Ingeniería+social

media type="youtube" key="k0UJa3Yykgo" height="390" width="480" //__Ingeniería social__//



// I ngeniería social (seguridad informática) //
====// En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. //====



//Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque. // //La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales. // //La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas. // //Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios: // //1. Todos queremos ayudar. // //2. El primer movimiento es siempre de confianza hacia el otro. // //3. No nos gusta decir No. // //Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato. //

media type="custom" key="8801138" width="190" height="190" align="center"

//Teléfonos y Conmutadores //

//Una estafa común es hacer llamadas a través de los teléfonos o conmutadores (PBX) de una organización. Los atacantes pueden realizar una llamada haciéndose pasar por un funcionario, pedir que sea transferido a una línea externa y desde esta hacer llamadas a todo el mundo las cuales tendrá que pagar la Organización que fue víctima del engaño. Esto puede ser prevenido con la implementación de políticas que prohíban la transferencia de llamadas, restringiendo las llamadas de larga distancia y rastreando llamadas sospechosas. Si se llega a recibir una llamada de una persona argumentando ser empleado de la empresa de teléfonos y que además solicita algún password para obtener acceso a la red de la Organización, CUIDADO, está mintiendo!!! Todos los empleados deben ser informados de esta modalidad de estafa para evitar ser víctimas de esta táctica. //

// Detectar ataques de Ingeniería Social //

//Para frustrar un ataque de Ingeniería Social, es muy útil poder reconocer uno de ellos. Síntomas de que se está potencialmente siendo víctima de uno de estos ataques es rehusarse a dar información de contacto, pedir ser atendidos con la mayor rapidez posible, mencionar el nombre de algún funcionario de alto rango dentro de la organización, intimidación, pequeños errores de ortografía, preguntas inapropiadas, y claro está, pedir información confidencial. Hay que estar atento a situaciones que estén fuera de lugar, hay que intentar pensar como el atacante: para entender al enemigo, hay que pensar como el. //

//Las organizaciones pueden ayudar a incrementar la seguridad realizando programas de prevención, utilizando medios como la intranet para enviar emails informativos, juegos de entrenamiento en seguridad (sopa de letras, crucigramas, etc) y requerimientos obligatorios de cambios de contraseñas cada cierto periodo de tiempo. El mayor riesgo en seguridad es que los empleados se vuelvan complacientes en el tema y dejen de lado las prácticas de seguridad. //