Escolar Documentos
Profissional Documentos
Cultura Documentos
2/20/15
Frase
El ingeniero social emplea las mismas tcnicas de persuasin
que utilizamos todos los dems a diario. Adquirimos normas. Intentamos
ganar credibilidad. Exigimos obligaciones recprocas. Pero el ingeniero
social aplica estas tcnicas de una manera manipuladora, engaosa y
muy poco tica, a menudo con efectos devastadores.
2/20/15
Historia
En el verano de 2002, un consultor de seguridad que utiliza
el
sobrenombre "Whurley" fue contratado por un grupo de centros tursticos
de Las Vegas para realizar diferentes auditoras de seguridad. Estaban
rediseando su sistema de seguridad y lo contrataron para "intentar burlar
todas y cada una de las medidas" para ayudarles a construir una mejor
infraestructura de seguridad. Whurley tena una vasta experiencia tcnica,
pero poca experiencia en casinos.
Haba tomado la costumbre de comenzar un trabajo con anticipacin y
terminar antes de la fecha oficial de comienzo. Lo que haca era realizar la
auditora en las dos semanas previas a la fecha prevista.
2/20/15
Lo primero que observ era que la mayora de los empleados que vio
pareca "o que sehubieran quedado dormidos de pie o absolutamente
displicentes en su trabajo". Ambas actitudes los convertan en blancos
fciles hasta para el timo ms simple.
Se acerc a un empleado que pareca muy relajado y bast animarlo un
poco para que se mostrara voluntarioso a comentar los detalles de su
trabajo. Curiosamente, haba trabajado anteriormente para el casino que
haba contratado a Whurley. "Apuesto que el otro era mucho mejor",
pregunt Whurley.
El empleado respondi: "La verdad es que no. Aqu tenemos auditoras
en la sala todo el tiempo. En el otro sitio, apenas se enteraban si llegabas
un poco tarde y as en todo... relojes, tarjetas de identificacin, cuadrantes,
etc. La mano derecha no saba lo que haca la izquierda".
2/20/15
2/20/15
2/20/15
Durante la cena, Whurley le dijo que era nuevo en Las Vegas y que estaba
buscando un trabajo, que haba ido a una universidad importante y que se haba
licenciado en economa, pero que se haba mudado a Las Vegas despus de
romper con su novia. El cambio de vida le ayudara a superar la ruptura.
Entonces, l confes que le intimidaba intentar conseguir un trabajo de auditora
en Las Vegas porque no quera acabar "nadando con los tiburones". Ella pas
las dos horas siguientes insuflndole confianza y asegurndole que no debera
resultarle difcil conseguir un trabajo de economista. Con la intencin de
ayudarle, Lenore le facilit ms detalles sobre su trabajo y su empresa de los
que l necesitaba. "Ella fue lo mejor que me ha pasado hasta ahora en toda esta
experiencia y le pagu la cena con mucho gusto, que de todos modos iba a
pagar".
2/20/15
2/20/15
Una vez dentro, Whurley no saba hacia dnde ir, por lo que estuvo caminando
hasta encontrarse con la sala de monitoreo, diciendo al personal que miraran a
la chica del monitor 23 a lo que la multitud fij su atencin para ver qu tramaba
la chica.
Cuando Whurley se preparaba para salir, anunci: "Ah! Me he metido tanto en
la situacin que casi se me olvida presentarme. Soy Walter, estoy con Auditora
Interna. Me acaban de contratar para el departamento de Dan Moore", dijo
utilizando el nombre del director de Auditora Interna que haba obtenido en una
de sus conversaciones. "Nunca he estado en este centro y estoy un poco
perdido. Podran decirme cmo llegar a las oficinas de administracin?".
Los guardias estaban muy dispuestos a librarse de un ejecutivo, por lo que le
facilitaron la informacin.
2/20/15
2/20/15
2/20/15
2/20/15
2/20/15
le explic a Larry que necesitaba volver para quitar el punto de acceso que
haba dejado. "Para hacerlo necesitara una tarjeta y poder as volver al COR
y entrar y salir cuando quiera".
Larry se mostr un poco reticente a hacerlo, as que Whurley le
recomend que llamara a Richard de nuevo. Lo llam y le dijo que el
visitante quera que le emitieran una tarjeta; pero Richard tuvo una idea
mejor todava. Algunos empleados haban salido recientemente de la
empresa, sus placas estaban en el COR y nadie haba encontrado el
momento de desactivarlas, "podra utilizar una de sas
Entr una llamada para Larry, era su esposa,aparentemente enfadada y
disgustada por algn motivo. Whurley se agarr bien a esta situacin voltil
al darse cuenta de que poda sacar beneficio . despus le ofreci consejo
sobre lo importante que era para l tratar el problema con su esposa. Y se
prest a tomar una de las tarjetas si Larry le mostraba dnde estaban.
"As que Larry me acompa al archivador, abri un cajn y dijo
'elige una de sas'. Entonces volvi a su mesa y volvi al telfono. Me
fij en que no haba hoja de salida ni un registro Ahora tena una placa,
que le daba acceso al COR a cualquier hora.
2/20/15
2/20/15
2/20/15
2/20/15
Despus de haber terminado con eso, pens que sera divertido, y til,
intentar algo ms. Me acerqu a cada una de las personas con las que haba
estado en contacto y algunas de las que me haban visto brevemente con
otras personas y les dije alguna variante de: "Bien, ya he terminado. Me
haras un favor? Me gustara llevarme fotos de toda la gente y de los lugares
en los que he trabajado. Te importara hacerte una foto conmigo?" Y result
sorprendentemente fcil.
Algunos hasta se ofrecieron a hacerle fotos a l con otras personas de
oficinas cercanas. Adems, consigui tarjetas de identificacin, diagramas
de la red y acceso a la red del casino. Y tena fotos para probarlo todo.
En la reunin de revisin, el jefe de Auditora Interna se quej de que
Whurley no tena derecho a intentar acceder a los sistemas fsicamente
porque "no iba a ser as como los atacaran". Tambin dijeron a Whurley que
lo que hizo rayaba en lo "ilegal" y que el cliente no haba apreciado en
absoluto sus acciones.
2/20/15
2/20/15
Dilucidacin
Brad Sagarin, doctor en psicologa social y autor de un
estudio de la persuasin, Dr. Sagarin que nos describiera
los principios
psicolgicos en los que se fundamentan las tcticas ms
comunes de los
ingenieros sociales.
Credibilidad
Establecer la credibilidad constituye el primer paso en la mayora de
los ataques de ingeniera social.
El Dr. Sagarin identific tres mtodos a los que recurren los ingenieros
sociales para construir su credibilidad.
En un mtodo, el atacante dice algo que parece ir en contra
de su inters personal.
En el segundo mtodo, el atacante advierte a la vctima de algo que
(sin que la vctima lo sepa) ha provocado el propio atacante.
El tercero de estos mtodos, es en el que el atacante "confirma"
que merece credibilidad ayudando a la vctima a solventar un
problema.
El impulso de la conformidad
Los ingenieros sociales crean un impulso de conformidad
realizando una serie de peticiones, comenzando por las inofensivas.
Los ingenieros sociales utilizan con frecuencia la tctica de "una cosa
ms...
El deseo de ayudar
Los psiclogos han identificado muchos beneficios que recibe la
gente cuando ayuda a otras personas. Ayudar nos puede hacer sentir
que tenemos el poder. Nos puede hacer salir del mal humor. Nos
puede hacer sentirnos bien con nosotros mismos. Los ingenieros
sociales encuentran muchas formas de aprovechar nuestra inclinacin
a prestar ayuda.
Atribucin
La atribucin significa la forma en que la gente explica su propia
conducta y la de otras personas. Un objetivo del ingeniero social es
conseguir que la vctima se atribuya determinadas caractersticas, como son la
pericia, la honradez, la credibilidad o la facilidad para resultar simptico.
Ganarse la simpata
Miedo
Un ingeniero social har a veces creer a su vctima que algo horrible est a
punto de pasar, pero que el desastre inminente puede evitarse si la vctima
sigue las instrucciones del atacante. De esta forma,el atacante se sirve del
miedo como arma.
Los ataques basados en el estatus suelen servirse del miedo. Un ngeniero
social que se haga pasar por directivo de una empresa puede dirigirse a una
secretaria o a un empleado de menor rango con la exigencia de "urgente" y
con la insinuacin de que el subalterno podra
tener problemas o, incluso, ser despedido si no cumple la orden.
Reactancia
La reactancia psicolgica es la reaccin negativa que
experimentamos cuando sentimos que nos han arrebatado nuestra
capacidad de eleccin y nuestras libertades. Cuando nos encontramos
sumidos en la reactancia, perdemos el sentido de la perspectiva
porque nuestro deseo de recuperar lo que hemos perdido lo eclipsa
todo.
Contramedidas
Directrices para la formacin
Despertar la conciencia de que es prcticamente seguro que los
ingenieros sociales atacarn su compaa en alguna ocasin y,
quizs, repetidas veces.
Hacer una representacin para demostrar la
vulnerabilidad personal a las tcnicas de ingeniera
social y formar a los empleados para oponer resistencia.
Inducir a los empleados a pensar que se sentirn
humillados si se dejan manipular por un ataque de
ingeniera social despus del seminario.
2/20/15
2/20/15
2/20/15
La ultima lnea
En nuestro primer libro juntos, Bill Simn y yo calificamos la
ingeniera social como el "punto dbil de la seguridad de la informacin".
Tres aos despus, qu nos encontramos? Empresas y ms
empresas que implementan tecnologas de seguridad para proteger sus
recursos informticos contra la invasin tcnica de los hackers o de
espas industriales contratados y que mantienen una fuerza de seguridad
fsica efectiva para protegerse contra las entradas no autorizadas.
Pero tambin encontramos que se presta poca atencin a
contraatacar las amenazas que suponen los ingenieros sociales. Es
primordial formar a los empleados en materia de amenazas y formas en
que deben protegerse a s mismos para no ser embaucados y terminar
ayudando a los intrusos. Defenderse de las vulnerabilidades de fondo
humano es un reto considerable. Proteger a la organizacin para que no
sea vctima de hackers mediante tcticas de ingeniera social debe ser
responsabilidad de todos y cada uno de los empleados, incluso de los que
no utilizan ordenadores en el desempeo de sus funciones. Los directivos
son vulnerables, la gente que est en primera lnea es vulnerable, los
operadores de la centralita son vulnerables, los recepcionistas, el personal
de limpieza, el personal del aparcamiento y, por encima de todo, los
empleados recin llegados, todos pueden ser utilizados por ingenieros
sociales como un paso ms hacia la consecucin de su propsito ilcito.
Se ha demostrado que el factor humano es el punto dbil de la
seguridad de la informacin desde siempre. La pregunta del milln es:
va a ser usted el punto dbil de su empresa que puede aprovechar un
ingeniero social?