jueves, 14 de julio de 2011

SEGURIDAD SOCIAL


SEGURIDAD SOCIAL

RUBY YADIRA MORENO RAMIREZ
SEMINARIO DE GRADO
FUNDACION UNIVERSITARIA SAN MATEO


La seguridad social es un conjunto de habilidades, técnicas y engaños usados por ciber-delicuentes para engañar a sus víctimas y si bien la seguridad informática a evolucionado enormemente, los creadores de malware, spammers y demás también han ido refinando e implementando nuevas técnicas para lograr sus fines.

I.  Introducción

Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

La ingeniería social es un campo estudiado por investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

Se dice a menudo que la única computadora segura es aquella, que nunca será encendida. Cualquier persona con el acceso a alguna parte del sistema, físicamente o electrónicamente, es un riesgo para los activos informáticos. Por lo tanto, se puede identificar la base de la ingeniería social es que los usuarios son el eslabón débil de un sistema informático.

Según Pablo M. Caruana, la Ingeniería Social “básicamente se denomina como todo artilugio, tretas y técnicas más elaboradas a través del engaño de las personas en revelar contraseñas u otra información, más que la obtención de dicha información a través de las debilidades propias de una implementación y mantenimiento de un sistema”. 

Es decir, en el campo de la seguridad informática, la ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

 El primero es simplemente una demanda directa, donde a un individuo se le pide completar su tarea directamente. Aunque probablemente tenga menor éxito, éste es el método más fácil y el más sincero.

                En terminología hacker, hacer ingeniería social es persuadir o manipular a una persona para obtener datos útiles sobre ellos mismos o las empresas en donde trabajan.

Suelen utilizarse métodos de engaños para obtener contraseñas o información útil. Pueden emplearse páginas web falsas, programas engañosos o incluso simplemente chatear con una persona ignorante del tema. Increíblemente, la mayoría de las personas son lo suficientemente ilusas como para dar contraseñas a un extraño.

La ingeniería social es muy empleada en el crimeware y el phishing.

II.  PRINCIPIOS DE LA INGENIERIA SOCIAL

La ingeniería social se basa en los siguientes cuatro principios que se presentan en las personas atacadas:

Ø  TODOS QUEREMOS AYUDAR. El ser humano siente la necesidad de apoyar en las actividades y el trabajo de otras personas, por lo que es muy difícil encontrar una persona que se niegue a compartir información si esta fue solicitada con el pretexto de ayudar.
Ø  EL PRIMER MOVIMIENTO ES SIEMPRE DE CONFIANZA HACIA EL OTRO. Rara vez los seres humanos preguntan para qué se está solicitando la información, se da por entendido que el uso de la misma será siempre legal.
Ø  NO NOS GUSTA DECIR QUE NO. Aún se tenga la desconfianza en la persona que solicita la información o bien, no se este convencido de proporcionarla, al ser humano le será difícil negar el acceso a la misma.
Ø  A TODOS NOS GUSTA QUE NOS ALABEN. A las personas les gusta siempre que alimenten su ego, por lo tanto, cuando se proporciona la información, generalmente se recibe un estímulo sentimental, que generará una percepción distinta de quien solicita la información.



III. TIPOS DE INGENIERIA SOCIAL


Existen dos tipos de Ingeniería Social, la primera basada en humanos y se refiere la interacción de persona a persona para recuperar la información deseada. La segunda es basada en computadoras e intenta obtener información a través de programas, principalmente de uso en Internet:

Ø  INGENIERÍA SOCIAL BASADA EN PERSONAS: Los ingenieros sociales manipulan y explotan los sentimientos y emociones de las personas tales como el miedo, la curiosidad, el sexo, la avaricia, la compasión y el  deseo de agradar y de hacer bien su trabajo.

De hecho, la ingeniería social no nació en las computadoras, los timadores, estafadores, defraudadores entre otros delincuentes, han tenido éxito durante muchos años y ahora simplemente están encontrando en Internet territorio fértil para sus engaños.

Estos ladrones no necesitan apuntarse a los grupos de hackers ni leer ningún manual técnico. Las personas padecen las mismas debilidades dentro y fuera de Internet. Los atacantes de la ingeniería social, usan la fuerza persuasiva y se aprovechando la inocencia del usuario, haciéndose pasar por un compañero de trabajo, un técnico o un administrador, o alguna otra persona reconocida.

Ø  INGENIERÍA SOCIAL BASADA EN COMPUTADORAS: La forma más frecuente de ingeniería social basada en computadoras, es la estafa por Phishing o suplantación de identidad. Comúnmente, en los ataques por Phishing, se emplean mensajes de correo electrónico o sitios Web fraudulentos en los que se intenta obtener información personal. Por ejemplo, se puede recibir un mensaje de correo electrónico, que parezca proceder de un banco en el que se solicita actualizar la información confidencial.

El mensaje de correo electrónico incluye un vínculo que parece de un sitio legítimo, pero que, en realidad, no lo es.



INGENIERÍA SOCIAL BASADA EN PERSONAS. SE PRESENTAN ALGUNOS ELEMENTOS A CONSIDERAR:

A.      Conocer los procesos de ingeniería social, sus principios, sus técnicas, la manipulación y la explotación de los sentimientos y emociones de las personas. De esta forma se podrá anticipar a los riesgos de los ataques.

B.      Informar a las personas sobre estas técnicas y de cómo pueden ser presa de la ingeniería social, mostrar ejemplos para concientizar.


C.      Crear la cultura de la cautela, desconfianza y prudencia ante todas las situaciones. Los atacantes que usan la ingeniería social prefieren cambiar de víctima cuando se enfrentan a la resistencia educada. Sin importar el tipo de información solicitada, se aconseja que se investigue la identidad de a otra persona al solicitar información precisa, verificar la información proporcionada y preguntarse qué importancia tiene la información requerida.

D.      Las personas que tienen responsabilidad sobre activos informáticos deben conocer cuál es el momento para utilizarlos, y como hacerlo de manera eficiente.


E.       Invertir más presupuesto de seguridad en educación. Se deben aplica recursos en capacitación, difusión y creación de cultura aunque se gaste menos en tecnología. Será más redituable la inversión.

F.       Establecer un código de conducta. “El trabajo es un escenario en que cada ser humano desplego su conciencia. Cuando está orientado hacia valores últimos el trabajo se vuelve una obra de arte de amor y de libertad”.

 INGENIERÍA SOCIAL BASADA EN COMPUTADORAS. PARA DETECTAR SI UN MEDIO ELECTRÓNICO ES LEGAL O NO, SE DEBE TOMAR EN CUENTA LOS SIGUIENTES ASPECTOS.

A.      Solicitud de Información. Ninguna empresa solicita vía electrónica contraseñas, nombres de usuario, números de la Seguridad Social u otra información personal.

B.      Urgencia. "Si no responde en un plazo de 48 horas, su cuenta se cancelará". Estos mensajes tienen un tono de urgencia cuyo objetivo es que se responda inmediatamente, casi sin pensar.


C.      Personalización del mensaje. Los mensajes de correo electrónico de Phishing suelen enviarse de forma masiva y, a menudo, no contienen su nombre o apellido, por lo que no van personalizados. Las empresas de lasque somos clientes, conocen nuestro nombre.



IV. ¿En qué me afecta esto?

El hecho que usted pudiera persuadir a alguien para que le suministre su número de tarjeta de crédito, puede sonar como un algo poco factible, sin embargo suministra datos confidenciales diariamente en distintos medios, como el papel que arroja a la basura o el ticket adhesivo con su password (contraseña) debajo del teclado. También el factor humano es una parte esencial del juego de seguridad. No existe un sistema informático que no dependa de algún dato ingresado por un operador humano. Esto significa que esta debilidad de seguridad es universal, independiente de plataforma, el software, red o edad de equipo.
Cualquier persona con el acceso a alguna parte del sistema, físicamente o electrónicamente, es un riesgo potencial de inseguridad.


 V. CONCLUSIONES

Como se menciono la seguridad informática debe entenderse no solo como mecanismos y técnicas, sino también como un elemento cultural de las personas y las organizaciones. Los activos informáticos dentro de una organización son utilizados todos los días, todo el día, por lo que su protección debe resultar primordial para la misma.

Es importantísimo hacerle saber al usuario que es él, precisamente, el eslabón más débil en la cadena de usuarios de un sistema informático, debido a que, como se analizo previamente, en él impactan distintos factores que influyen en la conducta humana, como pueden ser la confianza en otras personas y el desinterés en lo que está realizando; factores que se convierten en oportunidades de ataques a los activos informáticos.

A los Administradores, no permita que el eslabón humano en su cadena de seguridad desgaste su trabajo.

La herramienta más eficiente con la que cuentan las organizaciones para contrarrestar la ingeniería social es la concientización, es decir, que el usuario identifique la importancia de la actividad que realiza, del valor de la información que maneja y el buen uso que debe llevar a cabo sobre el hardware y software que se encuentran bajo su responsabilidad.

.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)