguiente a quienes le piden consejo: Establecer una politica de seguridad, clasificar la información, identificar a los empleados más susceptibles y entrenar al personal para que adquiera una conciencia del riesgo.
No hay comentarios.:
Publicar un comentario