Los delincuentes informáticos siempre buscan formas para acceder a la información de forma no autorizada y obtener beneficios económicos. Muchas de las técnicas que utilizan están relacionadas con el acceso a los sistemas informáticos mediante la explotación de alguna vulnerabilidad no atendida, no obstante, en ocasiones los sistemas están bien asegurados y sin embargo el delincuente logra ingresar en el sistema mediante el uso de credenciales válidas obtenidas de manera fraudulenta de un usuario autorizado, a esto se le conoce como ingeniería social.
La ingeniería social es una técnica utilizada desde hace mucho tiempo para "hackear el sistema operativo humano" es decir hacer que las personas realicen acciones no deseadas que puedan llegar a poner en riesgo la información personal o de la organización.
Los objetivos que persigue la ingeniería social son los mismos que tiene el "hacking": ganar acceso no autorizado a sistemas informáticos, redes, datos digitales o información y esta dirigida generalmente a organizaciones que pueda llegar a tener información de interés para el atacante.
Existen un gran numero de situaciones en las cuales se puede poner en riesgo información confidencial, estas son solo algunas de ellas:
Almuerzo de trabajo en sitios públicos: es impresionante la cantidad de información que se puede reunir en un restaurante, muchos de los empleados hablas acerca de nuevos proyectos, futuros negocios, nuevas contrataciones o despidos. Evite hablar de asuntos confidenciales en sitios públicos incluido el transporte público.
Reutilización de papel impreso: preste atención cuando se reimprime en papel utilizado para ahorrar dinero y ser ecológico, en algunas ocasiones la información que esta en el otro lado de la página puede ser importante, por ello, las destructoras de papel son de gran ayuda y los residuos se pueden reciclar.
Información confidencial en la basura: mucha de la información confidencial de la organización es impresa, y esta se desecha al tacho de la basura directamente, nuevamente se recomienda una destructora de papel.
Puestos de trabajo con información confidencial expuesta: anteriormente se requería que el atacante robara documentos físicos para extraer información, hoy en día basta con un dispositivo móvil para tomar fotografías de la información confidencial y nadie sospechará del robo. Mantenga una política de escritorios limpios, bloquee la pantalla de su ordenador cada vez que se ausente de su puesto y manténgase alerta de personas desconocidas cerca de las oficinas.
Existen un gran número de situaciones adicionales donde un delincuente puede llegar a intentar obtener datos, estas son algunas de ellas: phishing, tailgating, shulder surfing, dumpster diving entre otros.
El perpetrador experto en estas técnicas también puede llegar a tener dotes de carisma, persuasión y manipulación para intentar obtener información de empleados y contratistas.
La mejor manera de proteger a la organización contra los ataques de ingeniería social es mantener el personal capacitado y concientizado, por ello, incluir charlas regulares y campañas recurrentes acerca de este tema, mantendrá a su personal alerta para detectar esta clase de amenazas.
Recuerde que el empleado es el eslabón más débil de la cadena de seguridad, capacitarlo, aumentará la seguridad de su organización.
No hay comentarios:
Publicar un comentario