miércoles, abril 20, 2005
Cuidado con su clave secreta
Las empresas se están preocupando cada vez más de los aspectos tecnológicos ligados a la seguridad de la información. Pero son pocas las que han avanzado en la protección ligada al factor humano.
Sólo cuatro horas demoró el gusano "ILoveYou" en convertirse en una infección mundial. Claro, antes de saber realmente de qué se trataba, fue imposible resistirse a la tentación de abrir un correo electrónico que decía sugerentemente "Te amo". Éste es un típico ejemplo de lo que se conoce como Ingeniería Social, una de las más antiguas técnicas de hackeo, que tiene como principal objetivo que la víctima haga, diga o deje de hacer algo, sin darse cuenta que está faltando a una política de seguridad de su empresa.
Se reconoce que existen serias vulnerabilidades y, en general, poco detectables en el factor humano de las organizaciones. Haciendo uso de ellas, los ataques de Ingeniería Social buscan romper la cadena de seguridad en su eslabón más débil y abundante, las personas.
Según Jorge Olivares, gerente de Educación de Neosecure, la Ingeniería Social "consiste en un conjunto de tácticas con las que se busca obtener información de otras personas sin que éstas perciban que están revelando información sensible o efectuando acciones no autorizadas. Se asocia al tradicional dicho de "lobos con piel de cordero". Por lo mismo, está muy asociada a lo que es el espionaje industrial o corporativo", explica el ejecutivo.
En la misma línea, Ricardo Acevedo, académico y doctor en Informática de la Universidad Técnica Federico Santa María, señala que la Ingeniería Social ha establecido métodos muy eficaces para minimizar las vulnerabilidades de las personas frente a diversas amenazas y frente a la seguridad. "En estos métodos, por ejemplo, es recurrente el considerar cómo un primer paso crear conciencia respecto de la necesidad de identificar y contener los distintos tipos de ataques a la seguridad en las empresas. Esta toma de conciencia debe ser universal, es decir, debe incluir a todos quienes formen parte de la organización, incluso a quienes no tienen acceso a los sistemas computacionales de la corporación".
El ejecutivo también agrega que hay que advertir a los empleados que son responsables directos del cuidado de su contraseña y de toda protección que se requiere en torno a ella.
Siempre hay que desconfiar
Un ejemplo clásico, comenta el ejecutivo, es el caso de un individuo que se hace pasar por un empleado del servicio técnico. "Me enviaron a revisar tu PC y necesito tu password", requiere el falso empleado. Así, fácilmente obtiene la información que necesita para entrar al sistema, el cual es en realidad su objetivo final. La persona que entregó la información queda feliz por haber ayudado y no queda ni la más mínima sospecha del engaño.
Presa fácil de estas técnicas son las personas que, sin considerar los controles de seguridad, son muy confiadas, buscan siempre ayudar o ser útiles, sin evaluar a quien o se intimidan fácilmente, por el miedo a perder algo, o no caer en problemas.
Por otro lado, Renato Blaskovic, gerente de Auditoría Computacional del Banco Crédito e Inversiones, indica que hoy las estadísticas demuestran que mayoritariamente los incidentes de seguridad que afectan a los clientes en servicios de e-commerce se deben a debilidades en las prácticas de los propios usuarios en la administración de sus claves secretas y/o elementos de seguridad que resguardan el acceso a los sistemas.
El ejecutivo agrega que los hackers han desarrollado técnicas abocadas a vulnerar factor humano, denominadas "Ingeniería Social" para aprovechar las debilidades de los usuarios en la administración de sus claves y así suplantarlos para cometer fraudes.
Cómo detectar los ataques
Con la Ingeniería Social, una buena forma de comprobar si se están realizando ataques es recoger estadísticas de incumplimiento de procedimientos.
Por ejemplo, analizar el número de personas que han llamado a la Mesa de Ayuda y que no se les ha entregado la información porque no proporcionaban todos los datos de identificación solicitados.
El Computer Security Institute explica en su web cómo reconocer un ataque de Ingeniería Social: "El interlocutor se niega a dar datos de contacto, tartamudea, nos intimida, comete pequeños errores o solicita información prohibida".
De cualquier forma, es importante poder reconocer ciertas señas típicas de una acción de esta naturaleza, como son rehusarse a entregar información de contacto, tener mucho apuro, referenciar a una persona importante, intimidación o requerimiento de información olvidada, por nombrar algunas.
Sólo cuatro horas demoró el gusano "ILoveYou" en convertirse en una infección mundial. Claro, antes de saber realmente de qué se trataba, fue imposible resistirse a la tentación de abrir un correo electrónico que decía sugerentemente "Te amo". Éste es un típico ejemplo de lo que se conoce como Ingeniería Social, una de las más antiguas técnicas de hackeo, que tiene como principal objetivo que la víctima haga, diga o deje de hacer algo, sin darse cuenta que está faltando a una política de seguridad de su empresa.
Se reconoce que existen serias vulnerabilidades y, en general, poco detectables en el factor humano de las organizaciones. Haciendo uso de ellas, los ataques de Ingeniería Social buscan romper la cadena de seguridad en su eslabón más débil y abundante, las personas.
Según Jorge Olivares, gerente de Educación de Neosecure, la Ingeniería Social "consiste en un conjunto de tácticas con las que se busca obtener información de otras personas sin que éstas perciban que están revelando información sensible o efectuando acciones no autorizadas. Se asocia al tradicional dicho de "lobos con piel de cordero". Por lo mismo, está muy asociada a lo que es el espionaje industrial o corporativo", explica el ejecutivo.
En la misma línea, Ricardo Acevedo, académico y doctor en Informática de la Universidad Técnica Federico Santa María, señala que la Ingeniería Social ha establecido métodos muy eficaces para minimizar las vulnerabilidades de las personas frente a diversas amenazas y frente a la seguridad. "En estos métodos, por ejemplo, es recurrente el considerar cómo un primer paso crear conciencia respecto de la necesidad de identificar y contener los distintos tipos de ataques a la seguridad en las empresas. Esta toma de conciencia debe ser universal, es decir, debe incluir a todos quienes formen parte de la organización, incluso a quienes no tienen acceso a los sistemas computacionales de la corporación".
El ejecutivo también agrega que hay que advertir a los empleados que son responsables directos del cuidado de su contraseña y de toda protección que se requiere en torno a ella.
Siempre hay que desconfiar
Un ejemplo clásico, comenta el ejecutivo, es el caso de un individuo que se hace pasar por un empleado del servicio técnico. "Me enviaron a revisar tu PC y necesito tu password", requiere el falso empleado. Así, fácilmente obtiene la información que necesita para entrar al sistema, el cual es en realidad su objetivo final. La persona que entregó la información queda feliz por haber ayudado y no queda ni la más mínima sospecha del engaño.
Presa fácil de estas técnicas son las personas que, sin considerar los controles de seguridad, son muy confiadas, buscan siempre ayudar o ser útiles, sin evaluar a quien o se intimidan fácilmente, por el miedo a perder algo, o no caer en problemas.
Por otro lado, Renato Blaskovic, gerente de Auditoría Computacional del Banco Crédito e Inversiones, indica que hoy las estadísticas demuestran que mayoritariamente los incidentes de seguridad que afectan a los clientes en servicios de e-commerce se deben a debilidades en las prácticas de los propios usuarios en la administración de sus claves secretas y/o elementos de seguridad que resguardan el acceso a los sistemas.
El ejecutivo agrega que los hackers han desarrollado técnicas abocadas a vulnerar factor humano, denominadas "Ingeniería Social" para aprovechar las debilidades de los usuarios en la administración de sus claves y así suplantarlos para cometer fraudes.
Cómo detectar los ataques
Con la Ingeniería Social, una buena forma de comprobar si se están realizando ataques es recoger estadísticas de incumplimiento de procedimientos.
Por ejemplo, analizar el número de personas que han llamado a la Mesa de Ayuda y que no se les ha entregado la información porque no proporcionaban todos los datos de identificación solicitados.
El Computer Security Institute explica en su web cómo reconocer un ataque de Ingeniería Social: "El interlocutor se niega a dar datos de contacto, tartamudea, nos intimida, comete pequeños errores o solicita información prohibida".
De cualquier forma, es importante poder reconocer ciertas señas típicas de una acción de esta naturaleza, como son rehusarse a entregar información de contacto, tener mucho apuro, referenciar a una persona importante, intimidación o requerimiento de información olvidada, por nombrar algunas.
