Seguridad: Ataques al sistema por Ingeniería Social - ProfesorPonce (Sección Alumnos)

Breaking

Profesional Review Magazine

jueves, 25 de agosto de 2011

Seguridad: Ataques al sistema por Ingeniería Social

.
Ataques al sistema por Ingeniería Social

La forma más común de ataque se realiza a partir del uso de una password válida, es decir, utilizar algún método para conocer la contraseña válida de algún usuario y lograr así ingresar al sistema.


Ingeniería Social

Bajo este apartado se engloban todas las técnicas que tratan de aprovecharse de la ingenuidad, el descuido o la buena fe de las personas, que son justamente el eslabón más debil en la cadena de seguridad.

En la práctica, todas las personas suelen cometen los mismos errores ya sea en la forma de preservar la confidencialidad de las contraseñas, o en su almacenamiento. La Ingeniería social trata de explotar alguna de estas debilidades del usuario con el fin de obtener el password original para acceder al sistema simulando ser el usuario atacado.

Para esto, pueden haber múltiples modos de lograrlo:
  • Buscando en la basura del usuario para encontrar passwords escritas y desechadas en la basura
  • Estudiar el entorno del usuario y conocer la mayor cantidad posible de datos personales, relaciones y funciones con el objeto de determinar qué palabras, datos o fechas puede haber usado para crear un password
  • Haciéndose pasar por algún tipo de autoridad del área técnica o jerárquica con el fin de que el usuario le dé el password de acceso. Hacerse pasar por otra persona para que el usuario de a conocer su contraseña no sólo apica a los sistemas informáticos, sino también a áreas tan diversas como robo de datos sensibles de tarjetas de créditos, cajeros automáticos, etc.
Los métodos de ingeniería social explotan posibles debilidades psicológicas, ya que se intenta por todos los medios posibles hacer que el usuario contravenga las órdenes explicitas de los administradores, que obligan a los usuarios a no revelar sus contraseñas.

Psicológicamente hablando, los empleados no jerarquizados de una empresa, acostumbrados a obedecer ante una autoridad competente, simplemente... siguen órdenes sin objetarlas. En estos casos, basta con crear una pantalla visual o psicológica que lo ubique en una relación autoridad-empleado y eso es suficiente para lograr que entregue datos escenciales.

Para el personal técnico es muy importante enfatizar estos hechos concretos con el fin de evitar que los usuarios pierdan su lucidez y disminuyan su umbral de atencion para dejarse influenciar por terceros.