La ingeniera social y los [malos] hbitos de los usuarios

Autor: Joel Barrios Dueas Correo electrnico: darkshram en gmail punto com Sitio de Red: http://www.alcancelibre.org/ Jabber ID: darkshram@jabber.org
Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

1999-2007 Joel Barrios Dueas. Usted es libre de copiar, distribuir y comunicar pblicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicacin, a travs de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra, o genera una obra derivada, slo puede distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legtimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. La informacin contenida en este documento y los derivados de ste se proporcionan tal cual son y los autores no asumirn responsabilidad alguna si el usuario o lector hace mal uso de stos.

Introduccin.
El taln de Aquiles de cualquier red lo componen los usuarios que la integran. La mejor tecnologa y seguridad del mundo es inservible cuando un usuario es incapaz de mantener en secreto una clave de acceso o informacin confidencial. Es por tal motivo que tiene particular relevancia el impulsar una cultura de concienciar a los usuarios acerca de los peligros de la Ingeniera Social en la seguridad informtica. El ms clebre personaje que utiliz sta tan exitosamente que durante algn tiempo se convirti en el hombre ms buscado por el FBI fue Kevin Mitnick. Ingeniera Social es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Un ingeniero social usar comnmente el telfono o Internet para engaar a la gente y llevarla a revelar informacin sensible, o bien a violar las polticas de seguridad tpicas. Con este mtodo, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informticos. Generalmente se est de acuerdo en que los usuarios son el eslabn dbil en seguridad; ste es el principio por el que se rige la ingeniera social. Wikipedia, la enciclopedia libre. Clsicos ejemplos de ataques exitosos aprovechando la ingeniera social es el envo de los adjuntos en el correo electrnico (virus, troyanos y gusanos) que pueden ejecutar cdigo malicioso en una estacin de trabajo o computadora personal. Lo anterior fue lo que oblig a los proveedores de equipamiento lgico a desactivar le ejecucin automtica de los adjuntos al abrir el mensaje de correo electrnico, por lo que es necesario que el usuario active esta funcionalidad de modo explcito a fin de volver a ser vulnerable. Sin embargo, la mayora de los usuarios simplemente hacen clic con el ratn a cualquier cosa que llegue en el correo

electrnico, haciendo que ste mtodo de ingeniera social sea exitoso. Otro tipo de ataque de ingeniera social, e increblemente el ms fcil de realizar, consiste en engaar a un usuario hacindole pensar que se trata de un administrador de la red donde se labora solicitando claves de acceso u otro tipo de informacin confidencial. Buena parte del correo electrnico que llega al buzn del usuario consiste de engaos solicitando claves de acceso, nmero de tarjeta de crdito y otra informacin, haciendo pensar que es con una finalidad legtima, como sera el caso de reactivar o crear una cuenta o configuracin. Este tipo de ataque se conoce actualmente como phising (pesca). Lamentablemente muchos estudios muestran que los usuarios tienen una pobre conciencia acerca de la importancia de la seguridad. Una encuesta de InfoSecurity arroj como resultados que 90% de los oficinistas revelara una clave de acceso a cambio de un bolgrafo. Un tipo de ingeniera social muy efectivo es incluir grandes cantidades de texto a un acuerdo de licenciamiento. La gran mayora de los usuarios, incluyendo administradores, rara vez leen siquiera una palabra contenida en dicho texto y sencillamente dan clic en la aceptacin de licenciamientos y acuerdos. Esto regularmente es aprovechado por Adware (equipamiento lgico que despliega anuncios comerciales) y Spyware (equipamiento lgico que espa la actividad del usuario). En Latino Amrica este problema es an mayor debido al vergonzoso y pobre ndice de lectura (menos de un libro por ao). La principal defensa contra la ingeniera social es la educacin del usuario, empezando por los propios administradores de redes. La mejor forma de combatir la ingeniera social es la prevencin.

Recomendaciones para evitar ser vctimas de la ingeniera social a travs del correo electrnico.
No utilizar cuentas de correo electrnico para uso personal para asuntos laborales. No utilizar cuentas de correo electrnico destinadas para uso laboral para asuntos personales. Adiestrar a los usuarios para jamas publicar cuentas de correo en reas pblicas que permitan sean cosechadas por software para este fin. Adiestrar al usuario para no publicar cuentas de correo electrnico en lugares pblicos. Adiestrar al usuario para evitar proporcionar cuentas de correo electrnico y otros datos personales a personas u entidades que puedan utilizar estos con otros fines. Evitar publicar direcciones de correo electrnico en formularios destinados a recabar datos de los clientes utilizando formularios que oculten la direccin de correo electrnico. Si es inevitable, utilizar una cuenta destinada y dedicada para ser mostrada a travs de HTTP. Adiestrar al usuario a utilizar claves de acceso ms complejas. Adiestrar al usuario a no abrir y dar clic a todo lo que llegue por correo. Adiestrar al usuario para jams responder a un mensaje de spam. Adiestrar al usuario a no hacer clic en los enlaces en los mensajes de spam y que pueden ser utilizados para confirmar al spammer que se trata de una cuenta de correo activa. Alcance Libre http://www.alcancelibre.org/staticpages/index.php/ingenieria-social-malos-habitos-usuarios