Otras publicaciones

La ingeniería social y la seguridad

La Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema «los usuarios son el eslabón débil».

Técnicas y términos

En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar sus credenciales de acceso o información sensible, confidencial o crítica.

Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

La ingeniería Social está definida como un ataque basado en engañar a un usuario o administrador de un sitio en la internet, para poder ver la información que ellos quieren.
Se hace para obtener acceso a sistemas o información útil.
Los objetivos de la ingeniería social son fraude, intrusión de una red.

Pretextos

El pretexto es la creación de un escenario inventado para llevar a la víctima a revelar información personal o a actuar de una forma que sería poco común en circunstancias normales. Una mentira elaborada implica a menudo una investigación previa de la víctima para conseguir la información necesaria, y así llevar a cabo la suplantación (por ejemplo, la fecha de nacimiento, el número de la Seguridad Social, datos bancarios, etc.) y hacerle creer que es legítimo.

El pretexto también se puede utilizar para suplantar a compañeros de trabajo, a la policía, al banco, a autoridades fiscales o cualquier otra persona que podría haber percibido el derecho a la información en la mente de la víctima. El «pretexter» simplemente debe preparar respuestas a preguntas que se puede plantear la víctima. En algunos casos, todo lo que necesita es una voz que inspire autoridad, un tono serio y la capacidad de improvisar para crear un escenario pretextual.

Redes Sociales

Uno de los factores más peligrosos, es la creciente tendencia por parte de los usuarios, principalmente los más jóvenes, a colocar información personal y sensible en forma constante. Desde imágenes de toda su familia, los lugares que frecuentan, gustos personales y relaciones amorosas. Las redes sociales proveen de mucha información a un delincuente para que realice un ataque, como para robar tu identidad o en el menor de los casos ser convincente para tener empatía.

Phishing

Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de «crear una cuenta», «reactivar una configuración», u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que fishing, pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores.

Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en correos electrónicos, ofreciendo, por ejemplo, fotos «íntimas» de alguna persona famosa o algún programa «gratis» (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros correos electrónicos maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?

La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.

Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:

Todos queremos ayudar.
El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.

Vishing

El vishing consiste en realizar llamadas telefónicas encubiertas bajo encuestas con las que también se podría sacar información personal de forma que la víctima no sospeche.

Por este motivo debemos tener cuidado y no proporcionar información personal aunque se trate de nuestra compañía de móvil, electricidad o agua (entre otras), ya que podría ser un hacker que haya elegido casualmente la nuestra.

Baiting

En este caso se utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con un software malicioso, dejándolo en un lugar en el cual sea fácil de encontrar (por ejemplo, baños públicos, ascensores, aceras, etc.). Cuando la víctima encuentre dicho dispositivo y lo introduzca en su ordenador, el software se instalará y permitirá que el hacker obtenga todos los datos personales del usuario.

Canales de distribución de contenidos

¿Cuáles son los principales canales de distribución de contenidos digitales?

Los canales de distribución de contenido digital, son el vehículo a través del cual podemos llevar nuestro contenido hacia las personas que pueden estar interesadas en el mismo o bien hacia a aquella audiencia a la que queremos llegar (es decir, el target de la marca o público al que se desea impactar).

En este sentido, la distribución de contenido digital puede realizarse mediante métodos de pago o bien de forma orgánica y natural.

Cualquier alternativa es buena para aumentar el alcance de tus campañas, pero hay que tener en cuenta que el contenido suministrado u ofrecido no puede consistir en anuncios publicitarios, sino en información que aporte valor si se quiere tener éxito.

Existen múltiples alternativas para llevar a cabo la distribución de contenido digital como por ejemplo, los agregadores de contenido (como Menéame) o los marcadores sociales (como Scoop.it), los cuales actualmente están en desuso por parte de los profesionales pero que siguen siendo muy útiles para llevar a cabo acciones destinadas a la curación de contenido.

No obstante, los principales canales de distribución de contenidos digitales, es decir los más utilizados y que mejores resultados ofrecen en la actualidad son los siguientes:

Redes Sociales

Las redes sociales, son uno de los canales de distribución de contenido digital más utilizados, debido a su eficiencia, su bajo coste y su versatilidad a la hora de escuchar las necesidades de los usuarios y poder construir relaciones de valor con estos.

Para ello, se deben tener en cuenta el funcionamiento, las características y el objetivo de cada red social para, de este modo, adaptar los contenidos ofrecidos por la marca en cada una y así llegar de una forma más eficaz a los usuarios.

Y es que en función de la red social, el formato de contenido a utilizar varía.

Blog del sitio web de la marca

Se trata de uno de los métodos más empleados hoy día para difundir los contenidos de una marca.

Esto se debe a que la distribución de contenido a través del blog del sitio web, aporta muchas ventajas, como la captación de tráfico al sitio, la mejora del posicionamiento del mismo y la confianza del usuario, etcétera.

Otra opción muy interesante, sería la distribución de contenido digital a través de otros subdominios y páginas satélites de la marca referenciando y citando el contenido original y no indexando el nuevo (para que Google no considere el contenido como Thin Content por plagio del mismo).

De esta forma, puedes hacer llegar dicho contenido a mucha más gente interesada en el mismo.

Newsletters

Las newsletters, a diferencia del email marketing tradicional, son un tipo de difusión de contenido más natural, menos intrusiva y mucho más eficaz ya que solamente se hace llegar este tipo de comunicaciones a personas realmente interesadas y que nos han facilitado sus datos y que se han suscrito de forma voluntaria para obtener este tipo de información.

Esto es algo que nos permite potenciar y promocionar algunas publicaciones en la web que nos interese especialmente difundir.

En resumen, se trata de un elemento muy versátil para mejorar la difusión del contenido, motivo por el cual su uso sigue en aumento en la actualidad.

Publicidad nativa

Se trata de aquella publicidad que pasa inadvertida debido a que se adapta en forma y funcionalidad al entorno en el que aparece para, de este modo, llegar o impactar al usuario de una forma menos intrusiva que con la publicidad tradicional, sorteando además los bloqueadores de contenido que sí afectan a esta última.

Los formatos de publicidad nativa más utilizados de cara a la distribución de contenido digital en la actualidad son:

El branded content o creación y publicación de contenidos por parte de terceros sobre el negocio, patrocinados por la marca.

Los Native display ads o anuncios promocionales clasificados como contenido promocional adaptados 100% al entorno en el que se muestran y que pueden llevar a una landing en la que se ofrezca un ebook por ejemplo.

Los Content Ads o contenidos patrocinados por la marca que se muestran como lectura sugerida en medios editoriales y blogs, ya sean propios o ajenos.

Empleo de medidas de seguridad activas y pasivas

Seguridad Activa

Como decía, la seguridad activa será la que utilizamos dia a dia para evitar cualquier tipo de ataque, existen infinidad de recomendaciones dependiendo del sistema que estemos utilizando, evidentemente no se puede tratar de la misma manera un servidor que un equipo cliente, pero podríamos hacer una lista de las más comunes:

● Utilizar usuarios que no sean administradores, para abrir un excel y navegar por internet ¿necesitamos tener control total sobre todo? esta manía que todos tenemos, puede ocasionarnos algún dolor de cabeza.

● Tener contraseñas fuertes, existen virus que intentan averiguar las contraseñas de administrador, si se lo ponemos fácil, podría bloquearnos o incluso secuestrarnos todo nuestro sistema.

● Antivirus actualizado, ante esto caben pocos comentarios, las últimas firmas de nuestra solución antivirus son imprescindibles para poder luchar contra ataques de malware.

● S.O. actualizado con parches de seguridad, un antivirus no puede hacer el trabajo solo, tal vez pueda detectar algo, pero si ese malware aprovecha una vulnerabilidad del sistema operativo, el antivirus es probable que no pueda parar la infección. Hoy en día existen programas como Sophos Patch Assesment que pueden revisar nuestro sistema y avisarnos de los parches más importantes que necesita el sistema.

● Copias de seguridad, este punto es el más olvidado, no siempre nos acordamos hacer copias de seguridad de TODO, hasta que nos damos cuenta de que un virus ha corrompido nuestros archivos y no podemos recuperarlos.

● Sentido común, si es raro y parece un virus… probablemente lo sea, no lo abras

Además de las anteriores otras recomendaciones serian

● Tener siempre un usuario auxiliar, existen virus que nos bloquean el perfil del usuario, si entramos con otro distinto podremos enfrentarnos a él.

● No abrir links desconocidos que vengan dentro de emails desconocidos, generalmente spam. Son una fuente de infección asegurada.

● Firewall cliente, aunque en ocasiones pueden resultar algo engorrosos si no sabemos utilizarlos, un firewall de cliente bien configurado, nos podría evitar entrar a formar parte de alguna botnet

● Cuidado con las descargas y programas de prueba de dudosa procedencia, por lo general estarán llenos de spyware, toolbars y publicidad.

● Análisis completos de la máquina periódicamente, con esto buscaremos malware por todo el equipo, aunque no esté activo en este momento, podría estarlo en un futuro.

● Cuidado con los USB y dispositivos extraíbles, si no estamos seguros de su procedencia, analizarlos bien antes de utilizarlos, aunque cada vez se utilizan menos en favor de la nube.

● Cuidado con los archivos VBS, scripts y ejecutables en general.

● No esconder las extensiones para tipos de archivos conocidos, en ocasiones un ejecutable podría esconderse detrás de una doble extensión, ListaCompra.txt.exe nos ocultará el exe y se ejecutará el ejecutable en lugar del bloc de notas.

Seguridad Pasiva

Si llegamos a este punto, es que hemos sido infectados por un virus, ¿qué hacemos entonces?

● Existen virus que intentan anular las protecciones de la maquina que acaban de infectar, así que lo primero de todo será asegurarse de que nuestro antivirus funciona adecuadamente y que además está configurado como debería, para ello suelen existir herramientas que nos ayudarán en esta tarea, en Sophos disponemos de smart, un asistente que nos guiará por este sencillo proceso.

● Si el antivirus funciona adecuadamente, habría que hacer un escaneado completo de la maquina y utilizar herramientas de limpieza especificas si las hubiera.

● Si llegamos a este punto es que el antivirus no ha detectado nada, entonces la cosa se complica un poco, nuestro objetivo será enviar muestras a los laboratorios para que las analicen y saquen la firma que soluciona el problema.

● Si el virus nos elimina archivos, los cifra o los corrompe, probablemente la única solución será tener copias de seguridad para poder restaurarlas.

● A continuación debemos investigar que hace el antivirus, quitar permisos si es necesario, para que no continúe expandiéndose, si se expande por red habría que deshabilitar recursos compartidos e incluso desconectar la máquina de la red hasta que exista una solución.

● En el momento en que los laboratorios saquen la solución, solo habría que actualizar la maquina para que adquiera la ultimas firmas y pasar un escaneado completo de la maquina, en ocasiones podría hacer falta alguna herramienta específica para enfrentarse al malware, si fuera este el caso, entonces los laboratorios también nos informarían del método exacto para poder limpiar las maquinas afectadas.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en twitter para intercambiar experiencias en torno al mundo de la seguridad.

L	M	X	J	V	S	D
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31