SlideShare una empresa de Scribd logo

La importancia del factor humano en la seguridad informática

U
Universidad Autónoma de Baja California

La Importancia del Factor Humano en la Seguridad Informática -El factor humano en la seguridad informática (Introducción) -Funciones y responsabilidades de los empleados y directivos. -Ingeniería Social. (Definición). -Principales técnicas (formas de ataque) de Ingeniería Social -Como evitar ser víctimas Ingeniería Social. -Ejemplos de Ingeniería Social.

Educación
1 de 21
Descargar para leer sin conexión
UNIVERSIDAD AUTONOMA DE BAJA CALIFORNIA FACULTAD DE DERECHO, CAMPUS TIJUANA 2016 La importancia del Factor Humano en la seguridad informática Técnicas de la investigación jurídica Chavira Garcia Mireya Susana Ordoñez Pintor Martha Karen Orendain Alfaro Marco Antonio
ÍNDICE 1. Introducción .........................................................................................................1 2. La importancia del Factor Humano en la Seguridad Informática. ...................2 2.1.El factor humano en la seguridad informática (Introducción)...........................2 2.2.Funciones y responsabilidades de los empleados y directivos........................3 2.3.Ingeniería Social. (Definición). ........................................................................7 2.4.Principales técnicas (formas de ataque) de Ingeniería Social. ........................8 2.5.Como evitar ser víctimas Ingeniería Social....................................................10 2.6.Ejemplos de Ingeniería Social. ......................................................................12 3. Conclusión .........................................................................................................15 4. Bibliografía .........................................................................................................18
1 Introducción El contenido de este tema nos habla sobre la importancia que tienen las personas en la seguridad informática, los peligros que conlleva no contar con dichas medidas de seguridad, ya que esto puede traer consigo diversas consecuencias como la perdida de información importante tanto como para un solo individuo, como para una organización. Por eso se debe tener un especial cuidado con toda la información confidencial, ya que con un simple descuido puede ocasionar grandes pérdidas. En toda organización se debe tener en cuenta que al momento de contratar a un nuevo miembro a este se le debe informar sobre la importancia de la seguridad informática, desde el tipo de medidas que se deben tomar hasta las consecuencias que trae consigo su incumplimiento.
2 LA IMPORTANCIA DEL FACTOR HUMANO EN LA SEGURIDAD INFORMÁTICA. 1. EL FACTOR HUMANO EN LA SEGURIDAD INFORMATICA La implantación de unas adecuadas medidas de Seguridad de la Información exige contemplar aspectos técnicos (antivirus, cortafuegos, IDS...), organizativos (planes y procedimientos) y legales (cumplimiento de la legislación vigentes sobre protección de datos, uso de la firma electrónica, propiedad intelectual, etc.). No obstante, en muchas ocasiones se presta muy poca atención a la importancia del factor humano en la seguridad informática. Según varios estudios publicados, más del 75 % de los problemas inherentes a la seguridad se producen por fallos en la configuración de los equipos o por un mal uso por parte del personal de la propia organización. Además, hay que tener en cuenta que una empresa u organización puede ser responsable subsidiara por los actos de sus empleados, que en nuestro país pueden acarrear importantes sanciones económicas, teniendo en cuenta la legislación vigente (LOPD, LSSI-CE, Código Penal...):  Envíos de comunicaciones comerciales no solicitadas (spam), que puede acarrear una multa de hasta 150.000 euros, al incumplir la LSSI-CE.  Cesiones no autorizadas de datos de carácter personal, con multas de hasta 600.000 euros, al incumplir con los preceptos de la LOPD.  Delitos contra la propiedad intelectual, si se instalan y utilizan programas de intercambio de ficheros P2P (como Kazaa, e-Mule...).  Delitos informáticos como el ataque a otros equipos desde la propia red de la empresa, realización de estafas electrónicas...  Descarga de herramientas de hacking, acceso a pornografía o a contenidos ilegales en el país (Websites racistas o de grupos xenófobos o terroristas).  Envío a terceros de información confidencial de la empresa. Los principales expertos en materia de Seguridad Informática ya nos han alertado estos últimos años sobre la necesidad de contemplar el factor humano como uno de los más importantes a la hora de implantar un Sistema de Gestión de Seguridad de la Información. Así, en palabras de Kevin Mitnick, uno de los hackers más famosos de la historia, “usted puede tener la mejor tecnología, firewalls, sistemas de detección
3 de ataques, dispositivos biométricos, etc. Lo único que se necesita es una llamada a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos.”. El propio experto en criptografía y seguridad Bruce Scheneir llegaba a afirmar en uno de sus últimos libros, Secrets and Lies (Verdades y Mentiras) que “...si piensas que la tecnología puede resolver tus problemas de seguridad, entonces no entiendes el problema y no entiendes la tecnología”. Por otra parte, en estos últimos años se han incrementado de forma significativa los conflictos legales sobre la debida utilización de Internet y el correo electrónico y, a falta de una clara normativa, se han dictado sentencias a favor de unos y otros, empresarios y trabajadores, avalando en unos casos despidos por abuso de Internet y rechazándolos en otros. Por todo ello, la implantación de un Sistema de Gestión de Seguridad de la Información debería considerar el factor humano como uno de sus elementos clave, contemplando aspectos como la adecuada formación y sensibilización de los empleados, la implicación de los responsables y directivos, la aprobación de un Reglamento Interno sobre el uso de la Informática e Internet en la organización, etc. 2. FUNCIONES Y RESPONSABILIDADES DE LOS EMPLEADOS Y DIRECTIVOS Las funciones y obligaciones de cada una de las distintas personas que tienen acceso a los datos y a los servicios del Sistema de Información de una organización deberían estar claramente definidas. Asimismo, la organización debería adoptar las medidas necesarias para que estas personas conozcan las normas de seguridad que afecten al desarrollo de sus funciones y obligaciones respecto a la utilización de los servicios y herramientas informáticas y su acatamiento a las mismas, así como las consecuencias en que pudiera incurrir cada usuario en caso de incumplimiento. Debemos tener en cuenta que estas medidas afectan a los distintos colectivos que pueden tener acceso a los servicios del Sistema de Información de la organización:  Administradores de la red informática.  Desarrolladores de aplicaciones.  Técnicos responsables del mantenimiento de los equipos y de la red informática.  Usuarios finales del sistema.
4  Directivos. Personal externo: empresas de servicios que tienen acceso a los recursos informáticos de la organización, etc. Por todo ello, sería recomendable que la organización elaborase un Reglamento Interno sobre Seguridad Informática, Utilización de Internet y Protección de Datos de Carácter Personal, que tendría su base jurídica en el entorno normativo existente en España y la Unión Europea: la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD); el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros automatizados que contengan Datos de Carácter Personal; la Ley de Servicios de la Sociedad de la Información (LSSI); el nuevo Código Penal, que contempla nuevos tipos de delitos informáticos y contra la propiedad intelectual; la Ley General de Telecomunicaciones (LGT); etc. Este Reglamento Interno debería ser consensuado con los representantes de los empleados y el Departamento de Recursos Humanos de la organización, estar autorizado por la Dirección y divulgado entre los empleados con acceso a los recursos informáticos. Cada usuario del sistema debería conocer y aceptar estas normas, haciéndose responsable de los daños y perjuicios que pudiera causar debido a su falta de cumplimiento diligente. Asimismo, se deberían dar a conocer cuáles serían las medidas disciplinarias adoptadas por la organización en caso de incumplimiento. Por supuesto, todas estas normas deberían ser transmitidas con total transparencia a las personas que se incorporan a la organización y que puedan tener acceso a sus recursos informáticos. Asimismo, los empleados con acceso a datos sensibles deberían firmar en sus contratos cláusulas de confidencialidad y de cumplimiento de determinadas normas básicas de seguridad informática y en materia de protección de datos de carácter personal. El personal afectado por esta normativa se podría clasificar en dos grandes categorías: 1. Administradores del sistema, analistas, programadores y técnicos informáticos, que se encargan de administrar o mantener el entorno del sistema informático y de las aplicaciones de gestión, así como del desarrollo de nuevas herramientas y aplicaciones. Este personal puede utilizar herramientas de administración que permitan el acceso a los datos protegidos, servicios y aplicaciones, saltándose las barreras de acceso de las aplicaciones o del sistema operativo.
5 2. Usuarios básicos del sistema informático y de las aplicaciones de gestión que pueden tener acceso a los ficheros con datos y a los servicios ofrecidos por la red informática de la organización. Dentro del primer grupo, los administradores de la red informática y de los sistemas operativos dispondrán de los máximos privilegios y, por tanto, tendrán acceso a todas las aplicaciones y herramientas del sistema informático, así como a los ficheros o bases de datos necesarios para resolver los problemas que surjan. Para reducir el riesgo de que una actuación errónea pueda afectar a la seguridad del sistema, sólo deberían utilizar una cuenta de administrador con los máximos privilegios cuando sea necesario para ejercer sus funciones como tales, empleando una cuenta de un usuario básico del sistema en las restantes ocasiones en que se encuentren trabajando dentro de la red informática de la organización. Por otra parte, las actuaciones de los analistas, programadores y técnicos de operación y mantenimiento se tendrían que limitar a la operación de los equipos y redes utilizando las herramientas de gestión disponibles. No deberían, en principio, tener acceso directo a los datos de los ficheros, siempre y cuando su actuación no precise de dicho acceso. La normativa aprobada por la organización se encargaría, por lo tanto, de regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad o del entorno de red, de forma que se prohibiese expresamente el acceso no autorizado a los ficheros con datos sensibles o a determinados servicios o aplicaciones, sin pasar por los procedimientos de control de acceso con los que puedan contar las aplicaciones. Por ello, ninguna herramienta o programa de utilidad que permita el acceso directo a los ficheros y bases de datos, como los editores universales, analizadores de ficheros, sniffers, editores de consultas („queries‟) en gestores de bases de datos, etc., deberían ser accesibles a ningún usuario o administrador no autorizado. Por otra parte, todos los usuarios del sistema informático tendrían que aplicar ciertas normas prácticas de seguridad relativas al manejo de los equipos y aplicaciones a las que pueden tener acceso. Seguidamente se presentan, a modo de ejemplo, algunas de las cuestiones a tener en cuenta en esta normativa para los usuarios finales del sistema:  Cada equipo informático asignado a un puesto de trabajo estará bajo la responsabilidad de uno de los usuarios autorizados en el sistema informático de la organización.  Este usuario deberá garantizar que la información que muestra no pueda ser vista por personas no autorizadas.
6  Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.  Antes de abandonar el equipo del puesto de trabajo, ya sea temporalmente o bien al finalizar su turno de trabajo, deberá cancelar todas las sesiones activas y conexiones con los servidores de la red corporativa.  Utilizar un salvapantallas protegido con contraseña para bloquear su equipo ante una ausencia del puesto de trabajo, aunque sea breve, de tal modo que impida la visualización de los datos protegidos.  Impedir que otros usuarios puedan utilizar su identidad (nombre de usuario y contraseña) para acceder al sistema. Para ello, deberán responsabilizarse de guardar a buen recaudo su contraseña de acceso al sistema.  No introducir CD-ROM, disquetes u otros soportes en los equipos sin la comprobación previa de que no contienen riesgos de ninguna clase (estén dañados, contengan virus, etc).  No se cambiará la configuración del equipo ni se intentarán solucionar problemas de funcionamiento. En caso de mal funcionamiento, el usuario deberá comunicárselo a la persona encargada.  Sólo se utilizarán las herramientas corporativas, quedando prohibida la instalación de software en los PC de la empresa que no haya sido expresamente autorizado por el responsable de la seguridad del sistema.  No se podrán realizar copias de bases de datos o documentos clasificados como confidenciales o que contengan datos personales en soportes externos sin la previa autorización expresa del responsable de seguridad del sistema.  Los disquetes y documentos con información sensible o confidencial se deberán guardar en armarios o cajones bajo llave, evitando que por descuido puedan dejarse encima de las mesas de trabajo u otros lugares sin la adecuada protección.  En el caso de las impresoras los usuarios deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de carácter personal, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.  Deberá informarse de cualquier incidencia que pudiera afectar a la seguridad de la red informática o el sistema de información. Los equipos y medios informáticos de la organización no pueden ser sacados fuera de ésta sin la correspondiente autorización.  Se limitará el acceso a Internet solamente a fines profesionales1, compatible con las funciones propias del puesto de trabajo, prohibiéndose
7 actividades de Internet ajenas a dicho fin. Se prohíbe expresamente la visita de páginas de contenido ajeno a la actividad de la organización, la descarga e intercambio de ficheros digitales (música, vídeos, libros) que puedan vulnerar la propiedad intelectual, la participación en chats o en foros de contenido general, o la utilización del correo electrónico para fines particulares. 1 Se trata de una medida propuesta a modo de ejemplo, si bien la organización podría considerar conveniente permitir el acceso limitado a Internet para ciertos usos privados no relacionados con la actividad profesional del usuario 3. DEFINICION DE INGENIERIA SOCIAL. La Ingeniería Social es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas. Éstas contemplan entre otras cosas: la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo), pudiendo ser o no del interés de la persona objetivo. La Ingeniería Social se sustenta en un sencillo principio: “el usuario es el eslabón más débil”. Dado que no hay un solo sistema en el mundo que no dependa de un ser humano, la Ingeniería Social es una vulnerabilidad universal e independiente de la plataforma tecnológica. A menudo, se escucha entre los expertos de seguridad que la única computadora segura es la que esté desenchufada, a lo que, los amantes de la Ingeniería Social suelen responder que siempre habrá oportunidad de convencer a alguien de enchufarla. La Ingeniería Social es un arte que pocos desarrollan debido a que no todas las personas tienen “habilidades sociales”. Aun así, hay individuos que desde pequeños han demostrado tener la aptitud y con un poco de entrenamiento convertirla en el camino ideal para realizar acciones maliciosas. Por ejemplo, hay crackers que en vez de perder horas rompiendo una contraseña, prefieren conseguirla preguntando por teléfono a un empleado de soporte técnico.
8 4. PRINCIPALES TECNICAS (FORMAS DE ATAQUE) DE INGENIERIA SOCIAL. En general, los métodos de la ingeniería social están organizados de la siguiente manera:  Una fase de acercamiento para ganarse la confianza del usuario, haciéndose pasar por un integrante de la administración, de la compañía o del círculo o un cliente, proveedor, etc.  Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta. Por ejemplo, éste podría ser un pretexto de seguridad o una situación de emergencia;  Una distracción, es decir, una frase o una situación que tranquiliza al usuario y evita que se concentre en el alerta. Ésta podría ser un agradecimiento que indique que todo ha vuelto a la normalidad, una frase hecha o, en caso de que sea mediante correo electrónico o de una página Web, la redirección a la página Web de la compañía. La ingeniería social puede llevarse a cabo a través de una serie de medios:  Por teléfono,  Por correo electrónico,  Por correo tradicional,  Por mensajería instantánea,  etc. Las formas de ataque son muy variadas y dependen de la imaginación del atacante y sus intereses. En general, los ataques de Ingeniería Social actúan en dos niveles: el físico y el psicosocial. El primero describe los
9 recursos y medios a través de los cuales se llevará a cabo el ataque, y el segundo es el método con el que se engañará a la víctima. Las formas usadas a nivel son:  Ataque por teléfono. Es la forma más persistente de Ingeniería Social. En ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose pasar por alguien más, como un técnico de soporte o un empleado de la misma organización. Es un modo muy efectivo, pues las expresiones del rostro no son reveladas y lo único que se requiere es un teléfono.  Ataque vía Internet. Desde que Internet se volvió uno de los medios de comunicación más importantes, la variedad de ataques en red se incrementaron tanto como la gran cantidad de servicios que existen en él. Los ataques más comunes son vía correo electrónico (obteniendo información a través de un phishing o infectando el equipo de la víctima con malware), web (haciendo llenar a la persona objetivo un formulario falso) o inclusive conversando con personas específicas en salas de chat, servicios de mensajería o foros.  Dumpster Diving o Trashing (zambullida en la basura). Consiste en buscar información relevante en la basura, como: agendas telefónicas, organigramas, agendas de trabajo, unidades de almacenamiento (CD‟s, USB‟s, etc.), entre muchas otras cosas.  Ataque vía SMS. Ataque que aprovecha las aplicaciones de los celulares. El intruso envía un mensaje SMS a la víctima haciéndola creer que el mensaje es parte de una promoción o un servicio, luego, si la persona lo responde puede revelar información personal, ser víctima de robo o dar pié a una estafa más elaborada.  Ataque vía correo postal. Uno de los ataques en el que la víctima se siente más segura, principalmente por la fiabilidad del correo postal. El perpetrador envía correo falso a la víctima, tomando como patrón alguna suscripción de una revista, cupones de descuento, etc. Una vez que diseña la propuesta para hacerla atractiva, se envía a la víctima, quien si todo sale bien, responderá al apartado postal del atacante con todos sus datos.
10  Ataque cara a cara. El método más eficiente, pero a la vez el más difícil de realizar. El perpetrador requiere tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier situación que se le presente. Las personas más susceptibles suelen ser las más “inocentes”, por lo que no es un gran reto para el atacante cumplir su objetivo si elige bien a su víctima. 5. COMO EVITAR SER VICTIMAS DE INGENIERIA SOCIAL. A pesar de que son muchas las formas en que uno es vulnerable a este tipo de ataques, existen varias medidas de seguridad para prevenirlos, entre las cuales tenemos:  Desconfíe de cualquier mensaje de e-mail en el que se le ofrece la posibilidad de ganar dinero con facilidad  Nunca divulgar información sensible con desconocidos o en lugares públicos (como redes sociales, anuncios, páginas web, etc.).  No aceptar en redes sociales a gente desconocida.  Descargar aplicaciones de su fuente original. Esto evitará las infecciones en el equipo.  Si se sospecha que alguien intenta realizar un engaño, hay que exigir se identifique y tratar de revertir la situación intentando obtener la mayor cantidad de información del sospechoso.  Sospeche de llamadas telefónicas, visitas inesperadas o correos electrónicos con preguntas específicas sobre empleados o información interna de la organización. Si un desconocido afirma ser de una organización legítima, intente verificar su identidad directamente con la compañía.  No proporcione información personal o información acerca de su organización, incluyendo la estructura de la organización o de la red, a menos que esté seguro que la persona es la indicada para obtenerla.  No revele información personal o financiera a través de correo electrónico ni responda a quien solicite este tipo de información. Esto incluye también hacer clic en enlaces enviados a través de correo electrónico.  No envíe información sensible a través de Internet antes de verificar la seguridad del sitio web.  Ponga atención en la URL del sitio web. Los sitios web maliciosos pueden parecer idénticos a los sitios legítimos, pero la URL puede tener variaciones o un dominio diferente.
11  Si no está seguro de la legitimidad de un correo electrónico, intente verificarlo contactando directamente a la compañía. No utilice el contacto asociado al correo electrónico.  Instale y actualice software antivirus, firewalls y filtros de correo electrónico con el propósito de reducir el tráfico de este tipo.  No utilizar cuentas de correo electrónico para uso personal y asuntos laborales al mismo tiempo, es decir, tener una cuenta de correo electrónico para asuntos personales y otra para asuntos laborales.  Jamás responder a un mensaje de spam  No hacer clic en los enlaces en los mensajes de spam ya que pueden ser utilizados para confirmar al spammer que se trata de una cuenta de correo activa.  En conexiones libres como en bares, cafés y lugares públicos, es bueno tener en cuenta el no usar servicios que requieran información sensible como usuario y contraseña.  Crear contraseñas largar que contengan números y letras mayúsculas, además, utilizar distintas contraseñas para cada servicio utilizado  En sitios web que requieran información de usuario y contraseña, chequear que utilizan https en lugar de http. Para el caso de las organizaciones, existen otras medidas de seguridad que deben de seguir todo el personal de la empresa, las cuales son:  Deberá contar y documentar una política de seguridad y que sea difundida a todo el personal, manteniendo un control de cumplimiento de la misma.  Seguimiento y auditorías sobre la aplicación de las normas. Dado que con el tiempo es factible que se reblandezca la seguridad, es importante asegurar su continuidad mediante la vigilancia constante.  Tener un procedimiento de validación de llamadas telefónicas y solicitud de requerimientos.  Comunicar a los colaboradores del trabajo la intervención de cualquier personal autorizado de forma explícita verbal y escrita.  No proporcionar información relevante de los compañeros de trabajo, en su defecto canalizar el requerimiento con una persona facultada para proporcionar esta información, además de tomar nota del evento.  Destrucción de información sensible. Ciertos documentos, dado su contenido, deben ser destruidos completamente en lugar de ser sólo enviados al cesto de basura.  Mantener el escritorio de trabajo libre de documentos con información sensible o confidencial.
12  El personal debe apegarse a los lineamientos de seguridad dentro y fuera de la compañía en el caso de contener equipos móviles con información sensible.  No visitar sitios Web y abrir correo electrónico de dudosa procedencia o contenido, desde los equipos provistos por la compañía.  Mantener el software de seguridad como antivirus, antispyware y firewall personal actualizado.  Visualizar que el monitoreo de las cámaras de video sea efectivo, manteniendo una colocación y orientación estratégica, sobre todo en aquellos equipos o lugares de trabajo de mayor importancia.  Verificar que la identidad de todo personal externo o desconocido este siempre visible en las oficinas de trabajo.  Verificar que los gafetes de acceso al inmueble sean los adecuados para el personal externo.  Orientar al personal en cuanto a la utilización de dispositivos móviles como reproductores de mp3, que no contengan información sensible o confidencial.  Verificar el buen funcionamiento de las puertas de acceso al piso de oficinas y verificar que no entre personal sin autorización por escrito y/o acompañado del responsable de la visita.  Mantener la vigilancia de entrada al piso de forma permanente verificando y validando el registro en la bitácora de acceso.  No platique cerca de desconocidos sobre cosas que proporcionen información relevante de la organización.  Llevar a cabo Auditorías de seguridad: consiste en apoyarse en un tercero de confianza (generalmente una compañía que se especializada en la seguridad informática) para validar las medidas de protección que se llevan a cabo, sobre la base de la política de seguridad.  Capacitar al personal sobre fraudes electrónicos y medidas preventivas 6. EJEMPLOS DE INGENIERIA SOCIAL. Estafa de soporte técnico  Una persona hace llamadas fingiendo ser empleado de un banco o de una empresa (cable, telefonía, etc.) para solicitar tus datos personales.
13  Recibir un mensaje por e-mail, donde el remitente es el gerente o alguien en nombre del departamento de soporte de tu banco. En el mensaje dice que el servicio de Internet Banking está presentando algún problema y que tal problema puede ser corregido si ejecutas la aplicación que está adjunto al mensaje. La ejecución de esta aplicación presenta una pantalla análoga a la que usted utiliza para tener acceso a la cuenta bancaria, esperando que usted teclee su contraseña. En verdad, esta aplicación está preparada para robar tu contraseña de acceso a la cuenta bancaria y enviarla al atacante. Estafa Nigeriana: • Un banco nos dice que hemos recibido una cierta cantidad de dinero, y para poder disponer de ese dinero debemos acceder a una página web con nuestras credenciales bancarias. • Nos ha tocado la lotería (aunque no hayamos jugado) somos multimillonarios y para hacerlo realidad solo tenernos que pagar, en concepto de tasas, una insignificante cantidad de dinero en comparación con el premio. Archivos Adjuntos  Un correo electrónico con un enlace a un video pornográfico de alguna celebridad, al hacer click al enlace te descarga un troyano. Páginas Fraudulentas  Una página web o programa que nos proporciona el historial de conversaciones de nuestros contactos, o simplemente quien nos ha suprimido como contactos de nuestro cliente de mensajería preferido. Para obtener esta información solo tenemos que acceder a dicha web con nuestro usuario y password.  Otro puede ser un scam, o sitio web modificado con fines maliciosos, como cuando se utilizó la estética de la gira de los Rolling Stones para crear un sitio que prometía entradas gratis a cambio de clics en Facebook.
14 USB infectado  Un sujeto se acerca y habla con otro, después de 5 minutos le dice que ocupa mandar un documento importante y pide prestado la laptop de la víctima, al momento de prestárselo el sujeto ejecuta un programa e infecta con un malware la laptop  Un sujeto deja a propósito un usb en un lugar determinado con el objetivo de que una persona lo recoja y al momento de conectarlo en su ordenador se infecte con un malware.
15 CONCLUSIÓN Las medidas de seguridad informática siempre implican más cuidado, sin embargo, se presta poca atención al factor humano en la seguridad informática, las personas representan la parte más débil debido ya que no obedecen indicaciones o no se les avisa de que están siendo atacadas de manera maliciosa, como es el caso de un ordenador, por eso es importante estar bien informados al momento de descargar algo de internet, porque al no estar bien informados nuestro equipo se puede dañar y eso puede conllevar la perdida de información valiosa. Los directivos siempre deben emplear medidas de seguridad para mantener vigilados a sus empleados para que estos no cometan fallos o errores que afecten su seguridad, es por eso que se deben tener un reglamento para que estos sean más cuidadosos al navegar por internet y el incumplimiento de ellos trae consigo diversas consecuencias. Durante esta investigación nos adentramos en la definición de ingeniería social, descubriendo que hace falta más que conocimiento técnico acerca de las tecnologías de la información para poder llegar a afectar el sistema de datos de un individuo o compañía sino que se requieren habilidades sociales para poder adentrarse en el entorno de la persona que se verá afectada, este acto le añade complejidad a la denominada „‟ingeniería social‟‟ haciéndola ver como un „‟arte‟‟
16 Respecto a las formas de ataques se entiende el nivel de dificultad que tiene cada uno de ellos porque no cualquiera puede efectuar por ejemplo un acercamiento cara a cara con la persona que se pretende engañar; reiterando que la ingeniería social no solo es un acción técnica sino un legítimo acto de manipulación por parte de un „‟timador‟‟ que va más allá de conseguir datos acerca del afectado sino que procura obtener todo lo relacionado para poder amenazarlo de manera que este se vea obligado a cumplir con sus peticiones, siendo una amenaza inminente por la situación anónima que le ofrecen las tecnologías. Es importante que las personas conozcan los métodos que existen para evitar el ser víctimas de la Ingeniería Social ya que, ésta ha evolucionado a tal grado que todos nosotros somos vulnerables a ser víctimas por medio de nuestros ordenadores, celulares, etc. Por ello debemos tener en cuenta que podemos evitar esto con prácticas tan sencillas, que si prestamos atención a éstas, la mayoría se refieren al uso de la razón y de desconfiar un poco antes de realizar una acción, por ejemplo: el no revelar información personal, no hacer clics a anuncios o correos en donde se nos prometa algo de forma gratuita (spam), no aceptar a gente desconocida en redes sociales o incluso, navegar en internet con un Antivirus. También es importante conocer algunos de los ejemplos sobre cómo se aplica Ingeniería social ya que al conocerlos distinguiremos con mayor
17 facilidad si nos encontramos en una situación donde seamos víctimas o no. Uno de estos ejemplos nos habla de cómo se aprovechan de un acontecimiento (ej. video escandaloso de Obama) para crear a partir de éste, un correo electrónico con un virus, que al abrirlo la víctima, se descargará su dispositivo y la persona que mando el correo logrará tener acceso a la información se encuentre en el dispositivo infectado (tarjetas de crédito, cuentas de correo, etc.). Al conocer este ejemplo, nos damos cuenta que todos podemos ser víctimas de la ingeniería social.
18 BIBLIOGRAFÍA Gómez Vieites, Á. (2007). Enciclopedia de la Seguridad Informática. En G. V. Álvaro, Enciclopedia de la Seguridad Informática (págs. 78-98). Alfaomega Edición: 1era. Anónimo. (10 de Agosto de 2015). Ejemplos de ataques de Ingeniería Social. Recuperado el 28 de Abril de 2016, de Ciberseguridad Gits: http://www.gitsinformatica.com/ingenieria%20social.html#ejemplosis Castellanos, E. J. ( Mié, 04 de Mayo de 2011). Seguridad de la información. Recuperado el 08 de Abril de 2016, de Revista Seguridad UNAM: http://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social- corrompiendo-la-mente-humana Dueñas, J. B. (18 de Marzo de 2011). La ingeniería social y los [malos] hábitos de los usuarios. Recuperado el 24 de Abril de 2016, de alcancelibre: http://www.alcancelibre.org/staticpages/index.php/ingenieria-social-malos- habitos-usuarios Gómez Veites, A. (1 de Agosto de 2014). La importancia del factor humano en la seguridad. Recuperado el 28 de Abril de 2016, de Edisa: http://www.edisa.com/wp- content/uploads/2014/08/La_importancia_del_factor_humano_en_la_Seguri dad_Informatica.pdf Navarro Navarro, A. (31 de Enero de 2011). Como evitar ser víctima de la Ingeniería social. Recuperado el 26 de Abril de 2016, de Tics Consulting: http://www.ticsconsulting.es/blog/generar-claves-seguras-3 Perez, I. (21 de Mayo de 2014). Las técnicas de Ingeniería Social evolucionaron, ¡presta atención! Recuperado el 25 de Abril de 2016, de Welivesecurity: http://www.welivesecurity.com/la-es/2014/05/21/tecnicas-ingenieria-social- evolucionaron-presta-atencion/ Téllez Valdés, J. (2009). Delitos informáticos. En J. Téllez Valdés, Derecho informático (pág. 209). McGraw-Hill Interamericana. UNAM-CERT. (2 de Junio de 2005). Evitando ataques de ingeniería social y de phishing. Recuperado el 20 de abril de 2016, de UNAM: http://www.seguridad.unam.mx/documento/?id=36
19 Villagómez, C., & Ortega, Á. (Marzo de 2016). Ingeniería social. Recuperado el 28 de Abril de 2016, de ccm: http://es.ccm.net/contents/25-ingenieria-social

Recomendados

La importancia de lfactor humano en la seguridad
La importancia de lfactor humano en la seguridad La importancia de lfactor humano en la seguridad
La importancia de lfactor humano en la seguridad
AnaPaulaAcosta
 
Tics
TicsTics
Tics
Oliver Lozano
 
Tic sl
Tic slTic sl
Tic sl
Melissa1528
 
Actividad da la guia de seguridad
Actividad da la guia de seguridadActividad da la guia de seguridad
Actividad da la guia de seguridad
Maria Veronica Urdaneta Martinez
 
Seguridad pymes
Seguridad pymesSeguridad pymes
Seguridad pymes
Carlos Hernandez Araujo
 
Antologia Legislacion Informatica
Antologia Legislacion InformaticaAntologia Legislacion Informatica
Antologia Legislacion Informatica
Eduardo S de Loera
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
Beatriz Rangel Ruiz
 
Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares
Nordstern Techonologies
 

Recomendados

La importancia de lfactor humano en la seguridad
La importancia de lfactor humano en la seguridad La importancia de lfactor humano en la seguridad
La importancia de lfactor humano en la seguridad
AnaPaulaAcosta
 
Tics
TicsTics
Tics
Oliver Lozano
 
Tic sl
Tic slTic sl
Tic sl
Melissa1528
 
Actividad da la guia de seguridad
Actividad da la guia de seguridadActividad da la guia de seguridad
Actividad da la guia de seguridad
Maria Veronica Urdaneta Martinez
 
Seguridad pymes
Seguridad pymesSeguridad pymes
Seguridad pymes
Carlos Hernandez Araujo
 
Antologia Legislacion Informatica
Antologia Legislacion InformaticaAntologia Legislacion Informatica
Antologia Legislacion Informatica
Eduardo S de Loera
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
Beatriz Rangel Ruiz
 
Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares
Nordstern Techonologies
 
Seguridad informatica en venezuela
Seguridad informatica en venezuelaSeguridad informatica en venezuela
Seguridad informatica en venezuela
instituto universitario de tecnologia antonio jose de sucre
 
Trabajo de elba yeny
Trabajo de elba yenyTrabajo de elba yeny
Trabajo de elba yeny
Beatriz Rangel Ruiz
 
Aspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informáticaAspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informática
Yoselyn Cruz
 
Solangebonillaortiz
SolangebonillaortizSolangebonillaortiz
Solangebonillaortiz
solangebonillaortiz
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
Lisby Mora
 
Seguridad de informatica en venezuela
Seguridad de informatica en venezuelaSeguridad de informatica en venezuela
Seguridad de informatica en venezuela
cesar
 
Aspectos legales y éticos de la seguridad informática lectura 4
Aspectos legales y éticos de la seguridad informática lectura 4Aspectos legales y éticos de la seguridad informática lectura 4
Aspectos legales y éticos de la seguridad informática lectura 4
Sugey Rabadán
 
Aspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informáticaAspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informática
angeles alvarez
 
aspectos eticos y legales del uso de la informacion digital
aspectos eticos y legales del uso de la informacion digitalaspectos eticos y legales del uso de la informacion digital
aspectos eticos y legales del uso de la informacion digital
itzayanacortes
 
Políticas de-seguridad-informática
Políticas de-seguridad-informáticaPolíticas de-seguridad-informática
Políticas de-seguridad-informática
Blanca Melida Oliva Amaya
 
4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm
NITZARINDANI98
 
Aspectos legales y éticos de la seguridad informática.tic actividad 4
Aspectos legales y éticos de la seguridad informática.tic actividad 4Aspectos legales y éticos de la seguridad informática.tic actividad 4
Aspectos legales y éticos de la seguridad informática.tic actividad 4
lucero lizbeth garcia lugo
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
batuvaps
 
4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm
Keila Jaimes
 
Aspectos legales y eticos de la seguridad informatica
Aspectos legales y eticos de la seguridad informaticaAspectos legales y eticos de la seguridad informatica
Aspectos legales y eticos de la seguridad informatica
julissa tapia
 
Ingenieria Social & Importancia del Factor Humano en La Seguridad
Ingenieria Social & Importancia del Factor Humano en La SeguridadIngenieria Social & Importancia del Factor Humano en La Seguridad
Ingenieria Social & Importancia del Factor Humano en La Seguridad
BethsabeHerreraTrujillo
 
Delitos informatico jorge
Delitos informatico jorgeDelitos informatico jorge
Delitos informatico jorge
JOCHY123
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
Seba Pinilla
 
TUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICATUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICA
karen iles
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
floreskamita
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
floreskamita
 
Brandon trejo de la luz trabajo con la investigacion
Brandon trejo de la luz trabajo con la investigacionBrandon trejo de la luz trabajo con la investigacion
Brandon trejo de la luz trabajo con la investigacion
BrandonKennyTrejo
 

Más contenido relacionado

La actualidad más candente

Seguridad de informatica en venezuela
Seguridad de informatica en venezuelaSeguridad de informatica en venezuela
Seguridad de informatica en venezuela
cesar
 
aspectos eticos y legales del uso de la informacion digital
aspectos eticos y legales del uso de la informacion digitalaspectos eticos y legales del uso de la informacion digital
aspectos eticos y legales del uso de la informacion digital
itzayanacortes
 
4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm
Keila Jaimes
 

La actualidad más candente (15)

Seguridad informatica en venezuela
Seguridad informatica en venezuelaSeguridad informatica en venezuela
Seguridad informatica en venezuela
 
Trabajo de elba yeny
Trabajo de elba yenyTrabajo de elba yeny
Trabajo de elba yeny
 
Aspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informáticaAspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informática
 
Solangebonillaortiz
SolangebonillaortizSolangebonillaortiz
Solangebonillaortiz
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
 
Seguridad de informatica en venezuela
Seguridad de informatica en venezuelaSeguridad de informatica en venezuela
Seguridad de informatica en venezuela
 
Aspectos legales y éticos de la seguridad informática lectura 4
Aspectos legales y éticos de la seguridad informática lectura 4Aspectos legales y éticos de la seguridad informática lectura 4
Aspectos legales y éticos de la seguridad informática lectura 4
 
Aspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informáticaAspectos legales y éticos de la seguridad informática
Aspectos legales y éticos de la seguridad informática
 
aspectos eticos y legales del uso de la informacion digital
aspectos eticos y legales del uso de la informacion digitalaspectos eticos y legales del uso de la informacion digital
aspectos eticos y legales del uso de la informacion digital
 
Políticas de-seguridad-informática
Políticas de-seguridad-informáticaPolíticas de-seguridad-informática
Políticas de-seguridad-informática
 
4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm
 
Aspectos legales y éticos de la seguridad informática.tic actividad 4
Aspectos legales y éticos de la seguridad informática.tic actividad 4Aspectos legales y éticos de la seguridad informática.tic actividad 4
Aspectos legales y éticos de la seguridad informática.tic actividad 4
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
 
4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm4 aspectos legales y eticos de la seguridad informatica.pptm
4 aspectos legales y eticos de la seguridad informatica.pptm
 
Aspectos legales y eticos de la seguridad informatica
Aspectos legales y eticos de la seguridad informaticaAspectos legales y eticos de la seguridad informatica
Aspectos legales y eticos de la seguridad informatica
 

Similar a La importancia del factor humano en la seguridad informática

Delitos informatico jorge
Delitos informatico jorgeDelitos informatico jorge
Delitos informatico jorge
JOCHY123
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
Seba Pinilla
 
Brandon trejo de la luz trabajo con la investigacion
Brandon trejo de la luz trabajo con la investigacionBrandon trejo de la luz trabajo con la investigacion
Brandon trejo de la luz trabajo con la investigacion
BrandonKennyTrejo
 
Seguridad informática en la red héctor
Seguridad informática en la red héctorSeguridad informática en la red héctor
Seguridad informática en la red héctor
I.E.S Teobaldo Power
 
Diapositiva jorge
Diapositiva jorgeDiapositiva jorge
Diapositiva jorge
jorge
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
yeniferbaez
 

Similar a La importancia del factor humano en la seguridad informática (20)

Ingenieria Social & Importancia del Factor Humano en La Seguridad
Ingenieria Social & Importancia del Factor Humano en La SeguridadIngenieria Social & Importancia del Factor Humano en La Seguridad
Ingenieria Social & Importancia del Factor Humano en La Seguridad
 
Delitos informatico jorge
Delitos informatico jorgeDelitos informatico jorge
Delitos informatico jorge
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
 
TUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICATUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICA
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
 
Brandon trejo de la luz trabajo con la investigacion
Brandon trejo de la luz trabajo con la investigacionBrandon trejo de la luz trabajo con la investigacion
Brandon trejo de la luz trabajo con la investigacion
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
 
Seguridad informática en la red héctor
Seguridad informática en la red héctorSeguridad informática en la red héctor
Seguridad informática en la red héctor
 
Diapositiva jorge
Diapositiva jorgeDiapositiva jorge
Diapositiva jorge
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informatica
 
Actividad semana 5 6
Actividad semana 5 6Actividad semana 5 6
Actividad semana 5 6
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraUnidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby Mora
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
DELITOS INFORMATICOS
DELITOS INFORMATICOSDELITOS INFORMATICOS
DELITOS INFORMATICOS
 
Jorje y edison
Jorje y edisonJorje y edison
Jorje y edison
 
Seguridad fisica y logica (1)
Seguridad fisica y logica (1)Seguridad fisica y logica (1)
Seguridad fisica y logica (1)
 

Último

🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
 

Último (20)

Posición astronómica y geográfica de Europa.pptx
Posición astronómica y geográfica de Europa.pptxPosición astronómica y geográfica de Europa.pptx
Posición astronómica y geográfica de Europa.pptx
 
Usos y desusos de la inteligencia artificial en revistas científicas
Usos y desusos de la inteligencia artificial en revistas científicasUsos y desusos de la inteligencia artificial en revistas científicas
Usos y desusos de la inteligencia artificial en revistas científicas
 
Ensayo Paes competencia matematicas 2 Preuniversitario
Ensayo Paes competencia matematicas 2 PreuniversitarioEnsayo Paes competencia matematicas 2 Preuniversitario
Ensayo Paes competencia matematicas 2 Preuniversitario
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtuales
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
UNIDAD DE APRENDIZAJE DE PRIMER GRADO DEL MES DE MAYO PARA TRABAJAR CON ESTUD...
UNIDAD DE APRENDIZAJE DE PRIMER GRADO DEL MES DE MAYO PARA TRABAJAR CON ESTUD...UNIDAD DE APRENDIZAJE DE PRIMER GRADO DEL MES DE MAYO PARA TRABAJAR CON ESTUD...
UNIDAD DE APRENDIZAJE DE PRIMER GRADO DEL MES DE MAYO PARA TRABAJAR CON ESTUD...
 
Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
 
LA JUNGLA DE COLORES.pptx Cuento de animales
LA JUNGLA DE COLORES.pptx Cuento de animalesLA JUNGLA DE COLORES.pptx Cuento de animales
LA JUNGLA DE COLORES.pptx Cuento de animales
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
 
animalesdelaproincia de beunos aires.pdf
animalesdelaproincia de beunos aires.pdfanimalesdelaproincia de beunos aires.pdf
animalesdelaproincia de beunos aires.pdf
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
AEC2. Egipto Antiguo. Adivina, Adivinanza.pptx
AEC2. Egipto Antiguo. Adivina, Adivinanza.pptxAEC2. Egipto Antiguo. Adivina, Adivinanza.pptx
AEC2. Egipto Antiguo. Adivina, Adivinanza.pptx
 
PP_Comunicacion en Salud: Objetivación de signos y síntomas
PP_Comunicacion en Salud: Objetivación de signos y síntomasPP_Comunicacion en Salud: Objetivación de signos y síntomas
PP_Comunicacion en Salud: Objetivación de signos y síntomas
 
Desarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresDesarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por Valores
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIASISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
 
Power Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptxPower Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptx
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 

La importancia del factor humano en la seguridad informática

  • 1. UNIVERSIDAD AUTONOMA DE BAJA CALIFORNIA FACULTAD DE DERECHO, CAMPUS TIJUANA 2016 La importancia del Factor Humano en la seguridad informática Técnicas de la investigación jurídica Chavira Garcia Mireya Susana Ordoñez Pintor Martha Karen Orendain Alfaro Marco Antonio
  • 2. ÍNDICE 1. Introducción .........................................................................................................1 2. La importancia del Factor Humano en la Seguridad Informática. ...................2 2.1.El factor humano en la seguridad informática (Introducción)...........................2 2.2.Funciones y responsabilidades de los empleados y directivos........................3 2.3.Ingeniería Social. (Definición). ........................................................................7 2.4.Principales técnicas (formas de ataque) de Ingeniería Social. ........................8 2.5.Como evitar ser víctimas Ingeniería Social....................................................10 2.6.Ejemplos de Ingeniería Social. ......................................................................12 3. Conclusión .........................................................................................................15 4. Bibliografía .........................................................................................................18
  • 3. 1 Introducción El contenido de este tema nos habla sobre la importancia que tienen las personas en la seguridad informática, los peligros que conlleva no contar con dichas medidas de seguridad, ya que esto puede traer consigo diversas consecuencias como la perdida de información importante tanto como para un solo individuo, como para una organización. Por eso se debe tener un especial cuidado con toda la información confidencial, ya que con un simple descuido puede ocasionar grandes pérdidas. En toda organización se debe tener en cuenta que al momento de contratar a un nuevo miembro a este se le debe informar sobre la importancia de la seguridad informática, desde el tipo de medidas que se deben tomar hasta las consecuencias que trae consigo su incumplimiento.
  • 4. 2 LA IMPORTANCIA DEL FACTOR HUMANO EN LA SEGURIDAD INFORMÁTICA. 1. EL FACTOR HUMANO EN LA SEGURIDAD INFORMATICA La implantación de unas adecuadas medidas de Seguridad de la Información exige contemplar aspectos técnicos (antivirus, cortafuegos, IDS...), organizativos (planes y procedimientos) y legales (cumplimiento de la legislación vigentes sobre protección de datos, uso de la firma electrónica, propiedad intelectual, etc.). No obstante, en muchas ocasiones se presta muy poca atención a la importancia del factor humano en la seguridad informática. Según varios estudios publicados, más del 75 % de los problemas inherentes a la seguridad se producen por fallos en la configuración de los equipos o por un mal uso por parte del personal de la propia organización. Además, hay que tener en cuenta que una empresa u organización puede ser responsable subsidiara por los actos de sus empleados, que en nuestro país pueden acarrear importantes sanciones económicas, teniendo en cuenta la legislación vigente (LOPD, LSSI-CE, Código Penal...):  Envíos de comunicaciones comerciales no solicitadas (spam), que puede acarrear una multa de hasta 150.000 euros, al incumplir la LSSI-CE.  Cesiones no autorizadas de datos de carácter personal, con multas de hasta 600.000 euros, al incumplir con los preceptos de la LOPD.  Delitos contra la propiedad intelectual, si se instalan y utilizan programas de intercambio de ficheros P2P (como Kazaa, e-Mule...).  Delitos informáticos como el ataque a otros equipos desde la propia red de la empresa, realización de estafas electrónicas...  Descarga de herramientas de hacking, acceso a pornografía o a contenidos ilegales en el país (Websites racistas o de grupos xenófobos o terroristas).  Envío a terceros de información confidencial de la empresa. Los principales expertos en materia de Seguridad Informática ya nos han alertado estos últimos años sobre la necesidad de contemplar el factor humano como uno de los más importantes a la hora de implantar un Sistema de Gestión de Seguridad de la Información. Así, en palabras de Kevin Mitnick, uno de los hackers más famosos de la historia, “usted puede tener la mejor tecnología, firewalls, sistemas de detección
  • 5. 3 de ataques, dispositivos biométricos, etc. Lo único que se necesita es una llamada a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos.”. El propio experto en criptografía y seguridad Bruce Scheneir llegaba a afirmar en uno de sus últimos libros, Secrets and Lies (Verdades y Mentiras) que “...si piensas que la tecnología puede resolver tus problemas de seguridad, entonces no entiendes el problema y no entiendes la tecnología”. Por otra parte, en estos últimos años se han incrementado de forma significativa los conflictos legales sobre la debida utilización de Internet y el correo electrónico y, a falta de una clara normativa, se han dictado sentencias a favor de unos y otros, empresarios y trabajadores, avalando en unos casos despidos por abuso de Internet y rechazándolos en otros. Por todo ello, la implantación de un Sistema de Gestión de Seguridad de la Información debería considerar el factor humano como uno de sus elementos clave, contemplando aspectos como la adecuada formación y sensibilización de los empleados, la implicación de los responsables y directivos, la aprobación de un Reglamento Interno sobre el uso de la Informática e Internet en la organización, etc. 2. FUNCIONES Y RESPONSABILIDADES DE LOS EMPLEADOS Y DIRECTIVOS Las funciones y obligaciones de cada una de las distintas personas que tienen acceso a los datos y a los servicios del Sistema de Información de una organización deberían estar claramente definidas. Asimismo, la organización debería adoptar las medidas necesarias para que estas personas conozcan las normas de seguridad que afecten al desarrollo de sus funciones y obligaciones respecto a la utilización de los servicios y herramientas informáticas y su acatamiento a las mismas, así como las consecuencias en que pudiera incurrir cada usuario en caso de incumplimiento. Debemos tener en cuenta que estas medidas afectan a los distintos colectivos que pueden tener acceso a los servicios del Sistema de Información de la organización:  Administradores de la red informática.  Desarrolladores de aplicaciones.  Técnicos responsables del mantenimiento de los equipos y de la red informática.  Usuarios finales del sistema.
  • 6. 4  Directivos. Personal externo: empresas de servicios que tienen acceso a los recursos informáticos de la organización, etc. Por todo ello, sería recomendable que la organización elaborase un Reglamento Interno sobre Seguridad Informática, Utilización de Internet y Protección de Datos de Carácter Personal, que tendría su base jurídica en el entorno normativo existente en España y la Unión Europea: la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD); el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros automatizados que contengan Datos de Carácter Personal; la Ley de Servicios de la Sociedad de la Información (LSSI); el nuevo Código Penal, que contempla nuevos tipos de delitos informáticos y contra la propiedad intelectual; la Ley General de Telecomunicaciones (LGT); etc. Este Reglamento Interno debería ser consensuado con los representantes de los empleados y el Departamento de Recursos Humanos de la organización, estar autorizado por la Dirección y divulgado entre los empleados con acceso a los recursos informáticos. Cada usuario del sistema debería conocer y aceptar estas normas, haciéndose responsable de los daños y perjuicios que pudiera causar debido a su falta de cumplimiento diligente. Asimismo, se deberían dar a conocer cuáles serían las medidas disciplinarias adoptadas por la organización en caso de incumplimiento. Por supuesto, todas estas normas deberían ser transmitidas con total transparencia a las personas que se incorporan a la organización y que puedan tener acceso a sus recursos informáticos. Asimismo, los empleados con acceso a datos sensibles deberían firmar en sus contratos cláusulas de confidencialidad y de cumplimiento de determinadas normas básicas de seguridad informática y en materia de protección de datos de carácter personal. El personal afectado por esta normativa se podría clasificar en dos grandes categorías: 1. Administradores del sistema, analistas, programadores y técnicos informáticos, que se encargan de administrar o mantener el entorno del sistema informático y de las aplicaciones de gestión, así como del desarrollo de nuevas herramientas y aplicaciones. Este personal puede utilizar herramientas de administración que permitan el acceso a los datos protegidos, servicios y aplicaciones, saltándose las barreras de acceso de las aplicaciones o del sistema operativo.
  • 7. 5 2. Usuarios básicos del sistema informático y de las aplicaciones de gestión que pueden tener acceso a los ficheros con datos y a los servicios ofrecidos por la red informática de la organización. Dentro del primer grupo, los administradores de la red informática y de los sistemas operativos dispondrán de los máximos privilegios y, por tanto, tendrán acceso a todas las aplicaciones y herramientas del sistema informático, así como a los ficheros o bases de datos necesarios para resolver los problemas que surjan. Para reducir el riesgo de que una actuación errónea pueda afectar a la seguridad del sistema, sólo deberían utilizar una cuenta de administrador con los máximos privilegios cuando sea necesario para ejercer sus funciones como tales, empleando una cuenta de un usuario básico del sistema en las restantes ocasiones en que se encuentren trabajando dentro de la red informática de la organización. Por otra parte, las actuaciones de los analistas, programadores y técnicos de operación y mantenimiento se tendrían que limitar a la operación de los equipos y redes utilizando las herramientas de gestión disponibles. No deberían, en principio, tener acceso directo a los datos de los ficheros, siempre y cuando su actuación no precise de dicho acceso. La normativa aprobada por la organización se encargaría, por lo tanto, de regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad o del entorno de red, de forma que se prohibiese expresamente el acceso no autorizado a los ficheros con datos sensibles o a determinados servicios o aplicaciones, sin pasar por los procedimientos de control de acceso con los que puedan contar las aplicaciones. Por ello, ninguna herramienta o programa de utilidad que permita el acceso directo a los ficheros y bases de datos, como los editores universales, analizadores de ficheros, sniffers, editores de consultas („queries‟) en gestores de bases de datos, etc., deberían ser accesibles a ningún usuario o administrador no autorizado. Por otra parte, todos los usuarios del sistema informático tendrían que aplicar ciertas normas prácticas de seguridad relativas al manejo de los equipos y aplicaciones a las que pueden tener acceso. Seguidamente se presentan, a modo de ejemplo, algunas de las cuestiones a tener en cuenta en esta normativa para los usuarios finales del sistema:  Cada equipo informático asignado a un puesto de trabajo estará bajo la responsabilidad de uno de los usuarios autorizados en el sistema informático de la organización.  Este usuario deberá garantizar que la información que muestra no pueda ser vista por personas no autorizadas.
  • 8. 6  Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.  Antes de abandonar el equipo del puesto de trabajo, ya sea temporalmente o bien al finalizar su turno de trabajo, deberá cancelar todas las sesiones activas y conexiones con los servidores de la red corporativa.  Utilizar un salvapantallas protegido con contraseña para bloquear su equipo ante una ausencia del puesto de trabajo, aunque sea breve, de tal modo que impida la visualización de los datos protegidos.  Impedir que otros usuarios puedan utilizar su identidad (nombre de usuario y contraseña) para acceder al sistema. Para ello, deberán responsabilizarse de guardar a buen recaudo su contraseña de acceso al sistema.  No introducir CD-ROM, disquetes u otros soportes en los equipos sin la comprobación previa de que no contienen riesgos de ninguna clase (estén dañados, contengan virus, etc).  No se cambiará la configuración del equipo ni se intentarán solucionar problemas de funcionamiento. En caso de mal funcionamiento, el usuario deberá comunicárselo a la persona encargada.  Sólo se utilizarán las herramientas corporativas, quedando prohibida la instalación de software en los PC de la empresa que no haya sido expresamente autorizado por el responsable de la seguridad del sistema.  No se podrán realizar copias de bases de datos o documentos clasificados como confidenciales o que contengan datos personales en soportes externos sin la previa autorización expresa del responsable de seguridad del sistema.  Los disquetes y documentos con información sensible o confidencial se deberán guardar en armarios o cajones bajo llave, evitando que por descuido puedan dejarse encima de las mesas de trabajo u otros lugares sin la adecuada protección.  En el caso de las impresoras los usuarios deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de carácter personal, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.  Deberá informarse de cualquier incidencia que pudiera afectar a la seguridad de la red informática o el sistema de información. Los equipos y medios informáticos de la organización no pueden ser sacados fuera de ésta sin la correspondiente autorización.  Se limitará el acceso a Internet solamente a fines profesionales1, compatible con las funciones propias del puesto de trabajo, prohibiéndose
  • 9. 7 actividades de Internet ajenas a dicho fin. Se prohíbe expresamente la visita de páginas de contenido ajeno a la actividad de la organización, la descarga e intercambio de ficheros digitales (música, vídeos, libros) que puedan vulnerar la propiedad intelectual, la participación en chats o en foros de contenido general, o la utilización del correo electrónico para fines particulares. 1 Se trata de una medida propuesta a modo de ejemplo, si bien la organización podría considerar conveniente permitir el acceso limitado a Internet para ciertos usos privados no relacionados con la actividad profesional del usuario 3. DEFINICION DE INGENIERIA SOCIAL. La Ingeniería Social es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas. Éstas contemplan entre otras cosas: la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo), pudiendo ser o no del interés de la persona objetivo. La Ingeniería Social se sustenta en un sencillo principio: “el usuario es el eslabón más débil”. Dado que no hay un solo sistema en el mundo que no dependa de un ser humano, la Ingeniería Social es una vulnerabilidad universal e independiente de la plataforma tecnológica. A menudo, se escucha entre los expertos de seguridad que la única computadora segura es la que esté desenchufada, a lo que, los amantes de la Ingeniería Social suelen responder que siempre habrá oportunidad de convencer a alguien de enchufarla. La Ingeniería Social es un arte que pocos desarrollan debido a que no todas las personas tienen “habilidades sociales”. Aun así, hay individuos que desde pequeños han demostrado tener la aptitud y con un poco de entrenamiento convertirla en el camino ideal para realizar acciones maliciosas. Por ejemplo, hay crackers que en vez de perder horas rompiendo una contraseña, prefieren conseguirla preguntando por teléfono a un empleado de soporte técnico.
  • 10. 8 4. PRINCIPALES TECNICAS (FORMAS DE ATAQUE) DE INGENIERIA SOCIAL. En general, los métodos de la ingeniería social están organizados de la siguiente manera:  Una fase de acercamiento para ganarse la confianza del usuario, haciéndose pasar por un integrante de la administración, de la compañía o del círculo o un cliente, proveedor, etc.  Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta. Por ejemplo, éste podría ser un pretexto de seguridad o una situación de emergencia;  Una distracción, es decir, una frase o una situación que tranquiliza al usuario y evita que se concentre en el alerta. Ésta podría ser un agradecimiento que indique que todo ha vuelto a la normalidad, una frase hecha o, en caso de que sea mediante correo electrónico o de una página Web, la redirección a la página Web de la compañía. La ingeniería social puede llevarse a cabo a través de una serie de medios:  Por teléfono,  Por correo electrónico,  Por correo tradicional,  Por mensajería instantánea,  etc. Las formas de ataque son muy variadas y dependen de la imaginación del atacante y sus intereses. En general, los ataques de Ingeniería Social actúan en dos niveles: el físico y el psicosocial. El primero describe los
  • 11. 9 recursos y medios a través de los cuales se llevará a cabo el ataque, y el segundo es el método con el que se engañará a la víctima. Las formas usadas a nivel son:  Ataque por teléfono. Es la forma más persistente de Ingeniería Social. En ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose pasar por alguien más, como un técnico de soporte o un empleado de la misma organización. Es un modo muy efectivo, pues las expresiones del rostro no son reveladas y lo único que se requiere es un teléfono.  Ataque vía Internet. Desde que Internet se volvió uno de los medios de comunicación más importantes, la variedad de ataques en red se incrementaron tanto como la gran cantidad de servicios que existen en él. Los ataques más comunes son vía correo electrónico (obteniendo información a través de un phishing o infectando el equipo de la víctima con malware), web (haciendo llenar a la persona objetivo un formulario falso) o inclusive conversando con personas específicas en salas de chat, servicios de mensajería o foros.  Dumpster Diving o Trashing (zambullida en la basura). Consiste en buscar información relevante en la basura, como: agendas telefónicas, organigramas, agendas de trabajo, unidades de almacenamiento (CD‟s, USB‟s, etc.), entre muchas otras cosas.  Ataque vía SMS. Ataque que aprovecha las aplicaciones de los celulares. El intruso envía un mensaje SMS a la víctima haciéndola creer que el mensaje es parte de una promoción o un servicio, luego, si la persona lo responde puede revelar información personal, ser víctima de robo o dar pié a una estafa más elaborada.  Ataque vía correo postal. Uno de los ataques en el que la víctima se siente más segura, principalmente por la fiabilidad del correo postal. El perpetrador envía correo falso a la víctima, tomando como patrón alguna suscripción de una revista, cupones de descuento, etc. Una vez que diseña la propuesta para hacerla atractiva, se envía a la víctima, quien si todo sale bien, responderá al apartado postal del atacante con todos sus datos.
  • 12. 10  Ataque cara a cara. El método más eficiente, pero a la vez el más difícil de realizar. El perpetrador requiere tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier situación que se le presente. Las personas más susceptibles suelen ser las más “inocentes”, por lo que no es un gran reto para el atacante cumplir su objetivo si elige bien a su víctima. 5. COMO EVITAR SER VICTIMAS DE INGENIERIA SOCIAL. A pesar de que son muchas las formas en que uno es vulnerable a este tipo de ataques, existen varias medidas de seguridad para prevenirlos, entre las cuales tenemos:  Desconfíe de cualquier mensaje de e-mail en el que se le ofrece la posibilidad de ganar dinero con facilidad  Nunca divulgar información sensible con desconocidos o en lugares públicos (como redes sociales, anuncios, páginas web, etc.).  No aceptar en redes sociales a gente desconocida.  Descargar aplicaciones de su fuente original. Esto evitará las infecciones en el equipo.  Si se sospecha que alguien intenta realizar un engaño, hay que exigir se identifique y tratar de revertir la situación intentando obtener la mayor cantidad de información del sospechoso.  Sospeche de llamadas telefónicas, visitas inesperadas o correos electrónicos con preguntas específicas sobre empleados o información interna de la organización. Si un desconocido afirma ser de una organización legítima, intente verificar su identidad directamente con la compañía.  No proporcione información personal o información acerca de su organización, incluyendo la estructura de la organización o de la red, a menos que esté seguro que la persona es la indicada para obtenerla.  No revele información personal o financiera a través de correo electrónico ni responda a quien solicite este tipo de información. Esto incluye también hacer clic en enlaces enviados a través de correo electrónico.  No envíe información sensible a través de Internet antes de verificar la seguridad del sitio web.  Ponga atención en la URL del sitio web. Los sitios web maliciosos pueden parecer idénticos a los sitios legítimos, pero la URL puede tener variaciones o un dominio diferente.
  • 13. 11  Si no está seguro de la legitimidad de un correo electrónico, intente verificarlo contactando directamente a la compañía. No utilice el contacto asociado al correo electrónico.  Instale y actualice software antivirus, firewalls y filtros de correo electrónico con el propósito de reducir el tráfico de este tipo.  No utilizar cuentas de correo electrónico para uso personal y asuntos laborales al mismo tiempo, es decir, tener una cuenta de correo electrónico para asuntos personales y otra para asuntos laborales.  Jamás responder a un mensaje de spam  No hacer clic en los enlaces en los mensajes de spam ya que pueden ser utilizados para confirmar al spammer que se trata de una cuenta de correo activa.  En conexiones libres como en bares, cafés y lugares públicos, es bueno tener en cuenta el no usar servicios que requieran información sensible como usuario y contraseña.  Crear contraseñas largar que contengan números y letras mayúsculas, además, utilizar distintas contraseñas para cada servicio utilizado  En sitios web que requieran información de usuario y contraseña, chequear que utilizan https en lugar de http. Para el caso de las organizaciones, existen otras medidas de seguridad que deben de seguir todo el personal de la empresa, las cuales son:  Deberá contar y documentar una política de seguridad y que sea difundida a todo el personal, manteniendo un control de cumplimiento de la misma.  Seguimiento y auditorías sobre la aplicación de las normas. Dado que con el tiempo es factible que se reblandezca la seguridad, es importante asegurar su continuidad mediante la vigilancia constante.  Tener un procedimiento de validación de llamadas telefónicas y solicitud de requerimientos.  Comunicar a los colaboradores del trabajo la intervención de cualquier personal autorizado de forma explícita verbal y escrita.  No proporcionar información relevante de los compañeros de trabajo, en su defecto canalizar el requerimiento con una persona facultada para proporcionar esta información, además de tomar nota del evento.  Destrucción de información sensible. Ciertos documentos, dado su contenido, deben ser destruidos completamente en lugar de ser sólo enviados al cesto de basura.  Mantener el escritorio de trabajo libre de documentos con información sensible o confidencial.
  • 14. 12  El personal debe apegarse a los lineamientos de seguridad dentro y fuera de la compañía en el caso de contener equipos móviles con información sensible.  No visitar sitios Web y abrir correo electrónico de dudosa procedencia o contenido, desde los equipos provistos por la compañía.  Mantener el software de seguridad como antivirus, antispyware y firewall personal actualizado.  Visualizar que el monitoreo de las cámaras de video sea efectivo, manteniendo una colocación y orientación estratégica, sobre todo en aquellos equipos o lugares de trabajo de mayor importancia.  Verificar que la identidad de todo personal externo o desconocido este siempre visible en las oficinas de trabajo.  Verificar que los gafetes de acceso al inmueble sean los adecuados para el personal externo.  Orientar al personal en cuanto a la utilización de dispositivos móviles como reproductores de mp3, que no contengan información sensible o confidencial.  Verificar el buen funcionamiento de las puertas de acceso al piso de oficinas y verificar que no entre personal sin autorización por escrito y/o acompañado del responsable de la visita.  Mantener la vigilancia de entrada al piso de forma permanente verificando y validando el registro en la bitácora de acceso.  No platique cerca de desconocidos sobre cosas que proporcionen información relevante de la organización.  Llevar a cabo Auditorías de seguridad: consiste en apoyarse en un tercero de confianza (generalmente una compañía que se especializada en la seguridad informática) para validar las medidas de protección que se llevan a cabo, sobre la base de la política de seguridad.  Capacitar al personal sobre fraudes electrónicos y medidas preventivas 6. EJEMPLOS DE INGENIERIA SOCIAL. Estafa de soporte técnico  Una persona hace llamadas fingiendo ser empleado de un banco o de una empresa (cable, telefonía, etc.) para solicitar tus datos personales.
  • 15. 13  Recibir un mensaje por e-mail, donde el remitente es el gerente o alguien en nombre del departamento de soporte de tu banco. En el mensaje dice que el servicio de Internet Banking está presentando algún problema y que tal problema puede ser corregido si ejecutas la aplicación que está adjunto al mensaje. La ejecución de esta aplicación presenta una pantalla análoga a la que usted utiliza para tener acceso a la cuenta bancaria, esperando que usted teclee su contraseña. En verdad, esta aplicación está preparada para robar tu contraseña de acceso a la cuenta bancaria y enviarla al atacante. Estafa Nigeriana: • Un banco nos dice que hemos recibido una cierta cantidad de dinero, y para poder disponer de ese dinero debemos acceder a una página web con nuestras credenciales bancarias. • Nos ha tocado la lotería (aunque no hayamos jugado) somos multimillonarios y para hacerlo realidad solo tenernos que pagar, en concepto de tasas, una insignificante cantidad de dinero en comparación con el premio. Archivos Adjuntos  Un correo electrónico con un enlace a un video pornográfico de alguna celebridad, al hacer click al enlace te descarga un troyano. Páginas Fraudulentas  Una página web o programa que nos proporciona el historial de conversaciones de nuestros contactos, o simplemente quien nos ha suprimido como contactos de nuestro cliente de mensajería preferido. Para obtener esta información solo tenemos que acceder a dicha web con nuestro usuario y password.  Otro puede ser un scam, o sitio web modificado con fines maliciosos, como cuando se utilizó la estética de la gira de los Rolling Stones para crear un sitio que prometía entradas gratis a cambio de clics en Facebook.
  • 16. 14 USB infectado  Un sujeto se acerca y habla con otro, después de 5 minutos le dice que ocupa mandar un documento importante y pide prestado la laptop de la víctima, al momento de prestárselo el sujeto ejecuta un programa e infecta con un malware la laptop  Un sujeto deja a propósito un usb en un lugar determinado con el objetivo de que una persona lo recoja y al momento de conectarlo en su ordenador se infecte con un malware.
  • 17. 15 CONCLUSIÓN Las medidas de seguridad informática siempre implican más cuidado, sin embargo, se presta poca atención al factor humano en la seguridad informática, las personas representan la parte más débil debido ya que no obedecen indicaciones o no se les avisa de que están siendo atacadas de manera maliciosa, como es el caso de un ordenador, por eso es importante estar bien informados al momento de descargar algo de internet, porque al no estar bien informados nuestro equipo se puede dañar y eso puede conllevar la perdida de información valiosa. Los directivos siempre deben emplear medidas de seguridad para mantener vigilados a sus empleados para que estos no cometan fallos o errores que afecten su seguridad, es por eso que se deben tener un reglamento para que estos sean más cuidadosos al navegar por internet y el incumplimiento de ellos trae consigo diversas consecuencias. Durante esta investigación nos adentramos en la definición de ingeniería social, descubriendo que hace falta más que conocimiento técnico acerca de las tecnologías de la información para poder llegar a afectar el sistema de datos de un individuo o compañía sino que se requieren habilidades sociales para poder adentrarse en el entorno de la persona que se verá afectada, este acto le añade complejidad a la denominada „‟ingeniería social‟‟ haciéndola ver como un „‟arte‟‟
  • 18. 16 Respecto a las formas de ataques se entiende el nivel de dificultad que tiene cada uno de ellos porque no cualquiera puede efectuar por ejemplo un acercamiento cara a cara con la persona que se pretende engañar; reiterando que la ingeniería social no solo es un acción técnica sino un legítimo acto de manipulación por parte de un „‟timador‟‟ que va más allá de conseguir datos acerca del afectado sino que procura obtener todo lo relacionado para poder amenazarlo de manera que este se vea obligado a cumplir con sus peticiones, siendo una amenaza inminente por la situación anónima que le ofrecen las tecnologías. Es importante que las personas conozcan los métodos que existen para evitar el ser víctimas de la Ingeniería Social ya que, ésta ha evolucionado a tal grado que todos nosotros somos vulnerables a ser víctimas por medio de nuestros ordenadores, celulares, etc. Por ello debemos tener en cuenta que podemos evitar esto con prácticas tan sencillas, que si prestamos atención a éstas, la mayoría se refieren al uso de la razón y de desconfiar un poco antes de realizar una acción, por ejemplo: el no revelar información personal, no hacer clics a anuncios o correos en donde se nos prometa algo de forma gratuita (spam), no aceptar a gente desconocida en redes sociales o incluso, navegar en internet con un Antivirus. También es importante conocer algunos de los ejemplos sobre cómo se aplica Ingeniería social ya que al conocerlos distinguiremos con mayor
  • 19. 17 facilidad si nos encontramos en una situación donde seamos víctimas o no. Uno de estos ejemplos nos habla de cómo se aprovechan de un acontecimiento (ej. video escandaloso de Obama) para crear a partir de éste, un correo electrónico con un virus, que al abrirlo la víctima, se descargará su dispositivo y la persona que mando el correo logrará tener acceso a la información se encuentre en el dispositivo infectado (tarjetas de crédito, cuentas de correo, etc.). Al conocer este ejemplo, nos damos cuenta que todos podemos ser víctimas de la ingeniería social.
  • 20. 18 BIBLIOGRAFÍA Gómez Vieites, Á. (2007). Enciclopedia de la Seguridad Informática. En G. V. Álvaro, Enciclopedia de la Seguridad Informática (págs. 78-98). Alfaomega Edición: 1era. Anónimo. (10 de Agosto de 2015). Ejemplos de ataques de Ingeniería Social. Recuperado el 28 de Abril de 2016, de Ciberseguridad Gits: http://www.gitsinformatica.com/ingenieria%20social.html#ejemplosis Castellanos, E. J. ( Mié, 04 de Mayo de 2011). Seguridad de la información. Recuperado el 08 de Abril de 2016, de Revista Seguridad UNAM: http://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social- corrompiendo-la-mente-humana Dueñas, J. B. (18 de Marzo de 2011). La ingeniería social y los [malos] hábitos de los usuarios. Recuperado el 24 de Abril de 2016, de alcancelibre: http://www.alcancelibre.org/staticpages/index.php/ingenieria-social-malos- habitos-usuarios Gómez Veites, A. (1 de Agosto de 2014). La importancia del factor humano en la seguridad. Recuperado el 28 de Abril de 2016, de Edisa: http://www.edisa.com/wp- content/uploads/2014/08/La_importancia_del_factor_humano_en_la_Seguri dad_Informatica.pdf Navarro Navarro, A. (31 de Enero de 2011). Como evitar ser víctima de la Ingeniería social. Recuperado el 26 de Abril de 2016, de Tics Consulting: http://www.ticsconsulting.es/blog/generar-claves-seguras-3 Perez, I. (21 de Mayo de 2014). Las técnicas de Ingeniería Social evolucionaron, ¡presta atención! Recuperado el 25 de Abril de 2016, de Welivesecurity: http://www.welivesecurity.com/la-es/2014/05/21/tecnicas-ingenieria-social- evolucionaron-presta-atencion/ Téllez Valdés, J. (2009). Delitos informáticos. En J. Téllez Valdés, Derecho informático (pág. 209). McGraw-Hill Interamericana. UNAM-CERT. (2 de Junio de 2005). Evitando ataques de ingeniería social y de phishing. Recuperado el 20 de abril de 2016, de UNAM: http://www.seguridad.unam.mx/documento/?id=36
  • 21. 19 Villagómez, C., & Ortega, Á. (Marzo de 2016). Ingeniería social. Recuperado el 28 de Abril de 2016, de ccm: http://es.ccm.net/contents/25-ingenieria-social