martes, 6 de septiembre de 2011

Ingeniería Social

Muchas son las veces que se escucha este termino "y mediante ingeniería social consiguió...."; hace ya tiempo Bruce Schneier experto en criptografía,cifrado ,creador del método RSA,con frases celebres como "La seguridad es un proceso no un producto" ya opinaba en su libro Secretos y mentiras, que un negocio que utilice el algoritmo de cifrado para proteger sus datos  manejados por empleados tiene fallos .Una solución de seguridad actual que incluya tecnología,debe tener en cuenta ,los equipos,los programas  y a los usuarios.

La ingeniería Social :Seria la técnica o ciencia de engañar a un usuario legitimo para conseguir una información,claves,accesos abra un mail o que pulse sobre el enlace a una url(hacia una pagina maliciosa).
Una de las teorías de cualquier estrategia es la frase "Una cadena es tan fuerte como el eslabón mas débil ",que en nuestro caso seria el usuario de la empresa con menos conocimientos técnicos,o el que por motivos de carácter sea mas confiado. 
La solución ,formar a los trabajadores y documentar políticas de seguridad claras,respecto a que se puede hacer en el lugar de trabajo y como hacerlo de forma segura.
Kevin Mitnick en su obra  "El Arte del Engaño",hace varias referencias al termino,Mitnick uno de los hacker mas conocidos relataba  en una de sus conferencias, como accedió al código de un móvil en desarrollo, incluso antes de su anuncio en el mercado, con sólo seis llamadas telefónicas.
Kevin Mitnick relata que se fundamenta en cuatro principios básicos del ser humano .
  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.
  • Yo,añadiría que nos importa menos,cuando el recurso no es nuestro,y si de la empresa.
Y de eso se habla con ingeniería social,de engañar,ni mas ni menos...y recordar que no deja de ser un método,ni bueno ni malo,según como se utilice,en marketing los estudios sobre las preferencias de la gente y las formas para manipular eso y mejorar las ventas son una realidad.
En un  curso para formar al personal,el instructor de la empresa de seguridad propuso un concurso y en un saco todos debían poner un papel con usuario/contraseña y la gente lo hizo..........les mostró de forma practica,como había conseguido los accesos a una empresa,y no se había identificado,nadie sabia si realmente era de la empresa de seguridad........es un buen ejemplo.
En el articulo Hackea a tu Hijo Capitulo 2 ,hablamos un poco de como usarla para algo positivo.
Seguridad para Todos!!!

2 comentarios:

  1. no habia leido mucho sobre este tema. bastante interesante
    gracias por compartirlo
    la camiseta del tipo de la foto esta muy buena!!!
    XD
    saludos

    ResponderEliminar

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias