Veritas Online

Extensión del Ejercicio Profesional

Ingeniería Social: Prevenga el fraude

Ingeniería Social: Prevenga el fraude
mayo 30
10:30 2014

La ingeniería social es una técnica para manipular a una o más personas para que realicen acciones que perjudican los intereses de su organización; una amenaza cada vez mayor.

De acuerdo con un estudio de 2011 de Check Point, firma de seguridad por internet, 48% de las organizaciones internacionales más importantes han sufrido 25 o más ataques en los dos años previos al estudio, lo que ha costado entre 25 mil y 100 mil dólares por incidente. El impacto de un ataque de ingeniería social puede ser importante, e incluye el robo de información confidencial, la pérdida de reputación y de ventaja competitiva.

Para protegerse contra estos ataques, las organizaciones deben, primero, identificar sus procesos de negocios más expuestos, junto con las soluciones de salvaguarda contra los ataques de ingeniería social. Hay pasos para ayudarles a hacerlo.

A muchas organizaciones les preocupa proteger la información confidencial, específicamente datos personales de los clientes, ya sea a petición de estos o para cumplir con la ley. Por tanto, asignan presupuestos sustanciales para asegurar que los procesos de negocios y los sistemas de información cumplan con los estándares y legislación de seguridad de la información, como:

  • El PCI-DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago).
  • La serie ISO/IEC 27000 (serie de estándares de seguridad de la Organización Internacional para la Estandarización y de la Comisión Electrónica Internacional).
  • La Ley de Protección de la Información Personal y de Documentos Electrónicos.

La legislación brinda a los negocios un marco de referencia para implementar salvaguardas con el fin de proteger contra las filtraciones (leaks) o robo de información confidencial. Entre otras cosas, recomiendan el uso de prácticas óptimas de administración de la información:

  • Mantener un inventario y clasificación de los activos de información de la organización, que incluyen información confidencial, interna y pública.
  • Administrar el acceso de personas y sistemas a la información de acuerdo con condiciones establecidas.
  • Asegurar los sistemas de información con datos encriptados, detección de intrusiones, software antivirus y parches o correctivos (patches) de seguridad.
  • Separar las tareas dentro de los procesos del negocio y mantener un rastro de auditoría del proceso de aprobación, monitoreo de acceso, cambios y supresión o borrado de datos.
  • Destruir información, incluyendo registros en papel o electrónicos, y revisar los contratos de mantenimiento de fotocopiadoras.
  • Aplicar medidas ad hoc que cumplan con las necesidades del sector específico de negocios (seguros, banca, salud), así como su volumen anual de negocio.

Sin embargo, implementar y aplicar controles fijados en las normas y leyes sigue siendo un ejercicio que se limita al ambiente interno de la organización. Cumplir con normas y leyes no es, por tanto, muy efectivo para proteger a la organización contra riesgos externos, específicamente los relacionados con ingeniería social.

La ingeniería social es un esquema que se propone reunir información pública y privada sobre los empleados, clientes y otros socios del negocio para organizar y perpetrar ataques contra la empresa. Es el arte de manipular a una persona para que dé acceso a información o a sitios protegidos. Sabiendo que los seres humanos son el eslabón más débil en la cadena de seguridad, el ingeniero social, o hacker, usa la tecnología de computación y la manipulación para aprovecharse de la ignorancia de la víctima o de su deseo por ser útil.

En una demostración en la conferencia de Def.Con sobre piratería, en 2010, se sometió a grandes corporaciones a técnicas de ingeniería social. El resultado fue alarmante: 96% de los empleados a quienes se contactó por teléfono o correo electrónico revelaron información confidencial. Exponiendo, por tanto, a su organización al robo de información. De hecho, detrás de la mayoría de robos de información confidencial hay ataques de ingeniería social.

El nivel de sofisticación de un ataque varía dependiendo de lo bien preparado que esté el hacker y de cuánto tiempo tiene. Un ataque puede asumir las siguientes formas:

  • Suplantar a un cliente para lograr acceso a información confidencial o a un empleado para lograr acceso a información o sitios clave de la organización.
  • Manipular a los empleados para que actúen en cierta manera al pedirles ayuda o haciéndose pasar por figura de autoridad.
  • Dar a los empleados accesorios USB que contengan malware (programas malignos) o instalar spyware (programas de espionaje) en las computadoras.
  • Enviar e-mails de suplantación en línea (phishing).
  • Rebuscar en basura (dumpster diving) o robo de computadoras para lograr acceso a información confidencial.
  • Analizar cómo se aplican los procesos de negocios para detectar las debilidades.

Las organizaciones se pueden defender contra estos ataques entrenando a los empleados para identificar las amenazas de ataque y reportarlos a la administración. Sin embargo, procesos de negocios como servicio a clientes, que implican interacción, son más difíciles de asegurar, ya que requieren flexibilidad operacional a la vez que mantienen los controles de seguridad fundamentales sobre la información confidencial. Estos accesos son objetivos primarios porque involucran a muchas personas diferentes interna y externamente.

La ingeniería social es un esquema que se propone reunir información pública y privada para organizar y perpetrar ataques contra la organización.

Para robar información, un ingeniero social usará información pública disponible en internet para explotar las vulnerabilidades en los mecanismos de autenticación asociados con procesos de negocios que impliquen interacciones con los clientes.

En 2012, un ingeniero social logró con éxito violar cuentas de Amazon y de Apple conectadas a sitios personales de internet. En vez de utilizar un software que genera todas las combinaciones posibles de una contraseña, el pirata analizó las debilidades de los procesos individuales para acceder a cuentas de usuario de Apple y de Amazon y las explotaron para llevar a cabo un ataque de grupo. Aquí los casos.

OBJETIVO 1. CUENTA DE AMAZON

Paso 1. Agregar una tarjeta de crédito a una cuenta de Amazon. Encontrar el nombre de un objetivo y la dirección de e-mail de la persona, información que está disponible directamente en el sitio internet personal del objetivo. Luego usar la herramienta de búsqueda gratuita Whois de la web para obtener la dirección de facturación de la persona.

  • Explotar una vulnerabilidad: llamar al servicio a clientes de Amazon para que agreguen un número de tarjeta de crédito a la cuenta. (En ese tiempo, Amazon solo pedía el nombre del usuario, la dirección de e-mail y la dirección de facturación de la cuenta). Paso 2. Explotar una vulnerabilidad: llamar al servicio a clientes de Amazon y decir que se ha perdido el acceso a la dirección de correo asociada a la cuenta, pedir entonces que aumenten una nueva dirección de e-mail (simplemente se necesitaba dar a Amazon el nombre de la víctima, la dirección de facturación y el número de tarjeta de crédito).

Una vez que la nueva dirección de correo se agrega a la cuenta del usuario, el hacker o pirata solo necesita reinstalar la contraseña para acceder a la cuenta de la víctima. Con acceso a la cuenta, el pirata puede ver los cinco últimos números de las tarjetas de crédito asociadas a la cuenta, números que permiten acceder a la cuenta de Apple de la víctima.

Las empresas se pueden defender contra ataques entrenando a los empleados para identificar las amenazas y reportarlas.

OBJETIVO 2. CUENTA DE APPLE

Explotar una vulnerabilidad (que se hace posible al piratear la cuenta de Amazon de la víctima): llamar al servicio a clientes de Apple y pedir reinstalar la cuenta de la víctima usando el nombre de la persona y los últimos cuatro números de la tarjeta de crédito asociada a la cuenta. Después de lograr el acceso a la cuenta, robar toda la información del servicio de respaldo iCloud, incluyendo el directorio telefónico, correos electrónicos, documentos confidenciales, y otros, de la víctima.

Como se muestra en este ataque de ingeniería social, asegurar los procesos de negocios que implican interacción directa con la clientela de un negocio requiere un análisis detallado para identificar y corregir cualesquiera vulnerabilidades en seguridad existentes.

Emplear procesos de identificación estándares que usen otras organizaciones o que se basen en información accesible en internet aumenta el riesgo de ataques de ingeniería social.

Dado que 42% de los robos de información están ligados a compañías de tercería o subcontratación, como los centros de atención a clientes (call centers) y compañías de almacenamiento de datos (estudio US Cost of a Data Breach, de Symantec y el Ponemon Institute), es esencial que las organizaciones sepan dónde se almacena su información confidencial y cómo se transmite, de modo que puedan asegurarse de que todos los subcontratistas aplican medidas de protección de información que se conforma a sus requerimientos. Finalmente, es esencial el monitoreo para estar al corriente sobre los potenciales esquemas de ingeniería social y estar alerta en caso de filtraciones de datos.

Redacción Grupo Medios

veritas@colegiocpmexico.org.mx

>Este artículo es una reseña del original titulado “Beware of social engineering”, publicado en CA Magazine, octubre 2013. Traducción para Veritas, del Colegio de Contadores Públicos de México, por Jorge Abenamar Suárez Arana.

AUTORES ORIGINALES: Philippe Ricart es gerente senior, servicios de TI, del grupo consultor de administración del riesgo en Richter.

•Fabien Soutis es asistente de auditor, servicios TI, en Richter

•Yves Nadeau es socio, servicios de asesoría en Richter.

•Philippe Ricart, Fabien Soulis, Yves Nadeau.

Facebook Comments

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

A %d blogueros les gusta esto: