Para empezar mi andadura como colaborador en este blog, me gustaría intentar concienciar a nuestros lectores que no hay peor malware que la Ingeniería social.
Dentro del campo de la seguridad informática, básicamente se trata de una práctica (poco ortodoxa) para obtener información confidencial a través de la manipulación de los usuarios legítimos. Es decir que, a través de una mentira o un engaño, pueden inducirte a que les entregues (voluntariamente o no) información confidencial, desde la contraseña del correo electrónico, Hasta los numeros de cuentas de bancos, etc.
Los usuarios a menudo no somos conscientes del prejuicio que puede tener una infección en nuestro sistema . Muchos dicen: si total yo tengo un buen antivirus…. pero esto no es todo. El antivirus no es capaz de detectar todos los virus, troyanos y demás malware que sale cada día, sobre todo si se hizo un programa espía destinado a infectar un sistema específico. Los avanzados métodos heurísticos ayudan, aunque la mejor de las prevenciones consiste en ser un tanto paranoico.
Lo creamos o no, de nada sirven implementear montones de medidas de seguridad, sistemas de antivirus, firewalls, cámaras, sniffers, si no prestamos atención al eslabón mas débil de toda la cadena de la seguridad informatica, el Usuario.
Veamos un claro ejemplo de lo que estamos comentando:
Una empresa contrato a un experto en sistemas para hacer una auditoría de seguridad. Se le pidió que hiciera hincapié en el tema de la ingeniería social, y ver de que forma podía acceder a información crítica. El problema es que los empleados ya sabían que iba a ir un auditor a la empresa, por lo tanto, todos se pusieron a la defensiva.
Así que el auditor ideo un cambio en la vieja estrategia de hacer preguntas para intentar obtener información, que puediese comprometer la seguridad informática de la empresa por otra más ingeniosa, uso 15 memorias USB en las que introdujo un troyano y las “tiró” en diferentes lugares de la empresa concurridos por los distintos empleados.
La curiosidad (una de las principales armas de la ingeniería social) hizo que muchos usaran estos dispositivos y los conectaran a los ordenadores de la empresa, el resultado…. ¿os lo podéis imaginar ? de los 20 dispositivos, 15 fueron conectados, y consecuentemente 15 sistemas fueron infectados con dicho troyano.
Como veréis no es necesario ser un experto en sistemas operativos, redes, protocolos y demás cosas para “hackear” una empresa, solo basta con un poco de imaginación .
Así que amigos míos agudicemos nuestra prudencia.
R.R