SEGURIDAD | Noticias | 22 DIC 2006

Si cree que está a salvo, póngase de nuevo a pensar

Si en la seguridad es un problema de personas, procesos y tecnología, sin duda el eslabón más débil en esta cadena son las personas. Algo que explicaría el porqué los ataques que sacan partido de la ingeniería social están en auge.
Arantxa Herranz
Muchos expertos en seguridad, como Kevin Mitnick (que en su momento incluso fue encarcelado durante cinco años por robar código fuente) pintan un escenario en el que resulta verdaderamente fácil utilizar la ingeniería social para eludir sistemas de seguridad “económicos”.

Esta persona asegura que el principal objetivo que se persigue cuando se ataca una empresa es el help desk, puesto que tiene acceso a todos los sistemas de información crítica de una empresa. De esta manera, los hackers pueden localizar el nombre de un empleado y llamar al centro de soporte alegando que han perdido u olvidado su contraseña para comprobar qué es lo que pide el help desk en términos de autenticación de usuarios. Una vez conseguido esto, rompen la llamada con cualquier pretexto para dedicarse a obtener la información que ha pedido el centro de soporte para dicha verificación.

Por eso, este experto considera que no deberíamos sentirnos a salvo si este centro de soporte solicita, para verificar la identidad de los usuarios, el número de la seguridad social, la fecha de nacimiento, dirección de casa, número de teléfono o cualquier otro dato sensible. Frente a estas opciones, Mitnick recomienda los sistemas dinámicos.

Inc. Asegura haber utilizado la ingeniería social para robar el código fuente del teléfono Star Tak de Motorola. Según su narración, mientras caminaba de la oficina a su casa, telefoneó a la compañía buscando al principal desarrollador. Simuló ser del departamento de I+D y, aunque tuvo que dar varias vueltas, finalmente logró hablar con la secretaria de la persona buscada. Ella fue la que localizó los archivos solicitados y, con la asistencia de Mitnick, intentó acceder al FTP desde una cuenta anónima, aunque no lo logró debido a las restricciones de seguridad internas.

No obstante, y tras protestar, la secretaria reenvió la llamada a los responsables de seguridad, quienes le facilitaron un rodeo para evitar el servidor proxy, pudiendo finalmente acceder a los archivos que buscaba. Algo que solo le costó una llamada de 20 minutos.

Sin duda, ante este tipo de ataques es una ayuda primordial las ganas que tiene la gente de ayudar, según este experto en seguridad. Por eso, recomienda a las empresas que lleven a cabo simulacros como el descrito para demostrar lo fácil que es caer en la trampa tendida por un atacante.

Y si este relato sigue siendo insuficiente para que se tome conciencia de estos problemas de seguridad, quizá sirva como dato el hecho de que entre el 35 y el 70 por ciento de las personas dan su nombre y contraseña a llamantes anónimos que se identifiquen como responsables del departamento de TI. Por eso, muchos consideran que la próxima gran partida de inversión debería ser la formación.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información