Llegamos a ustedes gracias a:



Columnas de opinión

La ingeniería social, un riesgo permanente

Por: Hernán Seminario García, gerente de proyectos de Digiware Perú

[06/12/2010] De historia más antigua que la propia Internet, la Ingeniería social se ha aprovechado desde el principio de la buena voluntad de los usuarios. Hoy adquiere nuevas dimensiones y se proyecta como un potencial riesgo para empresas de todo tipo y tamaño.

Quizá no haya dos conceptos tan antagónicos como estos. Y es que la Ingeniería Social, en el ámbito de las Tecnologías de la Información y Comunicación, trata sobre el aprovechamiento malicioso de la buena voluntad de las personas y de su vocación de servicio, para usarlos como puerta de ingreso hacia sus sistemas, o sus vidas mismas, y manipularlas con fines subalternos.
En marcha
La historia de este tema, tan álgido hoy en nuestra sociedad, empezó mucho antes de la explosión del uso de la Internet, en otros ámbitos como las comunicaciones telefónicas. Hubo un hacker muy famoso en los Estados Unidos, él cual no atacaba sistemas de cómputo ni aplicaciones o servidores, su campo de acción era el teléfono, atacaba a las personas. Así el concepto real de un ingeniero social o hacker social está referido al uso de engaños o técnicas a través de todo tipo de situaciones. Puede ser, como se ha referido, una llamada telefónica, pero también un cuestionario o una falsa entrevista para obtener de la propia víctima la información que facilite entrar en sus sistemas.    
Una inocente ruma de papel reciclado junto a la impresora es un potencial punto de fuga de información sensible, nadie se toma la molestia de verificar qué información se encuentra en esos papeles. En una oportunidad se pudo comprobar estas deficiencias en la seguridad de las empresas, al realizar incursiones controladas como parte de un plan de medición de seguridad solicitado. Se ingresó a la empresa como personal de mantenimiento observándose que no hay cultura de seguridad, las personas tienen documentos físicos confidenciales sobre sus escritorios o en los pasillos. En las impresoras se almacena mucho papel reciclado y, al tomar una muestra, fue realmente sorprendente toda la cantidad de información que se encontró allí sobre firmas, números de cuentas, reportes de nóminas, evaluaciones de desempeño, certificados de enfermedades, etc. Toda esta información, sin duda, es una veta valiosa para quien tenga intenciones de emprender un ataque y hacer daño a una organización. Otro punto a tener en cuenta: Los usuarios no toman conciencia de los riesgos reales a los que están expuestos, ni de los controles que debe seguir para proteger su información. Por ejemplo, en algunos casos, no han logrado desarrollar el hábito de bloquear su sesión de la computadora cuando se levantan del puesto de trabajo y dejan abierta la PC con las sesiones iniciadas y aplicaciones abiertas.
Zonas de expansión
Son múltiples las pruebas que se pueden utilizar para medir los niveles de vulnerabilidad de las organizaciones. Y es mucho mejor estar prevenidos, ya que una fuga importante de información puede resultar mortal, comercialmente hablando. Por ejemplo, en la región latinoamericana, Brasil es una plaza a la que hay que mirar con mucha atención, ya de es de allí desde donde se están generando hoy la mayoría de ataques de este tipo, cristalizándose en casos de fraude por Internet, esparcimiento de virus para control remoto de sistemas ajenos y más.
Otra zona álgida en relación a este tema son los países de Europa Oriental, en donde el problema se ha agravado y alcanzado otros niveles con la creación de auténticas organizaciones criminales dedicadas exclusivamente a este negocio. Finalmente, los ataques de spam y virus más recientes también han encontrado en Vietnam una gran fuente -más que China-.
Debe, entonces, las empresas deben considerar como una auténtica prioridad la difusión de las normas de seguridad en relación al manejo de la información corporativa y su exposición. Esto irá en concordancia con una nueva cobertura legal en los países que ya empiezan a preocuparse por legislar sobre este tema (como en Colombia donde se promulgó en el 2009 la Ley de Delitos Informáticos).
Cosas tan simples como verificar la identidad de quien nos pide datos sobre la red a través del teléfono o por un email, pueden ahorrarle grandes dolores de cabeza al departamento de sistemas, al área de seguridad de la información o de riesgos de su empresa.
CIO, Perú