Central: (511) 627-5520 anexo 113
Celular: (511) 99744-4332
contacto@tecnologia.com.pe
RSS RSS
 
Lima, 17 de Diciembre de 2018
TECNOLOGIA Y NEGOCIOS
Por: Dante Passalacqua
RSS RSS
Ingenieria Social
09-MAR-2010 00:00 hrs

Se puede decir que la Ingeniería Social es el arte de manipular a los recursos humanos para obtener datos confidenciales que permitan tener acceso a determinada información.

Los ingenieros sociales son personas que, a través de engaños, gran ingenio y manipulación psicológica, influencian a los empleados para que les muestren datos que les permitirán penetrar a un sistema informático o acceder a información confidencial.
Puede tratarse de hackers, empleados disgustados, criminales e incluso espías industriales.

Es habitual que el intruso cuente con una meta concreta, como puede ser obtener un código fuente, una lista de clientes, datos financieros,  planes de marketing, o planos de proyecto, como ocurre en el espionaje industrial.

Se recurre a técnicas de Ingeniería Social porque su efectividad es cercana al 100%. No hay dispositivos que puedan detectar o detener este tipo de ataques. Además, el costo es bajo (dependerá del tiempo y dedicación asignado al objetivo), y el riesgo para el atacante es menor porque no deja huellas auditables.

Este tipo de amenazas son muy efectivas porque la gente no está enterada de su existencia, en realidad nos las espera. No hay conciencia acerca del valor real de la información.

Es el ambiente del negocio lo que determina la exposición de las empresas a este tipo de ataques. El trabajo con personal externo que tiene acceso a recursos de la organización, la existencia de sucursales, y la interacción virtual con socios de negocios son algunos de los factores que tornan vulnerables a las organizaciones.
 
Aquellos ataques con mayor planificación son los que causan mayor impacto o daño. Para recolectar información relevante es común utilizar Internet con el propósito de  obtener datos disponibles, revisar archivos corporativos y cosechar información del personal. Es común que el atacante vulnere un sitio público de Internet que no tiene ninguna relación con la empresa objetivo, con el fin de obtener información de alguna persona de la compañía, por ejemplo, los foros, los blogs e incluso los sitios de e-business.

Otra fuente de información, menos común, pero muchas veces efectiva, es la denominada Dumpster Diving o revisión de basura y desechos. Revolviendo lo que los empleados descartan se pueden encontrar planes de negocio, correspondencia, manuales, calendarios, propuestas comerciales e incluso listas de usuarios y contraseñas.

Entre las recomendaciones básicas para evitar ataques de Ingeniería Social en las empresas se encuentran: poseer una clara política de seguridad, la cual deberá estar vigente y comunicada en toda la organización. Concientizar a los empleados en materia de seguridad, analizar las vulnerabilidades de la compañía, e identificar el grado de exposición de la misma. Contar con activos de información inventariada,  realizar campañas que comprometan al personal de la empresa, evitar la fuga de información, recompensar a los empleados que cumplan los lineamientos de seguridad y realizar actividades de simulación de ataques a través de técnicas de ingeniería social.

Por: Dante Passalacqua
Vicepresidente de Glotal Crossing Perú

Compartir
Regresar
COMENTAR

     
     
Nombre
 
     
Comentario
 
     
ingrese el codigo dela imgen
 
 
     
   

Dante Passalacqua

Dante Passalacqua Zegarra - Vicepresidente Global Crossing Perú
• Ingeniero Industrial de la Universidad de Lima.
• Estudios de especialización de Marketing en ESAN.
• Certificaciones: MCSE – Microsoft Certified Systems Engineer, CCSE – Check Point Certified Security Engineer, MCT – Microsoft Certified Trainer.
• Profesor de pre-grado de Facultad de Sistemas de la UPC.
• Experiencia de 25 años en temas de Informática y 13 años en Telecomunicaciones.
• Trabaja en Global Crossing desde el año 1999.


Tecnologia.Com