miércoles, 12 de setiembre de 2007

El concepto de Ingeniería Social



Según Wikipedia se ha definido la ingeniería social como el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social.


Un ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, luego de que los primeros e-mails maliciosos llevaron a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar los archivos adjuntos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, cliquean ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.


Uno de los exponentes de la ingenería social es Kevin Mitnick nació en 1965 en Los Angeles, Estados Unidos, pero sus aventuras en el mundo del hackeo comenzaron en 1982, cuando tenía sólo 17 años. Sus primeros pasos "tecnológicos" los dio en una disciplina, un tanto olvidada hoy en día, llamada “Phone Phreaker”, que consiste en conseguir llamadas de larga distancias gratis a todo el mundo, realizando también una serie de "bromas" como desviar llamados o colapsar ciertas centralitas, ejercicios que no eran muy simpáticos para las compañías de teléfonos como Pacific Bell. Para lograr estos primeros hackeos Mitnick se “consiguió” los manuales de los operadores y así logró burlar la seguridad.

El experto llama la atención sobre el poco cuidado que se pone en elegir el lugar donde guardar nuestras passwords, las conversaciones telefónicas que realizamos en lugares públicos e incluso donde se bota la basura de las grandes compañías. Sobre esto y más se refiere en su libro más reciente y que se ha transformado en un "bestseller", "The art of Deception".


Estos términos hoy toman relevancia cuando gran parte de los ataques de ingeniería afectan a personas que inocentemente entregan sus datos como clave y password. Las personas requieren que se les instruya, capacite y eduque en los riesgos que tiene internet para saber hacer frente a ellos. Especialmente frente a los ataques de phishing a los que nos vemos expuestos.

No hay comentarios.: