Hoy en día en este mundo globalizado, la protección del la información es algo crucial. Empresas gastan miles de dólares en comprar costosos sistemas de seguridad, desde firewalls o cortafuegos que son dispositivos para controlar el acceso a sus redes, a implementar modernos data centers con sistemas biométricos de acceso, control de temperatura, movimiento y otros dispositivos muchas veces ejemplificados al extremo en películas como Misión Imposible.

Es más, no sólo de hardware se nutren los sistemas de seguridad, sino que también hay múltiples software disponibles en el mercado para controlar a los usuarios de redes privadas, monitorear sus acciones y comprobar que la información este bien resguardada. Pero muchas empresas fallan al momento de considerar una variable: El factor humano.

La ingenieria social es simplemente la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos y al igual que cualquier otro tipo de acceso ilegítimo a redes privadas es ilegal y un delito. La ingeniería social explota el eslabon débil de la cadena de las tecnologías de la información, las personas. Dicen que la computadora mas segura es aquella que no esta conectada a una red, sin embargo esto tambien no es cierto, pues una persona puede conectar y encender esta computadora en la red. Es importante tambien notar que la interacción humana con las computadoras es el eslabón mas importante ya que una computadora no existiría sin una interacción humana. A diferencia de cualquier otro tipo de vulnerabilidad esta es universal e independiente de la plataforma, sistema operativo o hardware.

Existen varias formas de realizar ingeniería social con las personas, y en la mayoría de los casos, sino en el 100% se requiere mucha investigación de la victima y de sus redes sociales. Algo que hoy por hoy puede ser relativamente sencillo si con solo tener acceso a una cuenta como linked o facebook y conectarse con la “victima” es posible obtener mas información de una persona que la que un banco podria obtener al intentar hacer un análisis de riesgo.

La forma mas simple es consultarle directamente a la persona para que haga algo o entregue algún tipo de información. Aun cuando es la que menos probabilidades de éxito tiene, es increible como algunos empleados divulgarían informacion confidencial de la empresa sin dimensionar las consecuencias que ésto puede causar.

Otra forma consiste en involucrar a la víctima en una situación falsa, por ejemplo una emergencia o una situación de riesgo para la compañía. No necesariamente todod debe ser falso, al contrario, en muchos casos se utilizan la mayoria de la información real y solo se genera situaciones falsa de emergencia para hacer que las personas intenten ayudar a resolver el problema.

Otros escenario que puede presentarse es cuando una mayoría de un grupo de personas esta de acuerdo en algo, la víctima aparentará estar de acuerdo tambien, a pesar que no necesariamente esté de acuerdo, pero así lo aparentará ya que no queire ser el “patito feo” del grupo.

Existen muchas otras formas de poder lograr la cooperación de las personas para entregar información confidencial, estudios psicologicos muestran que es mas factible que las personas ayuden al atacante a hacer lo él pide si lo ha conocido previamente por lo que es necesario tambien tener presente que este tipo de ingeniería social tambien puede provenir de ex empleados o consultores o asesores que tuvieron algún tipo de interacción con sus empleados previamente.

Para poder afrontar este tipo de situaciones es importante que las empresas especifiquen claramente sus politicas de seguridad dentro de la empresa. Que sean de conocimiento para todos los empleados, y que acuerden seguirlas. Es común en los estados unidos que los empleados deben tomar algunos cursos referentes a este tipo de políticas y aprobarlos con una nota mínima de forma tal que entiendan cual es el procedimiento a seguir ante una situación de este tipo.

Hoy en día, nos estamos dando cuenta que todas nuestras vidas giran en torno a la privacidad de la información, por lo que resguardarla es una prioridad. A veces millonarias inversiones en sistemas de seguridad pueden verse vulnerados por la falta de educación de los usuarios. Como administradores de un mundo globalizado es nuestra responsabilidad educar a nuestros empleados y cuidar la información del negocio y de nuestros clientes. Más que una responsabilidad, es nuestra obligación.

Comments

Leave a Reply