La Importancia del Factor Humano en la Seguridad Informática
-El factor humano en la seguridad informática (Introducción)
-Funciones y responsabilidades de los empleados y directivos.
-Ingeniería Social. (Definición).
-Principales técnicas (formas de ataque) de Ingeniería Social
-Como evitar ser víctimas Ingeniería Social.
-Ejemplos de Ingeniería Social.
La Sostenibilidad Corporativa. Administración Ambiental
La importancia del factor humano en la seguridad informática
1. UNIVERSIDAD AUTONOMA DE BAJA CALIFORNIA
FACULTAD DE DERECHO, CAMPUS TIJUANA
2016
La importancia del Factor
Humano en la seguridad
informática
Técnicas de la investigación jurídica
Chavira Garcia Mireya Susana
Ordoñez Pintor Martha Karen
Orendain Alfaro Marco Antonio
2. ÍNDICE
1. Introducción .........................................................................................................1
2. La importancia del Factor Humano en la Seguridad Informática. ...................2
2.1.El factor humano en la seguridad informática (Introducción)...........................2
2.2.Funciones y responsabilidades de los empleados y directivos........................3
2.3.Ingeniería Social. (Definición). ........................................................................7
2.4.Principales técnicas (formas de ataque) de Ingeniería Social. ........................8
2.5.Como evitar ser víctimas Ingeniería Social....................................................10
2.6.Ejemplos de Ingeniería Social. ......................................................................12
3. Conclusión .........................................................................................................15
4. Bibliografía .........................................................................................................18
3. 1
Introducción
El contenido de este tema nos habla sobre la importancia que tienen las
personas en la seguridad informática, los peligros que conlleva no contar con
dichas medidas de seguridad, ya que esto puede traer consigo diversas
consecuencias como la perdida de información importante tanto como para un
solo individuo, como para una organización. Por eso se debe tener un especial
cuidado con toda la información confidencial, ya que con un simple descuido
puede ocasionar grandes pérdidas.
En toda organización se debe tener en cuenta que al momento de
contratar a un nuevo miembro a este se le debe informar sobre la importancia de
la seguridad informática, desde el tipo de medidas que se deben tomar hasta las
consecuencias que trae consigo su incumplimiento.
4. 2
LA IMPORTANCIA DEL FACTOR HUMANO EN LA
SEGURIDAD INFORMÁTICA.
1. EL FACTOR HUMANO EN LA SEGURIDAD INFORMATICA
La implantación de unas adecuadas medidas de Seguridad de la
Información exige contemplar aspectos técnicos (antivirus, cortafuegos, IDS...),
organizativos (planes y procedimientos) y legales (cumplimiento de la legislación
vigentes sobre protección de datos, uso de la firma electrónica, propiedad
intelectual, etc.). No obstante, en muchas ocasiones se presta muy poca atención
a la importancia del factor humano en la seguridad informática.
Según varios estudios publicados, más del 75 % de los problemas
inherentes a la seguridad se producen por fallos en la configuración de los equipos
o por un mal uso por parte del personal de la propia organización.
Además, hay que tener en cuenta que una empresa u organización puede ser
responsable subsidiara por los actos de sus empleados, que en nuestro país
pueden acarrear importantes sanciones económicas, teniendo en cuenta la
legislación vigente (LOPD, LSSI-CE, Código Penal...):
Envíos de comunicaciones comerciales no solicitadas (spam), que puede
acarrear una multa de hasta 150.000 euros, al incumplir la LSSI-CE.
Cesiones no autorizadas de datos de carácter personal, con multas de
hasta 600.000 euros, al incumplir con los preceptos de la LOPD.
Delitos contra la propiedad intelectual, si se instalan y utilizan programas de
intercambio de ficheros P2P (como Kazaa, e-Mule...).
Delitos informáticos como el ataque a otros equipos desde la propia red de
la empresa, realización de estafas electrónicas...
Descarga de herramientas de hacking, acceso a pornografía o a contenidos
ilegales en el país (Websites racistas o de grupos xenófobos o terroristas).
Envío a terceros de información confidencial de la empresa.
Los principales expertos en materia de Seguridad Informática ya nos han
alertado estos últimos años sobre la necesidad de contemplar el factor humano
como uno de los más importantes a la hora de implantar un Sistema de Gestión de
Seguridad de la Información.
Así, en palabras de Kevin Mitnick, uno de los hackers más famosos de la
historia, “usted puede tener la mejor tecnología, firewalls, sistemas de detección
5. 3
de ataques, dispositivos biométricos, etc. Lo único que se necesita es una llamada
a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos.”.
El propio experto en criptografía y seguridad Bruce Scheneir llegaba a
afirmar en uno de sus últimos libros, Secrets and Lies (Verdades y Mentiras) que
“...si piensas que la tecnología puede resolver tus problemas de seguridad,
entonces no entiendes el problema y no entiendes la tecnología”.
Por otra parte, en estos últimos años se han incrementado de forma
significativa los conflictos legales sobre la debida utilización de Internet y el correo
electrónico y, a falta de una clara normativa, se han dictado sentencias a favor de
unos y otros, empresarios y trabajadores, avalando en unos casos despidos por
abuso de Internet y rechazándolos en otros. Por todo ello, la implantación de un
Sistema de Gestión de Seguridad de la Información debería considerar el factor
humano como uno de sus elementos clave, contemplando aspectos como la
adecuada formación y sensibilización de los empleados, la implicación de los
responsables y directivos, la aprobación de un Reglamento Interno sobre el uso de
la Informática e Internet en la organización, etc.
2. FUNCIONES Y RESPONSABILIDADES DE LOS EMPLEADOS Y
DIRECTIVOS
Las funciones y obligaciones de cada una de las distintas personas que
tienen acceso a los datos y a los servicios del Sistema de Información de una
organización deberían estar claramente definidas.
Asimismo, la organización debería adoptar las medidas necesarias para que
estas personas conozcan las normas de seguridad que afecten al desarrollo de
sus funciones y obligaciones respecto a la utilización de los servicios y
herramientas informáticas y su acatamiento a las mismas, así como las
consecuencias en que pudiera incurrir cada usuario en caso de incumplimiento.
Debemos tener en cuenta que estas medidas afectan a los distintos colectivos que
pueden tener acceso a los servicios del Sistema de Información de la
organización:
Administradores de la red informática.
Desarrolladores de aplicaciones.
Técnicos responsables del mantenimiento de los equipos y de la red
informática.
Usuarios finales del sistema.
6. 4
Directivos. Personal externo: empresas de servicios que tienen acceso a los
recursos informáticos de la organización, etc.
Por todo ello, sería recomendable que la organización elaborase un
Reglamento Interno sobre Seguridad Informática, Utilización de Internet y
Protección de Datos de Carácter Personal, que tendría su base jurídica en el
entorno normativo existente en España y la Unión Europea: la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
(LOPD); el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el
Reglamento de Medidas de Seguridad de los Ficheros automatizados que
contengan Datos de Carácter Personal; la Ley de Servicios de la Sociedad de la
Información (LSSI); el nuevo Código Penal, que contempla nuevos tipos de delitos
informáticos y contra la propiedad intelectual; la Ley General de
Telecomunicaciones (LGT); etc.
Este Reglamento Interno debería ser consensuado con los representantes de
los empleados y el Departamento de Recursos Humanos de la organización, estar
autorizado por la Dirección y divulgado entre los empleados con acceso a los
recursos informáticos. Cada usuario del sistema debería conocer y aceptar estas
normas, haciéndose responsable de los daños y perjuicios que pudiera causar
debido a su falta de cumplimiento diligente. Asimismo, se deberían dar a conocer
cuáles serían las medidas disciplinarias adoptadas por la organización en caso de
incumplimiento.
Por supuesto, todas estas normas deberían ser transmitidas con total
transparencia a las personas que se incorporan a la organización y que puedan
tener acceso a sus recursos informáticos. Asimismo, los empleados con acceso a
datos sensibles deberían firmar en sus contratos cláusulas de confidencialidad y
de cumplimiento de determinadas normas básicas de seguridad informática y en
materia de protección de datos de carácter personal.
El personal afectado por esta normativa se podría clasificar en dos grandes
categorías:
1. Administradores del sistema, analistas, programadores y técnicos
informáticos, que se encargan de administrar o mantener el entorno del sistema
informático y de las aplicaciones de gestión, así como del desarrollo de nuevas
herramientas y aplicaciones. Este personal puede utilizar herramientas de
administración que permitan el acceso a los datos protegidos, servicios y
aplicaciones, saltándose las barreras de acceso de las aplicaciones o del sistema
operativo.
7. 5
2. Usuarios básicos del sistema informático y de las aplicaciones de
gestión que pueden tener acceso a los ficheros con datos y a los servicios
ofrecidos por la red informática de la organización. Dentro del primer grupo, los
administradores de la red informática y de los sistemas operativos dispondrán de
los máximos privilegios y, por tanto, tendrán acceso a todas las aplicaciones y
herramientas del sistema informático, así como a los ficheros o bases de datos
necesarios para resolver los problemas que surjan. Para reducir el riesgo de que
una actuación errónea pueda afectar a la seguridad del sistema, sólo deberían
utilizar una cuenta de administrador con los máximos privilegios cuando sea
necesario para ejercer sus funciones como tales, empleando una cuenta de un
usuario básico del sistema en las restantes ocasiones en que se encuentren
trabajando dentro de la red informática de la organización.
Por otra parte, las actuaciones de los analistas, programadores y técnicos
de operación y mantenimiento se tendrían que limitar a la operación de los
equipos y redes utilizando las herramientas de gestión disponibles. No deberían,
en principio, tener acceso directo a los datos de los ficheros, siempre y cuando su
actuación no precise de dicho acceso.
La normativa aprobada por la organización se encargaría, por lo tanto, de
regular el uso y acceso de las partes del sistema operativo, herramientas o
programas de utilidad o del entorno de red, de forma que se prohibiese
expresamente el acceso no autorizado a los ficheros con datos sensibles o a
determinados servicios o aplicaciones, sin pasar por los procedimientos de control
de acceso con los que puedan contar las aplicaciones. Por ello, ninguna
herramienta o programa de utilidad que permita el acceso directo a los ficheros y
bases de datos, como los editores universales, analizadores de ficheros, sniffers,
editores de consultas („queries‟) en gestores de bases de datos, etc., deberían ser
accesibles a ningún usuario o administrador no autorizado.
Por otra parte, todos los usuarios del sistema informático tendrían que aplicar
ciertas normas prácticas de seguridad relativas al manejo de los equipos y
aplicaciones a las que pueden tener acceso. Seguidamente se presentan, a modo
de ejemplo, algunas de las cuestiones a tener en cuenta en esta normativa para
los usuarios finales del sistema:
Cada equipo informático asignado a un puesto de trabajo estará bajo la
responsabilidad de uno de los usuarios autorizados en el sistema
informático de la organización.
Este usuario deberá garantizar que la información que muestra no pueda
ser vista por personas no autorizadas.
8. 6
Esto implica que tanto las pantallas como las impresoras u otro tipo de
dispositivos conectados al puesto de trabajo deberán estar físicamente
ubicados en lugares que garanticen esa confidencialidad.
Antes de abandonar el equipo del puesto de trabajo, ya sea temporalmente
o bien al finalizar su turno de trabajo, deberá cancelar todas las sesiones
activas y conexiones con los servidores de la red corporativa.
Utilizar un salvapantallas protegido con contraseña para bloquear su equipo
ante una ausencia del puesto de trabajo, aunque sea breve, de tal modo
que impida la visualización de los datos protegidos.
Impedir que otros usuarios puedan utilizar su identidad (nombre de usuario
y contraseña) para acceder al sistema. Para ello, deberán responsabilizarse
de guardar a buen recaudo su contraseña de acceso al sistema.
No introducir CD-ROM, disquetes u otros soportes en los equipos sin la
comprobación previa de que no contienen riesgos de ninguna clase (estén
dañados, contengan virus, etc).
No se cambiará la configuración del equipo ni se intentarán solucionar
problemas de funcionamiento. En caso de mal funcionamiento, el usuario
deberá comunicárselo a la persona encargada.
Sólo se utilizarán las herramientas corporativas, quedando prohibida la
instalación de software en los PC de la empresa que no haya sido
expresamente autorizado por el responsable de la seguridad del sistema.
No se podrán realizar copias de bases de datos o documentos clasificados
como confidenciales o que contengan datos personales en soportes
externos sin la previa autorización expresa del responsable de seguridad
del sistema.
Los disquetes y documentos con información sensible o confidencial se
deberán guardar en armarios o cajones bajo llave, evitando que por
descuido puedan dejarse encima de las mesas de trabajo u otros lugares
sin la adecuada protección.
En el caso de las impresoras los usuarios deberá asegurarse de que no
quedan documentos impresos en la bandeja de salida que contengan datos
protegidos. Si las impresoras son compartidas con otros usuarios no
autorizados para acceder a los datos de carácter personal, los
responsables de cada puesto deberán retirar los documentos conforme
vayan siendo impresos.
Deberá informarse de cualquier incidencia que pudiera afectar a la
seguridad de la red informática o el sistema de información. Los equipos y
medios informáticos de la organización no pueden ser sacados fuera de
ésta sin la correspondiente autorización.
Se limitará el acceso a Internet solamente a fines profesionales1,
compatible con las funciones propias del puesto de trabajo, prohibiéndose
9. 7
actividades de Internet ajenas a dicho fin. Se prohíbe expresamente la visita
de páginas de contenido ajeno a la actividad de la organización, la
descarga e intercambio de ficheros digitales (música, vídeos, libros) que
puedan vulnerar la propiedad intelectual, la participación en chats o en foros
de contenido general, o la utilización del correo electrónico para fines
particulares.
1 Se trata de una medida propuesta a modo de ejemplo, si bien la organización
podría considerar conveniente permitir el acceso limitado a Internet para ciertos
usos privados no relacionados con la actividad profesional del usuario
3. DEFINICION DE INGENIERIA SOCIAL.
La Ingeniería Social es el acto de manipular a una persona a través
de técnicas psicológicas y habilidades sociales para cumplir metas
específicas. Éstas contemplan entre otras cosas: la obtención de
información, el acceso a un sistema o la ejecución de una actividad más
elaborada (como el robo de un activo), pudiendo ser o no del interés de la
persona objetivo.
La Ingeniería Social se sustenta en un sencillo principio: “el usuario
es el eslabón más débil”. Dado que no hay un solo sistema en el mundo que
no dependa de un ser humano, la Ingeniería Social es una vulnerabilidad
universal e independiente de la plataforma tecnológica. A menudo, se
escucha entre los expertos de seguridad que la única computadora segura
es la que esté desenchufada, a lo que, los amantes de la Ingeniería Social
suelen responder que siempre habrá oportunidad de convencer a alguien de
enchufarla.
La Ingeniería Social es un arte que pocos desarrollan debido a que
no todas las personas tienen “habilidades sociales”. Aun así, hay individuos
que desde pequeños han demostrado tener la aptitud y con un poco de
entrenamiento convertirla en el camino ideal para realizar acciones
maliciosas. Por ejemplo, hay crackers que en vez de perder horas rompiendo
una contraseña, prefieren conseguirla preguntando por teléfono a un
empleado de soporte técnico.
10. 8
4. PRINCIPALES TECNICAS (FORMAS DE ATAQUE) DE
INGENIERIA SOCIAL.
En general, los métodos de la ingeniería social están organizados de la
siguiente manera:
Una fase de acercamiento para ganarse la confianza del usuario,
haciéndose pasar por un integrante de la administración, de la compañía o
del círculo o un cliente, proveedor, etc.
Una fase de alerta, para desestabilizar al usuario y observar la velocidad de
su respuesta. Por ejemplo, éste podría ser un pretexto de seguridad o una
situación de emergencia;
Una distracción, es decir, una frase o una situación que tranquiliza al
usuario y evita que se concentre en el alerta. Ésta podría ser un
agradecimiento que indique que todo ha vuelto a la normalidad, una frase
hecha o, en caso de que sea mediante correo electrónico o de una página
Web, la redirección a la página Web de la compañía.
La ingeniería social puede llevarse a cabo a través de una serie de medios:
Por teléfono,
Por correo electrónico,
Por correo tradicional,
Por mensajería instantánea,
etc.
Las formas de ataque son muy variadas y dependen de la imaginación
del atacante y sus intereses. En general, los ataques de Ingeniería Social
actúan en dos niveles: el físico y el psicosocial. El primero describe los
11. 9
recursos y medios a través de los cuales se llevará a cabo el ataque, y el
segundo es el método con el que se engañará a la víctima.
Las formas usadas a nivel son:
Ataque por teléfono. Es la forma más persistente de Ingeniería Social. En
ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose
pasar por alguien más, como un técnico de soporte o un empleado de la
misma organización. Es un modo muy efectivo, pues las expresiones del
rostro no son reveladas y lo único que se requiere es un teléfono.
Ataque vía Internet. Desde que Internet se volvió uno de los medios de
comunicación más importantes, la variedad de ataques en red se
incrementaron tanto como la gran cantidad de servicios que existen en él.
Los ataques más comunes son vía correo electrónico (obteniendo
información a través de un phishing o infectando el equipo de la víctima
con malware), web (haciendo llenar a la persona objetivo un formulario
falso) o inclusive conversando con personas específicas en salas de chat,
servicios de mensajería o foros.
Dumpster Diving o Trashing (zambullida en la basura). Consiste en
buscar información relevante en la basura, como: agendas
telefónicas, organigramas, agendas de trabajo, unidades de
almacenamiento (CD‟s, USB‟s, etc.), entre muchas otras cosas.
Ataque vía SMS. Ataque que aprovecha las aplicaciones de los celulares.
El intruso envía un mensaje SMS a la víctima haciéndola creer que el
mensaje es parte de una promoción o un servicio, luego, si la persona
lo responde puede revelar información personal, ser víctima de robo o dar
pié a una estafa más elaborada.
Ataque vía correo postal. Uno de los ataques en el que la víctima se
siente más segura, principalmente por la fiabilidad del correo postal. El
perpetrador envía correo falso a la víctima, tomando como patrón alguna
suscripción de una revista, cupones de descuento, etc. Una vez que
diseña la propuesta para hacerla atractiva, se envía a la víctima, quien si
todo sale bien, responderá al apartado postal del atacante con todos sus
datos.
12. 10
Ataque cara a cara. El método más eficiente, pero a la vez el más difícil
de realizar. El perpetrador requiere tener una gran habilidad social y
extensos conocimientos para poder manejar adecuadamente cualquier
situación que se le presente. Las personas más susceptibles suelen ser
las más “inocentes”, por lo que no es un gran reto para el atacante
cumplir su objetivo si elige bien a su víctima.
5. COMO EVITAR SER VICTIMAS DE INGENIERIA SOCIAL.
A pesar de que son muchas las formas en que uno es vulnerable a este tipo de
ataques, existen varias medidas de seguridad para prevenirlos, entre las cuales
tenemos:
Desconfíe de cualquier mensaje de e-mail en el que se le ofrece
la posibilidad de ganar dinero con facilidad
Nunca divulgar información sensible con desconocidos o en lugares
públicos (como redes sociales, anuncios, páginas web, etc.).
No aceptar en redes sociales a gente desconocida.
Descargar aplicaciones de su fuente original. Esto evitará las infecciones en
el equipo.
Si se sospecha que alguien intenta realizar un engaño, hay que exigir se
identifique y tratar de revertir la situación intentando obtener la mayor
cantidad de información del sospechoso.
Sospeche de llamadas telefónicas, visitas inesperadas o correos
electrónicos con preguntas específicas sobre empleados o información
interna de la organización. Si un desconocido afirma ser de una
organización legítima, intente verificar su identidad directamente con la
compañía.
No proporcione información personal o información acerca de su
organización, incluyendo la estructura de la organización o de la red, a
menos que esté seguro que la persona es la indicada para obtenerla.
No revele información personal o financiera a través de correo electrónico ni
responda a quien solicite este tipo de información. Esto incluye también
hacer clic en enlaces enviados a través de correo electrónico.
No envíe información sensible a través de Internet antes de verificar la
seguridad del sitio web.
Ponga atención en la URL del sitio web. Los sitios web maliciosos pueden
parecer idénticos a los sitios legítimos, pero la URL puede tener variaciones
o un dominio diferente.
13. 11
Si no está seguro de la legitimidad de un correo electrónico, intente
verificarlo contactando directamente a la compañía. No utilice el contacto
asociado al correo electrónico.
Instale y actualice software antivirus, firewalls y filtros de correo electrónico
con el propósito de reducir el tráfico de este tipo.
No utilizar cuentas de correo electrónico para uso personal y asuntos
laborales al mismo tiempo, es decir, tener una cuenta de correo electrónico
para asuntos personales y otra para asuntos laborales.
Jamás responder a un mensaje de spam
No hacer clic en los enlaces en los mensajes de spam ya que pueden ser
utilizados para confirmar al spammer que se trata de una cuenta de correo
activa.
En conexiones libres como en bares, cafés y lugares públicos, es bueno
tener en cuenta el no usar servicios que requieran información sensible
como usuario y contraseña.
Crear contraseñas largar que contengan números y letras mayúsculas,
además, utilizar distintas contraseñas para cada servicio utilizado
En sitios web que requieran información de usuario y contraseña, chequear
que utilizan https en lugar de http.
Para el caso de las organizaciones, existen otras medidas de seguridad que
deben de seguir todo el personal de la empresa, las cuales son:
Deberá contar y documentar una política de seguridad y que sea difundida
a todo el personal, manteniendo un control de cumplimiento de la misma.
Seguimiento y auditorías sobre la aplicación de las normas. Dado que con
el tiempo es factible que se reblandezca la seguridad, es importante
asegurar su continuidad mediante la vigilancia constante.
Tener un procedimiento de validación de llamadas telefónicas y solicitud de
requerimientos.
Comunicar a los colaboradores del trabajo la intervención de cualquier
personal autorizado de forma explícita verbal y escrita.
No proporcionar información relevante de los compañeros de trabajo, en su
defecto canalizar el requerimiento con una persona facultada para
proporcionar esta información, además de tomar nota del evento.
Destrucción de información sensible. Ciertos documentos, dado su
contenido, deben ser destruidos completamente en lugar de ser sólo
enviados al cesto de basura.
Mantener el escritorio de trabajo libre de documentos con información
sensible o confidencial.
14. 12
El personal debe apegarse a los lineamientos de seguridad dentro y fuera
de la compañía en el caso de contener equipos móviles con información
sensible.
No visitar sitios Web y abrir correo electrónico de dudosa procedencia o
contenido, desde los equipos provistos por la compañía.
Mantener el software de seguridad como antivirus, antispyware y firewall
personal actualizado.
Visualizar que el monitoreo de las cámaras de video sea efectivo,
manteniendo una colocación y orientación estratégica, sobre todo en
aquellos equipos o lugares de trabajo de mayor importancia.
Verificar que la identidad de todo personal externo o desconocido este
siempre visible en las oficinas de trabajo.
Verificar que los gafetes de acceso al inmueble sean los adecuados para el
personal externo.
Orientar al personal en cuanto a la utilización de dispositivos móviles como
reproductores de mp3, que no contengan información sensible o
confidencial.
Verificar el buen funcionamiento de las puertas de acceso al piso de
oficinas y verificar que no entre personal sin autorización por escrito y/o
acompañado del responsable de la visita.
Mantener la vigilancia de entrada al piso de forma permanente verificando y
validando el registro en la bitácora de acceso.
No platique cerca de desconocidos sobre cosas que proporcionen
información relevante de la organización.
Llevar a cabo Auditorías de seguridad: consiste en apoyarse en un tercero
de confianza (generalmente una compañía que se especializada en la
seguridad informática) para validar las medidas de protección que se llevan
a cabo, sobre la base de la política de seguridad.
Capacitar al personal sobre fraudes electrónicos y medidas preventivas
6. EJEMPLOS DE INGENIERIA SOCIAL.
Estafa de soporte técnico
Una persona hace llamadas fingiendo ser empleado de un banco o de una
empresa (cable, telefonía, etc.) para solicitar tus datos personales.
15. 13
Recibir un mensaje por e-mail, donde el remitente es el gerente o alguien
en nombre del departamento de soporte de tu banco. En el mensaje dice
que el servicio de Internet Banking está presentando algún problema y que
tal problema puede ser corregido si ejecutas la aplicación que está adjunto
al mensaje.
La ejecución de esta aplicación presenta una pantalla análoga a la que
usted utiliza para tener acceso a la cuenta bancaria, esperando que usted
teclee su contraseña. En verdad, esta aplicación está preparada para robar
tu contraseña de acceso a la cuenta bancaria y enviarla al atacante.
Estafa Nigeriana:
• Un banco nos dice que hemos recibido una cierta cantidad de dinero, y
para poder disponer de ese dinero debemos acceder a una página web con
nuestras credenciales bancarias.
• Nos ha tocado la lotería (aunque no hayamos jugado) somos
multimillonarios y para hacerlo realidad solo tenernos que pagar, en concepto
de tasas, una insignificante cantidad de dinero en comparación con el premio.
Archivos Adjuntos
Un correo electrónico con un enlace a un video pornográfico de alguna
celebridad, al hacer click al enlace te descarga un troyano.
Páginas Fraudulentas
Una página web o programa que nos proporciona el historial de
conversaciones de nuestros contactos, o simplemente quien nos ha
suprimido como contactos de nuestro cliente de mensajería preferido. Para
obtener esta información solo tenemos que acceder a dicha web con
nuestro usuario y password.
Otro puede ser un scam, o sitio web modificado con fines maliciosos, como
cuando se utilizó la estética de la gira de los Rolling Stones para crear un
sitio que prometía entradas gratis a cambio de clics en Facebook.
16. 14
USB infectado
Un sujeto se acerca y habla con otro, después de 5 minutos le dice que
ocupa mandar un documento importante y pide prestado la laptop de la
víctima, al momento de prestárselo el sujeto ejecuta un programa e infecta
con un malware la laptop
Un sujeto deja a propósito un usb en un lugar determinado con el objetivo
de que una persona lo recoja y al momento de conectarlo en su ordenador
se infecte con un malware.
17. 15
CONCLUSIÓN
Las medidas de seguridad informática siempre implican más cuidado,
sin embargo, se presta poca atención al factor humano en la seguridad
informática, las personas representan la parte más débil debido ya que no
obedecen indicaciones o no se les avisa de que están siendo atacadas de
manera maliciosa, como es el caso de un ordenador, por eso es importante
estar bien informados al momento de descargar algo de internet, porque al
no estar bien informados nuestro equipo se puede dañar y eso puede
conllevar la perdida de información valiosa.
Los directivos siempre deben emplear medidas de seguridad para
mantener vigilados a sus empleados para que estos no cometan fallos o
errores que afecten su seguridad, es por eso que se deben tener un
reglamento para que estos sean más cuidadosos al navegar por internet y el
incumplimiento de ellos trae consigo diversas consecuencias.
Durante esta investigación nos adentramos en la definición de ingeniería
social, descubriendo que hace falta más que conocimiento técnico acerca de
las tecnologías de la información para poder llegar a afectar el sistema de
datos de un individuo o compañía sino que se requieren habilidades sociales
para poder adentrarse en el entorno de la persona que se verá afectada,
este acto le añade complejidad a la denominada „‟ingeniería social‟‟
haciéndola ver como un „‟arte‟‟
18. 16
Respecto a las formas de ataques se entiende el nivel de dificultad
que tiene cada uno de ellos porque no cualquiera puede efectuar por
ejemplo un acercamiento cara a cara con la persona que se pretende
engañar; reiterando que la ingeniería social no solo es un acción técnica sino
un legítimo acto de manipulación por parte de un „‟timador‟‟ que va más allá
de conseguir datos acerca del afectado sino que procura obtener todo lo
relacionado para poder amenazarlo de manera que este se vea obligado a
cumplir con sus peticiones, siendo una amenaza inminente por la situación
anónima que le ofrecen las tecnologías.
Es importante que las personas conozcan los métodos que existen
para evitar el ser víctimas de la Ingeniería Social ya que, ésta ha
evolucionado a tal grado que todos nosotros somos vulnerables a ser
víctimas por medio de nuestros ordenadores, celulares, etc. Por ello
debemos tener en cuenta que podemos evitar esto con prácticas tan
sencillas, que si prestamos atención a éstas, la mayoría se refieren al uso de
la razón y de desconfiar un poco antes de realizar una acción, por ejemplo:
el no revelar información personal, no hacer clics a anuncios o correos en
donde se nos prometa algo de forma gratuita (spam), no aceptar a gente
desconocida en redes sociales o incluso, navegar en internet con un
Antivirus.
También es importante conocer algunos de los ejemplos sobre cómo
se aplica Ingeniería social ya que al conocerlos distinguiremos con mayor
19. 17
facilidad si nos encontramos en una situación donde seamos víctimas o no.
Uno de estos ejemplos nos habla de cómo se aprovechan de un
acontecimiento (ej. video escandaloso de Obama) para crear a partir de
éste, un correo electrónico con un virus, que al abrirlo la víctima, se
descargará su dispositivo y la persona que mando el correo logrará tener
acceso a la información se encuentre en el dispositivo infectado (tarjetas de
crédito, cuentas de correo, etc.). Al conocer este ejemplo, nos damos cuenta
que todos podemos ser víctimas de la ingeniería social.
20. 18
BIBLIOGRAFÍA
Gómez Vieites, Á. (2007). Enciclopedia de la Seguridad Informática. En G. V.
Álvaro, Enciclopedia de la Seguridad Informática (págs. 78-98). Alfaomega
Edición: 1era.
Anónimo. (10 de Agosto de 2015). Ejemplos de ataques de Ingeniería Social.
Recuperado el 28 de Abril de 2016, de Ciberseguridad Gits:
http://www.gitsinformatica.com/ingenieria%20social.html#ejemplosis
Castellanos, E. J. ( Mié, 04 de Mayo de 2011). Seguridad de la información.
Recuperado el 08 de Abril de 2016, de Revista Seguridad UNAM:
http://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social-
corrompiendo-la-mente-humana
Dueñas, J. B. (18 de Marzo de 2011). La ingeniería social y los [malos] hábitos de
los usuarios. Recuperado el 24 de Abril de 2016, de alcancelibre:
http://www.alcancelibre.org/staticpages/index.php/ingenieria-social-malos-
habitos-usuarios
Gómez Veites, A. (1 de Agosto de 2014). La importancia del factor humano en la
seguridad. Recuperado el 28 de Abril de 2016, de Edisa:
http://www.edisa.com/wp-
content/uploads/2014/08/La_importancia_del_factor_humano_en_la_Seguri
dad_Informatica.pdf
Navarro Navarro, A. (31 de Enero de 2011). Como evitar ser víctima de la
Ingeniería social. Recuperado el 26 de Abril de 2016, de Tics Consulting:
http://www.ticsconsulting.es/blog/generar-claves-seguras-3
Perez, I. (21 de Mayo de 2014). Las técnicas de Ingeniería Social evolucionaron,
¡presta atención! Recuperado el 25 de Abril de 2016, de Welivesecurity:
http://www.welivesecurity.com/la-es/2014/05/21/tecnicas-ingenieria-social-
evolucionaron-presta-atencion/
Téllez Valdés, J. (2009). Delitos informáticos. En J. Téllez Valdés, Derecho
informático (pág. 209). McGraw-Hill Interamericana.
UNAM-CERT. (2 de Junio de 2005). Evitando ataques de ingeniería social y de
phishing. Recuperado el 20 de abril de 2016, de UNAM:
http://www.seguridad.unam.mx/documento/?id=36
21. 19
Villagómez, C., & Ortega, Á. (Marzo de 2016). Ingeniería social. Recuperado el 28
de Abril de 2016, de ccm: http://es.ccm.net/contents/25-ingenieria-social