Ingenieria Social - Cuando se manipulan los recursos humanos / Por: Dante Passalacqua

Por: Dante Passalacqua
Vicepresidente de Glotal Crossing Perú

Los ingenieros sociales son personas que, a través de engaños, gran ingenio y manipulación psicológica, influencian a los empleados para que les muestren datos que les permitirán penetrar a un sistema informático o acceder a información confidencial.

Puede tratarse de hackers, empleados disgustados, criminales e incluso espías industriales.

Es habitual que el intruso cuente con una meta concreta, como puede ser obtener un código fuente, una lista de clientes, datos financieros,  planes de marketing, o planos de proyecto, como ocurre en el espionaje industrial.

Se recurre a técnicas de Ingeniería Social porque su efectividad es cercana al 100%. No hay dispositivos que puedan detectar o detener este tipo de ataques. Además, el costo es bajo (dependerá del tiempo y dedicación asignado al objetivo), y el riesgo para el atacante es menor porque no deja huellas auditables.

Este tipo de amenazas son muy efectivas porque la gente no está enterada de su existencia, en realidad nos las espera. No hay conciencia acerca del valor real de la información.

Es el ambiente del negocio lo que determina la exposición de las empresas a este tipo de ataques. El trabajo con personal externo que tiene acceso a recursos de la organización, la existencia de sucursales, y la interacción virtual con socios de negocios son algunos de los factores que tornan vulnerables a las organizaciones.

Aquellos ataques con mayor planificación son los que causan mayor impacto o daño. Para recolectar información relevante es común utilizar Internet con el propósito de  obtener datos disponibles, revisar archivos corporativos y cosechar información del personal. Es común que el atacante vulnere un sitio público de Internet que no tiene ninguna relación con la empresa objetivo, con el fin de obtener información de alguna persona de la compañía, por ejemplo, los foros, los blogs e incluso los sitios de e-business.

Entre las recomendaciones básicas para evitar ataques de Ingeniería Social en las empresas se encuentran: poseer una clara política de seguridad, la cual deberá estar vigente y comunicada en toda la organización. Concientizar a los empleados en materia de seguridad, analizar las vulnerabilidades de la compañía, e identificar el grado de exposición de la misma. Contar con activos de información inventariada,  realizar campañas que comprometan al personal de la empresa, evitar la fuga de información, recompensar a los empleados que cumplan los lineamientos de seguridad y realizar actividades de simulación de ataques a través de técnicas de ingeniería social.