LA INGENIERÍA SOCIAL, UN RIESGO PERMANENTE / Por: Hernán Seminario García Gerente de Proyectos de Digiware Perú
 | Hernán Seminario García Gerente de Proyectos de Digiware Perú |
De historia más antigua que la propia Internet, la Ingeniería social se ha aprovechado desde el principio de la buena voluntad de los usuarios. Hoy, adquiere nuevas dimensiones y se proyecta como un potencial riesgo para empresas de todo tipo y tamaño.
Quizá no haya dos conceptos tan antagónicos como estos. Y es que la Ingeniería Social, en el ámbito de las Tecnologías de la Información y Comunicación, trata sobre el aprovechamiento malicioso de la buena voluntad de las personas, de su vocación de servicio, para usarlos como puerta de ingreso hacia sus sistemas, o sus vidas mismas, y manipularlas con fines subalternos.
EN MARCHA
La historia de este tema tan álgido hoy en nuestra sociedad empezó mucho antes de la explosión del uso de la Internet, en otros ámbitos como las comunicaciones telefónicas. Hubo un hacker muy famoso en los Estados Unidos, él cual no atacaba sistemas de cómputo ni aplicaciones o servidores, su campo de acción era el teléfono, atacaba a las personas. Así el concepto real de un ingeniero social o “hacker social” está referido al uso de engaños o técnicas a través de todo tipo de situaciones. Puede ser, como se ha referido, una llamada telefónica, pero también un cuestionario o una falsa entrevista para obtener de la propia víctima la información que facilite entrar en sus sistemas.
Una inocente ruma de papel reciclado junto a la impresora es un potencial punto de fuga de información sensible, nadie se toma la molestia de verificar qué información se encuentra en esos papeles. En una oportunidad se pudo comprobar estas deficiencias en la seguridad de las empresas al realizar incursiones controladas como parte de un plan de medición de seguridad solicitado. Se ingreso a la empresa como personal de mantenimiento observándose que no hay cultura de seguridad, las personas tienen documentos físicos confidenciales sobre sus escritorios o en los pasillos. En las impresoras particularmente se almacena mucho papel reciclado, al tomar una muestra fue realmente sorprendente toda la cantidad de información que encontró allí sobre firmas, números de cuentas, reportes de nóminas, evaluaciones de desempeño, certificados de enfermedades, etc. Toda esta información sin duda es una veta valiosa para quien tenga intenciones de emprender un ataque y hacer daño a una organización. Otro punto a tener en cuenta: Los usuarios no toman conciencia de los riesgos reales a los que están expuestos, ni de los controles que debe seguir para proteger su información, por ejemplo en algunos casos no han logrado desarrollar el hábito de bloquear su sesión del computador cuando se levantan del puesto de trabajo y dejan abierta la PC con las sesiones iniciadas y aplicaciones abiertas.
ZONAS DE EXPANSIÓN
Son múltiples las pruebas que se pueden utilizar para medir los niveles de vulnerabilidad de las organizaciones. Y es mucho mejor estar prevenidos ya que una fuga importante de información puede resultar mortal comercialmente. Por ejemplo, en la región latinoamericana, Brasil es una plaza a la que hay que mirar con mucha atención, ya de es de allí desde donde se están generando hoy la mayoría de ataques de este tipo, cristalizándose en casos de fraude por Internet, esparcimiento de virus para control remoto de sistemas ajenos y más.
Otra zona álgida en relación a este tema son los países de Europa Oriental, en donde el problema se ha agravado y alcanzado otros niveles con la creación de auténticas organizaciones criminales dedicadas exclusivamente a este negocio. Finalmente, los ataques de spam y virus más recientes también han encontrado en Vietnam una gran fuente –más que China-. Debe considerarse una auténtica prioridad entonces para las empresas la difusión de las normas de seguridad en relación al manejo de la información corporativa y su exposición. Esto irá en concordancia con una nueva cobertura legal en los países que ya empiezan a preocuparse por legislar sobre este tema (como en Colombia donde se promulgó en 2009 la Ley de Delitos Informáticos). Cosas tan simples como verificar la identidad de quien nos pide datos sobre la red a través del teléfono o por un Email, pueden ahorrarle grandes dolores de cabeza al departamento de sistemas, al área de seguridad de la información o de riesgos de su empresa.