CONTRATO DE COMPRAVENTA CON GARANTÍA HIPOTECARIA.doc
Ingenieria Social & Importancia del Factor Humano en La Seguridad
1. UNIVERSIDAD AUTÓNOMA DE BAJA CALIFORNIA
FACULTAD DE DERECHO
TRABAJO DE INVESTIGACIÓN
“LA IMPORTANCIA DEL FACTOR HUMANO EN LA SEGURIDAD
INFORMATICA”
Presenta:
ACOSTA HERRERA ANA PAULA
HERRERA TRUJILLO BETHSABE
PROFESOR
MARTINEZ ALCARAZ ABELARDO
TIJUANA BAJA CALIFORNIA ABRIL 2016
2. Importancia del Factor Humano en la Seguridad Informática.
2
ÍNDICE
1. Introducción ..........................................................................................3
2. El factor humano en la seguridad informática ..................................... 4
2.1.Funciones y responsabilidades de los empleados y directivos.......5
3. Ingeniería Social.. .................................................................................6
3.1.Principales técnicas (formas de ataque) de Ingeniería Social. ......7
3.2.Como evitar ser víctimas Ingeniería Social. ...................................8
4. Ejemplos de Ingeniería Social...............................................................9
5. Conclusión ..........................................................................................10
6. Bibliografías. .......................................................................................11
3. Importancia del Factor Humano en la Seguridad Informática.
3
INTRODUCCIÓN
Podríamos entender dentro del contexto general de la Seguridad de la Información
a cualquier medida adoptada por una organización que trate de evitar que se
ejecuten operaciones no deseadas ni autorizadas sobre un sistema o red
informática, cuyos efectos puedan
Conllevar daños sobre la información
Comprometer la confidencialidad.
Disminuir el rendimiento.
Bloquear el acceso de usuarios autorizados al sistema.
Por su parte, la norma ISO/IEC 17799 define la Seguridad de la Información en un
sentido amplio como la “preservación de su confidencialidad, su integridad y su
disponibilidad”. La información constituye un recurso que en muchos casos no se
valora adecuadamente por su intangibilidad (cosa que no ocurre con los equipos
informáticos, la documentación o las aplicaciones) y, además, las medidas de
seguridad no influyen en la productividad del sistema, sino, más bien, al contrario,
podrían disminuir su rendimiento e incrementar los gastos necesarios para su
explotación y mantenimiento, por lo que las organizaciones son reticentes a dedicar
recursos a esta tarea.
4. Importancia del Factor Humano en la Seguridad Informática.
4
EL FACTOR HUMANO EN LA SEGURIDAD DE LA
INFORMACIÓN
Siempre lo dicen los analistas expertos en seguridad informática y pocas veces se
los escucha: los riesgos a la seguridad de una empresa son más altos a nivel interno
que a nivel externo.
La implantación de unas adecuadas medidas de Seguridad de la Información exige
contemplar aspectos técnicos (antivirus, cortafuegos, IDS...), organizativos (planes
y procedimientos) y legales (cumplimiento de la legislación vigentes sobre
protección de datos, uso de la firma electrónica, propiedad intelectual, etc.). No
obstante, en muchas ocasiones se presta muy poca atención a la importancia del
factor humano en la seguridad informática. Según varios estudios publicados, más
del 75 % de los problemas inherentes a la seguridad se producen por fallos en la
configuración de los equipos o por un mal uso por parte del personal de la propia
organización. Además, hay que tener en cuenta que una empresa u organización
puede ser responsable subsidiara por los actos de sus empleados, que en nuestro
país pueden acarrear importantes sanciones económicas, teniendo en cuenta la
legislación vigente (LOPD, LSSICE, Código Penal...):
Envíos de comunicaciones comerciales no solicitadas (spam), que puede
acarrear una multa de hasta 150.000 euros, al incumplir la LSSICE.
Cesiones no autorizadas de datos de carácter personal, con multas de hasta
600.000 euros, al incumplir con los preceptos de la LOPD.
Delitos contra la propiedad intelectual, si se instalan y utilizan programas de
intercambio de ficheros P2P (como Kazaa, eMule...).
Delitos informáticos como el ataque a otros equipos desde la propia red de la
empresa, realización de estafas electrónicas...
Descarga de herramientas de hacking, acceso a pornografía o a contenidos
ilegales en el país (Websites racistas o de grupos xenófobos o terroristas).
Envío a terceros de información confidencial de la empresa. Los principales
expertos en materia de Seguridad Informática ya nos han alertado estos últimos
años sobre la necesidad de contemplar el factor humano como uno de los más
importantes a la hora de implantar un Sistema de Gestión de Seguridad de la
Información. Así, en palabras de Kevin Mitnick, uno de los hackers más famosos
de la historia, “usted puede tener la mejor tecnología, firewalls, sistemas de
detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es
una llamada a un empleado desprevenido e ingresan sin más. Tienen todo en
sus manos.”.
El propio experto en criptografía y seguridad Bruce Scheneir llegaba a afirmar en
uno de sus últimos libros, Secrets and Lies (Verdades y Mentiras) que “...si piensas
5. Importancia del Factor Humano en la Seguridad Informática.
5
que la tecnología puede resolver tus problemas de seguridad, entonces no
entiendes el problema y no entiendes la tecnología”. Por otra parte, en estos últimos
años se han incrementado de forma significativa los conflictos legales sobre la
debida utilización de Internet y el correo electrónico y, a falta de una clara normativa,
se han dictado sentencias a favor de unos y otros, empresarios y trabajadores,
avalando en unos casos despidos por abuso de Internet y rechazándolos en otros.
Por todo ello, la implantación de un Sistema de Gestión de Seguridad de la
Información debería considerar el factor humano como uno de sus elementos clave,
contemplando aspectos como la adecuada formación y sensibilización de los
empleados, la implicación de los responsables y directivos, la aprobación de un
Reglamento Interno sobre el uso de la Informática e Internet en la organización, etc.
FUNCIONES Y RESPONSABILIDADES DE LOS EMPLEADOS Y
DIRECTIVOS
Las funciones y obligaciones de cada una de las distintas personas que tienen
acceso a los datos y a los servicios del Sistema de Información de una organización
deberían estar claramente definidas. Asimismo, la organización debería adoptar las
medidas necesarias para que estas personas conozcan las normas de seguridad
que afecten al desarrollo de sus funciones y obligaciones respecto a la utilización
de los servicios y herramientas informáticas y su acatamiento a las mismas, así
como las consecuencias en que pudiera incurrir cada usuario en caso de
incumplimiento. Debemos tener en cuenta que estas medidas afectan a los distintos
colectivos que pueden tener acceso a los servicios del Sistema de Información de
la organización: Administradores de la red informática. Desarrolladores de
aplicaciones. Técnicos responsables del mantenimiento de los equipos y de la red
informática. Usuarios finales del sistema. Directivos. Personal externo: empresas de
servicios que tienen acceso a los recursos informáticos de la organización.
Etc. Por todo ello, sería recomendable quela organización elaborase un Reglamento
Interno sobre Seguridad Informática, Utilización deInternet y Protección de Datos de
Carácter Personal, que tendría su base jurídica en el entorno 2. normativo existente
en España y la Unión Europea: la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (LOPD); el Real Decreto 994/1999, de
11 dejunio, por el que se aprueba el Reglamento deMedidas de Seguridad de los
Ficheros automatizados que contengan Datos de Carácter Personal; la Ley de
Servicios de la Sociedad de laInformación (LSSI); el nuevo Código Penal,
quecontempla nuevos tipos de delitos informáticosy contra la propiedad intelectual;
la Ley Generalde Telecomunicaciones (LGT); etc. Este Reglamento Interno debería
ser consensuado con los representantes de los em- pleados y el Departamento de
6. Importancia del Factor Humano en la Seguridad Informática.
6
Recursos Humanos de la organización, estar autorizado por la Dirección y divulgado
entre los empleados con acceso a los recursos informáticos. Cada usuario del
sistema debería conocer y aceptar estas normas, haciéndose responsable de los
daños y perjuicios que pudiera causar debido a su falta de cumplimiento diligente.
Asimismo, se deberían dar a conocer cuáles serían las medidas disciplinarias
adoptadas por la organización en caso de incumplimiento. Por supuesto, todas
estas normas deberían ser transmitidas con total transparencia a las personas que
se incorporan a la organización y que puedan tener acceso a sus recursos
informáticos. Asimismo, los empleados con acceso a datos sensibles deberían
firmar en sus contratos cláusulas de confidencialidad y de cumplimiento de
determinadas normas básicas de seguridad informática y en materia de protección
de datos de carácter personal.
INGENIERIA SOCIAL
El término "ingeniería social" hace referencia al arte de manipular personas para
eludir los sistemas de seguridad. Éstas contemplan entre otras cosas: la
obtención de información, el acceso a un sistema o la ejecución de una
actividad más elaborada (como el robo de un activo), pudiendo ser o no del
interés de la persona objetivo.
Es una técnica de hackeo utilizada para sustraer información a otras personas
teniendo como base la interacción social, de tal manera que la persona
vulnerada no se dé cuenta cómo o cuándo dio todos los datos necesarios para
terminar siendo la víctima de un ataque informático.
La Ingeniería Social se sustenta en un sencillo principio: “el usuario es el
eslabón más débil”.
Los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de
la inocencia del usuario haciéndose pasar por un compañero de trabajo, un técnico
o un administrador, etc.
En general, los métodos de la ingeniería social están organizados de la siguiente
manera:
Una fase de acercamiento para ganarse la confianza del usuario, haciéndose
pasar por un integrante de la administración, de la compañía o del círculo o un
cliente, proveedor, etc.
7. Importancia del Factor Humano en la Seguridad Informática.
7
Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su
respuesta. Por ejemplo, éste podría ser un pretexto de seguridad o una situación
de emergencia;
Una distracción, es decir, una frase o una situación que tranquiliza al usuario y
evita que se concentre en el alerta. Ésta podría ser un agradecimiento que
indique que todo ha vuelto a la normalidad, una frase hecha o, en caso de que
sea mediante correo electrónico o de una página Web, la redirección a la página
Web de la compañía.
Así, la ingeniería social termina convirtiéndose en el arte del aprovechamiento de las
circunstancias intencionales y azarosas, pues apela a las características
psicológicas humanas como la curiosidad, el miedo o la confianza, las cuales
ocasionan que las personas no reaccionen siempre de la misma manera.
PRINCIPALES FORMAS DE ATAQUE
Las amenazas de ingeniería social son peores que el malware más intrusivo, ya
que es más difícil protegerse frente a ellas. ¿El motivo? El objetivo es usted, no
simplemente su sistema.
Las formas de ataque son muy variadas y dependen de la imaginación del
atacante y sus intereses. En general, los ataques de Ingeniería Social
actúan en dos niveles: el físico y el psicosocial. El primero describe los
recursos y medios a través de los cuales se llevará a cabo el ataque, y el
segundo es el método con el que se engañará a la víctima.
Las formas usadas a nivel físico son:
Ataque por teléfono. Es la forma más persistente de Ingeniería Social. En
ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose
pasar por alguien más, como un técnico de soporte o un empleado de la
misma organización. Es un modo muy efectivo, pues las expresiones del
rostro no son reveladas y lo único que se requiere es un teléfono.
Ataque vía internet. Los ataques más comunes son vía correo electrónico
(obteniendo información a través de un phishing o infectando el equipo de
la víctima con malware), web (haciendo llenar a la persona objetivo un
formulario falso) o inclusive conversando con personas específicas en
salas de chat, servicios de mensajería o foros.
Dumpster Diving o Trashing (zambullida en la basura). Consiste en buscar
información relevante en la basura-
8. Importancia del Factor Humano en la Seguridad Informática.
8
Ataque vía correo postal. Uno de los ataques en el que la víctima se siente
más segura, principalmente por la fiabilidad del correo postal. El
perpetrador envía correo falso a la víctima, tomando como patrón alguna
suscripción de una revista, cupones de descuento, etc. Una vez que diseña
la propuesta para hacerla atractiva, se envía a la víctima, quien si todo sale
bien, responderá al apartado postal del atacante con todos sus datos.
Ataque cara a cara. El método más eficiente, pero a la vez el más difícil de
realizar. El perpetrador requiere tener una gran habilidad social y extensos
conocimientos para poder manejar adecuadamente cualquier situación que
se le presente. Las personas más susceptibles suelen ser las más
“inocentes”, por lo que no es un gran reto para el atacante cumplir su
objetivo si elige bien a su víctima.
Por otro lado, existen entornos psicológicos y sociales que pueden influir en
que un ataque de ingeniería social sea exitoso. Algunos de ellos, son:
“Exploit de familiaridad”. Táctica en que el atacante aprovecha la
confianza que la gente tiene en sus amigos y familiares, haciéndose
pasar por cualquiera de ellos. Un ejemplo claro de esto ocurre cuando
un conocido llega a una fiesta con uno de sus amigos. En una situación
normal nadie dudaría de que ese individuo pudiera no ser de confianza.
Pero ¿de verdad es de fiar alguien a quien jamás hemos tratado?
Crear una situación hostil. El ser humano siempre procura alejarse de
aquellos que parecen estar locos o enojados, o en todo caso, salir de su
camino lo antes posible. Crear una situación hostil justo antes de un
punto de control en el que hay vigilantes, provoca el suficiente estrés
para no revisar al intruso o responder sus preguntas.
COMO EVITAR SER VICTIMAS
Nunca divulgar información sensible con desconocidos o en lugares
públicos (como redes sociales, anuncios, páginas web, etc.).
Si se sospecha que alguien intenta realizar un engaño, hay que exigir se
identifique y tratar de revertir la situación intentando obtener la mayor
cantidad de información del sospechoso.
Implementar un conjunto de políticas de seguridad en la organización que
minimice las acciones de riesgo.
Efectuar controles de seguridad física para reducir el peligro inherente a
las personas.
Realizar rutinariamente auditorías y pentest usando Ingeniería Social para
detectar huecos de seguridad de esta naturaleza.
9. Importancia del Factor Humano en la Seguridad Informática.
9
Llevar a cabo programas de concientización sobre la seguridad de la
información.
averigüe la identidad de la otra persona al solicitar información precisa (apellido,
nombre, compañía, número telefónico);
si es posible, verifique la información proporcionada;
pregúntese qué importancia tiene la información requerida.
EJEMPLOS DE INGENIERIA SOCIAL.
Recibir un mensaje por e-mail, donde el remitente es el gerente o alguien en
nombre del departamento de soporte de tu banco. En el mensaje dice que
el servicio de Internet Banking está presentando algún problema y que tal
problema puede ser corregido si ejecutas la aplicación que está adjunto al
mensaje.
La ejecución de esta aplicación presenta una pantalla análoga a la que usted
utiliza para tener acceso a la cuenta bancaria, esperando que usted teclee
su contraseña. En verdad, esta aplicación está preparada para robar tu
contraseña de acceso a la cuenta bancaria y enviarla al atacante.
Recibir un mensaje de e-mail, diciendo que tu computadora está infectada
por un virus.
El mensaje sugiere que instales una herramienta disponible en un sitio web
de Internet para eliminar el virus de tu computadora. La función real de esta
herramienta no es eliminar un virus, sino permitir que alguien tenga acceso
a tu computadora y a todos los datos almacenados.
Un desconocido llama a tu casa y dice ser del soporte técnico de tu
proveedor de internet.
En esta comunicacion te dice que tu conexión con internet está presentando
algún problema y, entonces, te pide tu contraseña para corregirlo.
Si le entregas tu contraseña, este supuesto técnico podrá realizar una
infinidad de actividades maliciosas, utilizando tu cuenta de acceso internet
y, por lo tanto, relacionando tales actividades con tu nombre.
Mediante una llamada telefónica alguien se hace pasar por nuestra
compañía telefónica, nos pregunta si estamos contentos con el servicio
recibido, nos dice que confirmemos nuestro domicilio para verificar que están
hablando realmente con el titular de la línea.
Llegan a decirnos que para comprobar que son quien realmente dicen no
10. Importancia del Factor Humano en la Seguridad Informática.
10
tenemos más que darles el número de nuestro D.N.I y ellos nos contestarán
con la letra del mismo (esta letra se obtiene simplemente con una fórmula
que asocia y relaciona el número del DNI O NIF con la letra a través de la
suma de los diferentes dígitos que contiene) o sea algo que todos podríamos
hacer con esa fórmula.
CONCLUSIÓN.
Después de realizar esta investigación podemos concluir que definitivamente la
seguridad informática es muy importante y la mayor parte del tiempo ni siquiera nos
percatamos del peligro que corremos mientras navegamos en las redes y
publicamos información personal. Como ya fue explicado anteriormente la
“ingeniería social” la cual es conocida como el arte de manipular personas para
eludir los sistemas de seguridad, se sustenta de personas como nosotros, los
usuarios y a la vez sus víctimas. Consideramos que es de extrema importancia
fomentar más las medidas de seguridad establecidas para no ser víctimas ya sea
por vía telefónica, vía internet, cara a cara, vía correo postal, etc. Por nuestra propia
seguridad y por la de nuestros familiares, amigos, hijos, menores, y de todos
nuestros seres queridos debemos dar a conocer porque es importante la seguridad
informática y que es lo que debemos de hacer para mantenernos seguros y fuera
de peligro ya que hoy en día se maneja gran cantidad de información personal y
muchas veces nos estamos poniendo en riesgo nosotros mismos sin darnos cuenta.
11. Importancia del Factor Humano en la Seguridad Informática.
11
BIBLIOGRAFÍAS.
I.Pérez.(2014). “Las técnicas de Ingeniería Social Evolucionaron, Presta Atención!”.
Recuperado en abril 2016 de: http://www.welivesecurity.com/la-
es/2014/05/21/tecnicas-ingenieria-social-evolucionaron-presta-atencion/
A.Arbelaez.(2014). "Ingeniería Social: Hackeo Silencioso”. Recuperado en abril
2016 de: http://www.enter.co/guias/tecnoguias-para-empresas/ingenieria-social-el-
hackeo-silencioso/
S.a(2016). “Ingeniería Social”. Recuperado en abril 2016 de:
http://es.ccm.net/contents/25-ingenieria-social
Gomez.A.(sf). “La Importancia del Factor Humano en la Seguridad Informática”.
Recuperado en abril 2016 de: http://www.edisa.com/wp-
content/uploads/2014/08/La_importancia_del_factor_humano_en_la_Seguridad_In
formatica.pdf
REVISTA .SEGURIDAD, DEFENSA DIGITAL. J.Sandoval.(2015). “Ingeniería
Social: Corrompiendo la Mente Humana”. Recuperado en abril 2016 de:
http://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social-
corrompiendo-la-mente-humana
J.Chacón. (2015). “Seguridad Informática: Factor Humano”. Recuperado en abril
2016 de: http://revistaentoas.com/seguridad-informatica-factor-humano-principios/