Ingeniera social (seguridad informtica)

De Wikipedia, la enciclopedia libre Para ver un trmino similar en una disciplina diferente vea Ingeniera social (ciencias polticas). En el campo de la seguridad informtica, ingeniera social es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informticos, para obtener informacin, acceso o privilegios en sistemas de informacin que les permitan realizar algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniera social es el que en cualquier sistema "los usuarios son el eslabn dbil". En la prctica, un ingeniero social usar comnmente el telfono o Internet para engaar a la gente, fingiendo ser, por ejemplo, un empleado de algn banco o alguna otra empresa, un compaero de trabajo, un tcnico o un cliente. Va Internet o la web se usa, adicionalmente, el envo de solicitudes de renovacin de permisos de acceso a pginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando as a revelar informacin sensible, o a violar las polticas de seguridad tpicas. Con este mtodo, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informticos. Quiz el ataque ms simple pero muy efectivo sea engaar a un usuario llevndolo a pensar que un administrador del sistema esta solicitando una contrasea para varios propsitos legtimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseas o informacin de tarjeta de crdito, con el motivo de "crear una cuenta", "reactivar una configuracin", u otra operacin benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas deberan ser advertidos temprana y frecuentemente para que no divulguen contraseas u otra informacin sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informticos raramente (o nunca) necesitan saber la contrasea de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podra no ser necesario en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estacin Waterloo de Londres revel sus contraseas a cambio de un bolgrafo barato. Otro ejemplo contemporneo de un ataque de ingeniera social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "ntimas" de alguna persona famosa o algn programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan cdigo malicioso (por ejemplo, usar la mquina de la vctima para enviar cantidades masivas de spam). Ahora, despus de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecucin automtica de archivos adjuntos, los usuarios deben activar esos archivos de forma explcita para que ocurra una accin maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque. La ingeniera social tambin se aplica al acto de manipulacin cara a cara para obtener acceso a los sistemas informticos. Otro ejemplo es el conocimiento sobre la vctima, a travs de la introduccin de contraseas habituales, lgicas tpicas o conociendo su pasado y presente; respondiendo a la pregunta: Qu contrasea introducira yo si fuese la vctima? La principal defensa contra la ingeniera social es educar y entrenar a los usuarios en el uso de polticas de seguridad y asegurarse de que estas sean seguidas. Uno de los ingenieros sociales ms famosos de los ltimos tiempos es Kevin Mitnick. Segn su opinin, la ingeniera social se basa en estos cuatro principios: 1. Todos queremos ayudar.

2. El primer movimiento es siempre de confianza hacia el otro. 3. No nos gusta decir No. 4. A todos nos gusta que nos alaben.

Vase tambin
Estafa nigeriana Phishing

Referencias
John Leyden, 18 de abril de 2003. Office workers give away passwords for a cheap pen (http://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/) (Oficinistas revelan contraseas) (en ingls). The Register (http://www.theregister.co.uk/). Kevin D. Mitnick, William L. Simon, Steve Wozniak. The Art of Deception: Controlling the Human Element of Security. John Wiley & Sons, 2002. ISBN 0-471-23712-4. SirRoss, 19 de enero de 2005. A Guide to Social Engineering, Volume 1 (http://www.astalavista.com/index.php?section=directory&linkid=3410) A Guide to Social Engineering, Volume 2 (http://www.astalavista.com/index.php?section=directory&linkid=3488). AstaLavista.

Enlaces externos
Social Engineering Fundamentals (http://www.securityfocus.com/infocus/1527) Informacin sobre ingeniera social y fraude de la Oficina de Seguridad del Internauta (http://www.osi.es/es/conoce-los-riesgos/fraude-ingenieria-social) Informe sobre como recopilar informacin de seguridad (http://cert.inteco.es/cert/Notas_Actualidad/intecocert_csirtcv_generalitat_valenciana_publican_informe_pentest_recoleccion_informacion_information_gathering_20111111) Human Security - Blog de Ingeniera Social en castellano (http://humansec.wordpress.com) Obtenido de http://es.wikipedia.org/w/index.php?title=Ingeniera_social_(seguridad_informtica)&oldid=67196864 Categoras: Problemas de seguridad informtica Engaos Esta pgina fue modificada por ltima vez el 27 mayo 2013, a las 08:38. El texto est disponible bajo la Licencia Creative Commons Atribucin Compartir Igual 3.0; podran ser aplicables clusulas adicionales. Lanse los trminos de uso para ms informacin. Wikipedia es una marca registrada de la Fundacin Wikimedia, Inc., una organizacin sin nimo de lucro.