protección de la información confidencial de las amenazas de la ingeniería social

8/17/2019 Protección de La Información Confidencial de Las Amenazas de La Ingeniería Social

1/35

Exportar (0) Imprimir

Cómo proteger lainformación confidencialde las amenazas de la

ingeniería socialPersonas que lo han encontrado útil: 3 de 5 - Valorar este tema

Publicado: 18/08/2006En esta páginaIntroducciónAmenazas y defensas de la ingeniería socialDiseño de defensas frente a las amenazas de la ingeniería socialImplementación de defensas frente a las amenazas de la ingenieríasocial

Apéndice 1: Listas de comprobación de la directiva de seguridadpara amenazas de ingeniería socialApéndice 2: Glosario

IntroducciónBienvenido a este documento de la colección Guías de seguridadpara medianas empresas. Microsoft espera que esta información leayude a crear un entorno informático más seguro y productivo.

Quién debería leer este artículo

Este artículo proporciona información sobre la administración deseguridad de las amenazas que suponen la ingeniería social y lasdefensas disponibles que permiten ayudar a enfrentarse a los piratasinformáticos de la ingeniería social. La ingeniería social incluyeprincipalmente amenazas no técnicas para la seguridad de lacompañía. La amplia naturaleza de estas posibles amenazas hacenecesario el contar con información sobre las amenazas y lasposibles defensas a una amplia variedad de personal técnico y dedirección de una compañía, incluidos:

España (Español) Iniciar sesión

Buscar TechNet con Bing

Inicio Biblioteca Aprendizaje Descarga Soporte Comunidad Foros

Biblioteca TechNet

Seguridad y actualizaciones

Seguridad

Seguridad para medianas empresas

Políticas de seguridad

Protección de la información

confidencial de las amenazas dela ingeniería social

cción de la información confidencial de las amenazas de la ingenierí... http://technet.microsoft.com/es-es/library/cc875841(d=prin

5 09/10/20


2/35

Miembros del consejo de administración

Administradores de servicios y de operaciones técnicas

Personal de soporte técnico

Personal de seguridad

Ejecutivos

Información generalPara atacar a su organización, los piratas informáticos de la ingeniería social se aprovechan de la credulidad, pereza,buenas maneras o incluso el entusiasmo de su personal. Por tanto, es difícil defenderse de un ataque de este tipo, yaque los destinatarios no se dan cuenta de que los están engañando o tal vez prefieran no admitirlo ante otraspersonas. Los objetivos de un pirata informático de ingeniería social, es decir, alguien que intenta conseguir accesono autorizado a sus sistemas informáticos, son similares a los de cualquier otro pirata informático: desean obtenerdinero, información o recursos de TI de su compañía.

Un pirata informático de ingeniería social intenta persuadir a su personal para que le proporcione información que lepermitirá usar sus sistemas o los recursos de éstos. Normalmente, este método se conoce como engaño por confianza. Muchas pequeñas y medianas empresas consideran que los ataques de los piratas informáticos suponenun problema para las grandes corporaciones u organizaciones que ofrecen importantes recompensas. Si bien éstepuede haber sido el caso en el pasado, el aumento de los delitos por Internet hace que los piratas informáticos ahorase dirijan a todos los sectores de la comunidad, desde las corporaciones hasta los individuos. Los delincuentespueden robar directamente de una compañía, desviando fondos o recursos, pero también pueden usar a ésta comopunto de partida para perpetrar delitos contra otros. Esto hace que las autoridades encuentren más dificultades paraseguir la pista a estos delincuentes.

Para proteger a su personal de los ataques de ingeniería social, tiene que conocer los tipos de ataque que puedesufrir, saber lo que quiere el pirata informático y valorar lo que podría suponer la pérdida para su organización. Conestos datos, puede hacer más estricta su directiva de seguridad para que incluya defensas contra la ingeniería social.

En este artículo se asume que cuenta con una directiva de seguridad con objetivos, prácticas y procedimientos que lacompañía reconoce como elementos necesarios para proteger sus activos de información, sus recursos y su personalfrente a ataques tecnológicos o físicos. Los cambios en la directiva de seguridad ayudarán al personal a contar conuna guía acerca de cómo reaccionar cuando se encuentren con una persona o una aplicación que intentacoaccionarlos o persuadirlos para que proporcionen recursos de la empresa o desvelen información de seguridad.

Principio de la página

Amenazas y defensas de la ingeniería socialHay cinco tipos principales de vectores de ataque que un pirata informático de ingeniería social usa:

En línea

Telefónicos

Gestión de residuos

Contactos directos

Ingeniería social inversa


5 09/10/20


3/35

Además de reconocer estos puntos iniciales, también debe saber lo que el pirata informático espera obtener. Susobjetivos se basan en las mismas necesidades que nos guían a todos: el dinero, el avance social y la autoestima. Lospiratas informáticos desean obtener dinero y recursos, desean que se les reconozca en la sociedad o en su grupo ydesean sentirse bien con ellos mismos. Desgraciadamente, logran todo esto de forma ilegal robando o dañando lossistemas informáticos. Los ataques de cualquier tipo le costarán dinero, al perder ingresos, recursos, información,disponibilidad o credibilidad comercial. Cuando diseñe sus defensas contra esas amenazas, debe calcular lo que lecostará un ataque.

Amenazas en líneaEn nuestro mundo donde los negocios están cada vez más relacionados, el personal suele usar y responder asolicitudes e información que recibe de forma electrónica tanto desde dentro como desde fuera de la compañía. Estaconectividad permite a los piratas informáticos contactar con su personal desde el anonimato relativo de Internet. Enocasiones habrá oído hablar en la prensa de los ataques en línea, como ataques por correo electrónico, aplicacionesemergentes y mensajes instantáneos que usan caballos de Troya, gusanos y virus, a los que se conoce conjuntamentecomo malware, para dañar o trastocar los recursos informáticos. Puede empezar a poder hacer frente a muchos deestos ataques de malware mediante la implementación de fuertes defensas antivirus.

Nota Para obtener más información acerca de las defensas antivirus, consulte la Guía de defensa en profundidad antivirus en http://go.microsoft.com/fwlink/?linkid=28732 (puede estar en inglés).

El pirata informático de ingeniería social persuade a un empleado para que le proporcione información mediante unaartimaña creíble, en lugar de infectando un equipo con malware mediante un ataque directo. Un ataque puedeproporcionar información que permitirá al pirata informático realizar un posterior ataque de malware, pero esteresultado no es una función de la ingeniería social. Por tanto, debe aconsejar a su personal sobre cómo poderidentificar mejor y evitar los ataques de ingeniería social en línea.

Amenazas por correo electrónicoMuchos empleados reciben decenas e incluso cientos de mensajes de correo electrónico cada día, tanto de sistemasde correo electrónico privados como de empresas. El volumen del correo electrónico manejado puede hacer que nose preste la atención necesaria a cada uno de los mensajes que se reciben. Este hecho es muy útil para un piratainformático de ingeniería social. La mayoría de los usuarios del correo electrónico se sienten bien consigo mismos

cuando manejan la correspondencia; se trata del equivalente electrónico de mover el papel de una bandeja deentrada a una de salida. Si el pirata informático puede realizar una solicitud que no requiera acciones complicadaspor parte de la víctima de su ataque, ésta aceptará hacer algo sin ni siquiera pensar en lo que está haciendo.

Un ejemplo de este tipo de ataque sencillo consiste en enviar un mensaje de correo electrónico a un empleado queindique que su jefe desea que se le envíen todas las fechas de vacaciones para una reunión y se copia a todo elmundo en el mensaje. Es muy fácil incluir un nombre externo en la lista de personas con copia y suplantar el nombredel remitente para que el mensaje parezca proceder de una fuente interna. La suplantación es especialmente sencillasi un pirata informático tiene acceso al sistema informático de una compañía, ya que no es necesario traspasar losfirewalls del perímetro. Conocer las vacaciones de un departamento puede que no parezca una amenaza deseguridad, pero significa que un pirata informático sabe cuándo estará ausente un empleado. Será entonces cuandopueda hacerse pasar por esa persona con pocas posibilidades de ser descubierto.

El uso del correo electrónico como herramienta de ingeniería social se ha convertido en endémico en la últimadécada. El término suplantación de identidad (phishing) describe el uso del correo electrónico para obtenerinformación restringida o personal identificable de un usuario. Los piratas informáticos pueden enviar mensajes decorreo electrónico que parezcan proceder de organizaciones válidas, como bancos o socios comerciales.

En la siguiente figura se muestra un vínculo aparentemente válido al sitio de administración de cuentas de Contoso.


5 09/10/20


4/35

Figura 1. Hipervínculo de suplantación de identidad (phishing) mediante correo electrónico

Sin embargo, si observa más detenidamente podrá notar dos diferencias:

El texto del mensaje indica que el sitio es seguro, lo que viene denotado por https, si bien la sugerencia de lapantalla muestra que el sitio usa realmente http.

El nombre de la compañía del mensaje es “Contoso,” pero el vínculo lleva a una compañía denominada“Comtoso”.

Como indica el término suplantación de identidad (phishing), estos métodos suelen ser especulativos y en ellos serealiza una solicitud genérica de información a un cliente. El camuflaje realista que se usa en los mensajes de correoelectrónico, con logotipos de compañía, fuentes e incluso números de soporte telefónico gratuito aparentementeválidos, hace que el mensaje parezca más creíble. En cada mensaje de suplantación de identidad (phishing) hay unasolicitud de información del usuario, que suele proporcionar, a cambio, un servicio adicional o una actualización. Unaextensión de la suplantación de identidad (phishing) es el spear-phishing, en el que se contacta con una persona ogrupo departamental explícitos. Este método es mucho más sofisticado, porque se necesita información personal yrelevante de la compañía para conseguir que el engaño sea creíble. Para él se necesitan más conocimientos sobre lapersona objeto del ataque, pero con él se puede obtener información más detallada y específica.

El mensaje de correo electrónico también puede llevar hipervínculos que pueden tentar a un empleado a incumplir laseguridad de la compañía. Como se muestra en la Figura 1, los vínculos no siempre llevan al usuario a la ubicaciónesperada o prometida. El pirata informático cuenta con una serie de opciones adicionales en el mensaje de correoelectrónico de suplantación de identidad (phishing), incluidas imágenes que son hipervínculos que descarganmalware, como virus o software espía, o texto que se presenta en una imagen con el fin de eludir los filtros deseguridad de los hipervínculos.

La mayoría de las medidas de seguridad ayudan a mantener alejados a los usuarios no autorizados. Un piratainformático puede eludir muchas defensas si puede engañar a un usuario para que introduzca un caballo de Troya,un gusano o un virus en la compañía mediante un vínculo. El hipervínculo también puede llevar a un usuario a unsitio en el que se usen aplicaciones emergentes para solicitar información u ofrecer ayuda.

Puede usar una matriz de vectores de ataque, objetivos de los ataques, descripciones y el costo que suponen para sucompañía similar a la que aparece en la siguiente tabla para poder clasificar los ataques y establecer el riesgo de cadauno de ellos para su compañía. En ocasiones, una amenaza representa algo más que un riesgo. Cuando éste sea elcaso, en los siguientes ejemplos se muestran los principales riesgos en negrita.

Tabla 1. Ataques en línea por correo electrónico y costos

Objetivos de los

ataquesDescripción Costo


5 09/10/20


5/35

Robo de informaciónde la compañía

El pirata informático se hace pasar por (suplanta a) un usuariointerno para obtener información de la compañía.

Información

confidencial

Credibilidadcomercial

Robo de informaciónfinanciera

El pirata informático usa la técnica de suplantación de identidad(phishing) (o "spear-phishing") para solicitar información

confidencial de la compañía, como detalles de cuentas.

Dinero

Información

confidencialCredibilidadcomercial

Descarga de malware El pirata informático engaña a un usuario para que haga clic en unhipervínculo o abra un archivo adjunto y, de esta forma, infecte lared de la compañía.

Disponibilidad

comercial


Descarga de softwaredel pirata informático

El pirata informático engaña a un usuario para que haga clic en unhipervínculo o abra un archivo adjunto y, de esta forma, descargue

un programa suyo que use recursos de la red de la compañía.

Recursos

Credibilidad

comercialDinero

Al igual que en la mayoría de los engaños de confianza, puede conseguir resistirse a los ataques de piratas deingeniería social de forma más efectiva mediante una actitud de prudencia ante cualquier mensaje inesperado quereciba en la bandeja de entrada. Para que se implante este método en una organización, debe incluir en la directivade seguridad unas directrices específicas sobre uso del correo electrónico que incluyan:

Archivos adjuntos en documentos.

Hipervínculos en documentos.

Solicitudes de información personal o de la compañía desde dentro de ésta.

Solicitudes de información personal o de la compañía desde fuera de ésta.

Además de estas directrices, debe incluir ejemplos de ataques de suplantación de identidad (phishing). Cuando unusuario reconozca una estafa mediante suplantación de identidad (phishing), notará que es mucho más fácil detectarotras.

Aplicaciones y cuadros de diálogo emergentes

No es realista pensar que los empleados no usan el acceso a Internet de la compañía para actividades norelacionadas con su trabajo. La mayoría de los empleados en algún momento navegan por Internet para asuntospersonales, como para realizar búsquedas o compras en línea. Esta navegación para fines personales puede hacer quelos empleados y, por tanto, los sistemas informáticos de la compañía, entren en contacto con ingenieros socialesgenéricos. Si bien puede que no vayan destinados de forma específica a su compañía, usarán a su personal en suesfuerzo por obtener acceso a los recursos de su empresa. Uno de los objetivos más habituales consiste en incrustarun motor de correo en el entorno del equipo, mediante el cual, el pirata informático puede iniciar ataques desuplantación de identidad (phishing) o de otro tipo mediante correo electrónico en otras compañías o personas.

En la siguiente figura se muestra cómo un hipervínculo parece llevar a un sitio de administración de cuentas seguro


5 09/10/20


6/35

(secure.contosa.com account_id?Amendments), mientras que la barra de estado muestra que va a llevar al usuario alsitio de un pirata informático. Dependiendo del explorador que use, un pirata informático puede suprimir o cambiarel formato de la información de la barra de estado.

Figura 2. Hipervínculo de suplantación de identidad (phishing) a una página web

Los dos métodos más habituales de engañar a un usuario para que haga clic en un botón de un cuadro de diálogoson el advertir de un problema, por ejemplo, mostrando un mensaje de error de la aplicación o del sistema operativorealista, u ofreciendo servicios adicionales, por ejemplo, una descarga gratuita que haga que el equipo del usuariovaya más rápido. Para los usuarios de TI y web experimentados, estos métodos pueden parecer engaños clarísimos.Sin embargo, para los usuarios no experimentados, estas aplicaciones o cuadros de diálogo emergentes pueden serintimidatorios o atractivos.

Tabla 2. Ataques en línea mediante aplicaciones y cuadros de diálogo emergentes y costos

Objetivos de los ataques Descripción Costo

Robo de informaciónpersonal

El pirata informático solicita información personal de unempleado

InformaciónconfidencialDinero (empleado)

Descarga de malware El pirata informático engaña a un usuario para que haga clicen un hipervínculo o abra un archivo adjunto

DisponibilidadcomercialCredibilidadcomercial

Descarga de software delpirata informático

El pirata informático engaña a un usuario para que haga clicen un hipervínculo o abra un archivo adjunto

RecursosCredibilidad

comercialDinero

Proteger a los usuarios de aplicaciones emergentes de ingeniería social es principalmente una función deconcienciación. Para evitar el problema, puede configurar el explorador de forma predeterminada para que bloqueelos elementos emergentes y las descargas automatizadas, pero algunos elementos emergentes pueden eludir estaconfiguración. Resulta más efectivo asegurarse de que los usuarios son conscientes de que no deben hacer clic enelementos emergentes a menos que lo consulten con el personal de soporte técnico. Por tanto, su personal debepoder confiar en que el personal de soporte técnico no va a juzgarle por haber navegado por la Web. Esta relación de


5 09/10/20


7/35

confianza puede verse afectada por la directiva de la compañía sobre la navegación por Internet para finespersonales.

Mensajería instantánea

La mensajería instantánea (IM) es un medio de comunicación relativamente nuevo, pero que cada vez es más popularcomo herramienta en el trabajo. Algunos analistas calculan que habrá 200 millones de usuarios de productos demensajería instantánea en 2006. La inmediatez y la familiaridad de la mensajería instantánea la convierte en un lugaradecuado para los ataques de ingeniería social, ya que los usuarios lo consideran como el teléfono y no lo relacionan

con posibles amenazas para el software del equipo. Los dos ataques principales que se realizan con mensajeríainstantánea son el envío de un vínculo de malware en un mensaje de mensajería instantánea y el envío de un archivoreal. Por supuesto, la mensajería instantánea también representa otra forma de solicitar información de manerasencilla.

Existen una serie de posibles amenazas inherentes a la mensajería instantánea cuando se trata el tema de laingeniería social. La primera es el carácter informal de la mensajería instantánea. La naturaleza de chat de lamensajería instantánea, junto con la opción de asignarse un nombre falso o inventado, hace que no esté totalmenteclaro que se esté hablando con la persona con la que se cree estar hablando, lo que aumenta de forma significativa laposibilidad de suplantaciones casuales.

En la siguiente figura se muestra el funcionamiento de la suplantación, tanto para correo electrónico como para la

mensajería instantánea.

Figura 3. Suplantación mediante mensajería instantánea y correo electrónico

El pirata informático (de color rojo) se hace pasar por otro usuario conocido y envía un mensaje de correo electrónicoo de la mensajería instantánea que el destinatario asumirá que procede de alguien conocido. La familiaridad hace quese relajen las defensas del usuario, por lo que es mucho más probable que éste haga clic en un vínculo o abra unarchivo adjunto de alguien que conozca o que crea conocer. La mayoría de los proveedores de mensajeríainstantánea permiten la identificación de los usuarios según la dirección de correo electrónico, lo que permite a unpirata informático que ha identificado un estándar de direcciones en una compañía enviar invitaciones de contactosde mensajería instantánea a otras personas de la organización. Esta funcionalidad no supone una amenaza, perosignifica que aumenta significativamente el número de personas que pueden ser objeto de un ataque en la compañía.

Tabla 3. Ataques por mensajería instantánea y costos


5 09/10/20


8/35

Objetivos de los


Solicitud deinformaciónconfidencial de lacompañía

Los piratas informáticos usan la suplantación por mensajeríainstantánea para hacerse pasar por un compañero de trabajo ysolicitar información de la compañía.

Información

confidencial


Descarga de malware El pirata informático engaña a un usuario para que haga clic en unhipervínculo o abra un archivo adjunto y, de esta forma, infecte lared de la compañía.

Disponibilidad

comercial


Descarga de softwaredel pirata informático

El pirata informático engaña a un usuario para que haga clic en unhipervínculo o abra un archivo adjunto y, de esta forma, descargueun programa suyo, como un motor de correo, que use recursos dela red de la compañía.

Recursos

Credibilidad

comercial

Dinero

Si desea aprovechar la inmediatez y las reducciones de costos que puede proporcionar la mensajería instantánea,debe incluir en sus directivas de seguridad defensas específicas para la mensajería instantánea. Para ayudarle acontrolar la mensajería instantánea en su empresa, debe establecer las cinco reglas de uso siguientes:

Estandarizar su uso en una sola plataforma de mensajería instantánea. Con esta norma se minimizará elesfuerzo de compatibilidad y se desanimará a los usuarios para que no charlen con su propio proveedor demensajería instantánea personal. Si desea un método más controlado para limitar las opciones de los usuarios,puede decidir bloquear los puertos que usan los servicios de mensajería instantánea comunes.

Definir una configuración de seguridad de implementación . Los clientes de mensajería instantánea ofrecenuna serie de opciones de privacidad y seguridad, como la detección de virus.

Establecer directrices de contacto. Recomiende que los usuarios no acepten de forma predeterminadanuevas invitaciones de contacto.

Establecer estándares de contraseñas. Haga que las contraseñas de mensajería instantánea cumplan con losestrictos estándares de contraseñas establecidos para las contraseñas de host.

Ofrecer ayuda para el uso. Cree un conjunto de directrices de prácticas recomendadas para sus usuarios, enlas que explique los motivos inherentes a ellas.

Amenazas telefónicas

El teléfono ofrece un vector de ataque excelente para los piratas informáticos de ingeniería social. Se trata de unmedio familiar, pero también impersonal, ya que la persona objeto del ataque no puede ver al pirata informático. Lasopciones de comunicación de la mayoría de los sistemas informáticos también pueden convertir a la central deconmutación (PBX) en un objetivo atractivo. Otro ataque, tal vez muy rudimentario, es el robo de PIN de tarjetastelefónicas o de crédito en cabinas telefónicas. Este ataque suele realizarse como robo a una persona, pero lastarjetas de crédito de las compañías son igualmente útiles. La mayoría de las personas saben que tienen que serprudentes ante los fisgones en los cajeros automáticos, pero la mayoría suele tener menos precaución cuando usanun PIN en una cabina telefónica.

El sistema de voz sobre IP (VoIP) es un mercado en desarrollo que ofrece reducciones de costos a las compañías.


5 09/10/20


9/35

Actualmente, debido al relativamente reducido número de instalaciones, las actividades de piratas informáticos sobreVoIP no se considera una amenaza importante. Sin embargo, conforme cada vez más empresas usan esta tecnología,la suplantación mediante VoIP puede generalizarse tanto como lo está ahora en el correo electrónico y en mensajeríainstantánea.

Central de conmutación (PBX)

El pirata informático que ataca una central PBX tiene tres objetivos principales:

Solicitar información, normalmente imitando a un usuario legítimo, ya sea para tener acceso al propio sistematelefónico o para obtener acceso remoto a sistemas informáticos.

Obtener acceso al uso “gratuito” del teléfono.

Obtener acceso a la red de comunicaciones.

Cada uno de estos objetivos supone un tema distinto, en el que el pirata informático llama a la compañía paraintentar obtener los números de teléfono que proporcionan acceso directo a una central PBX o mediante una centralPBX a la red telefónica pública. El término que se usa para este hecho es phreaking. El método más habitual consisteen que el pirata informático finja ser un técnico telefónico, que solicita línea exterior o una contraseña para analizar y

resolver los problemas indicados en el sistema telefónico interno, como se muestra en la siguiente figura.

Figura 4. Ataques telefónicos a centrales PBX

Las solicitudes de información o acceso telefónico constituyen una forma de ataque relativamente sin riesgos. Si eldestinatario sospecha o no decide responder a una solicitud, el pirata informático sólo tiene que colgar. Sin embargo,tenga en cuenta que dichos ataques son más sofisticados que el hecho de que un pirata informático simplementellame a una compañía y solicite el Id. y la contraseña de un usuario. Éste normalmente presenta una situación, en laque pide u ofrece ayuda, antes de realmente solicitar la información personal o de la empresa, casi como si se tratarade algo que se le hubiera ocurrido a última hora.

Tabla 4. Ataques a centrales de conmutación y costos


5 09/10/20


10/35


Solicitud de información de lacompañía

El pirata informático se hace pasar por un usuario legítimopara obtener información confidencial.

InformaciónconfidencialCredibilidadcomercial

Solicitud de informacióntelefónica

El pirata informático se hace pasar por un técnico telefónicopara obtener acceso a la central PBX con el fin de realizarllamadas externas.

RecursosDinero

Uso de la central PBX paratener acceso a sistemasinformáticos

El pirata informático entra en los sistemas informáticos,mediante una central PBX, para robar o manipularinformación, infectar con malware o usar recursos.

La mayoría de los usuarios no tienen ningún tipo de conocimientos sobre el sistema telefónico interno, aparte delpropio teléfono. Éste es el factor más importante de defensa que puede incluir en su directiva de seguridad. No eshabitual que los piratas informáticos contacten con los usuarios generales con este sistema. Los destinatarios más

habituales suelen ser el personal de recepción o de centralitas. Debe indicarles que el servicio de ayuda es el únicoque está autorizado a ofrecer ayuda a los proveedores telefónicos. De esta forma, todo el personal autorizado tratacon todas las llamadas de soporte de ingeniería. Este método permite que el personal destinatario pueda redirigireficaz y rápidamente tales consultas al empleado cualificado.

Servicio de ayuda

El departamento de soporte es una de las defensas fundamentales frente a los piratas informáticos, pero supone, a lavez, un objetivo para estos piratas de la ingeniería social. Si bien el personal de soporte técnico suele ser precavidofrente a la amenaza de estos piratas, también se somete a aprendizaje para ayudar y atender a las personas quellaman y a ofrecerles consejos y soluciones para sus problemas. En ocasiones, el entusiasmo demostrado por elpersonal de soporte técnico a la hora de proporcionar una solución hace olvidar su compromiso con el cumplimiento

de los procedimientos de seguridad y hace que este personal se enfrente a un dilema: si aplican los estrictosestándares de seguridad, pidiendo pruebas que demuestren que la solicitud o pregunta proviene de un usuarioautorizado, puede parecer que no son serviciales o incluso que ponen obstáculos. El personal de producción o ventasy marketing que considere que el departamento de TI no esté proporcionando el servicio inmediato que necesitanpueden quejarse; también es cierto que cuando se pide a los miembros de la directiva que demuestren su identidad,éstos no se suelen mostrar muy comprensivos ante la rigurosidad del personal de soporte.

Tabla 5. Ataques telefónicos al servicio de ayuda y costos

Objetivos de los


Solicitud deinformación

El pirata informático se hace pasar por un usuario legítimo paraobtener información de la empresa.

Información

confidencial

Solicitud de acceso El pirata informático se hace pasar por un usuario legítimo paraobtener acceso de seguridad a los sistemas comerciales.

Información

confidencial

Credibilidad

comercial

Disponibilidad

comercial


35 09/10/20


11/35

Recursos

Dinero

El servicio de ayuda debe conseguir un equilibrio entre la seguridad y la eficacia comercial y, en este contexto, lasdirectivas y procedimientos de seguridad deben servirles de apoyo. Una prueba de identidad, como proporcionar elnúmero de empleado, departamento, y nombre del jefe, no debe suponer un gran problema para que el analista delservicio de ayuda lo solicite, ya que todo el mundo sabe estos datos. Sin embargo, esta prueba tal vez no sea

completamente segura, ya que un pirata informático puede haber robado esta información. No obstante, puede seruna forma realista de empezar. En verdad, el único método de identificación seguro al 99,99% es una prueba de DNA,lo cual es claramente poco realista.

Es más difícil defender al analista del servicio de ayuda frente a un pirata informático que sea un trabajador interno oun contratista. Dicho pirata tendrá un conocimiento detallado de los procedimientos internos y tendrá tiempo paraasegurarse de que cuenta con toda la información necesaria antes de llamar al servicio de ayuda. Los procedimientosde seguridad deben proporcionar una función doble ante esta situación:

El analista del servicio de ayuda debe asegurarse de que se realiza una pista de auditoría de todas las acciones.Si un pirata informático consigue obtener acceso no autorizado a información o recursos mediante una

llamada al servicio de ayuda, dicho servicio debe registrar todas las actividades para que se pueda reparar olimitar de forma rápida cualquier daño o pérdida. Si cada llamada desencadena un mensaje de correoelectrónico automatizado o manual que indique el problema o solicitud, también será más fácil para unempleado que sufriera un robo de identidad darse cuenta de lo sucedido y llamar al servicio de ayuda.

El analista del servicio de ayuda debe contar con un procedimiento bien estructurado sobre cómo tratar losdistintos tipos de llamadas. Por ejemplo, si el jefe del empleado debe enviar por correo electrónico solicitudesde cambio de acceso, no debe producirse ningún cambio informal o no autorizado en los niveles deseguridad.

Si los usuarios son conscientes de estas reglas y la directiva apoya su implementación, los piratas informáticos lotendrán mucho más difícil a la hora de conseguir sus objetivos o pasar inadvertidos. La pista de auditoría de 360grados es la herramienta más valiosa para evitar y detectar actos ilícitos.

Amenazas en la gestión de residuos

El análisis ilícito de los residuos, o búsqueda en contenedores, como se conoce habitualmente, es una actividad muyvaliosa para los piratas informáticos. Los restos de documentos comerciales pueden contener información de utilidadinmediata para un pirata informático, por ejemplo, números de cuenta e Id. de usuario desechados, o bien puedeservir como información de base, por ejemplo, para listados telefónicos y gráficos de organizaciones. Este último tipode información es importantísimo para un pirata informático de ingeniería social, ya que permite que parezca creíblecuando realiza un ataque. Por ejemplo, si el pirata informático parece tener un buen conocimiento del personal del

departamento de una compañía, es mucho más probable que tenga éxito cuando contacte con el mismo; la mayoríadel personal asumirá que alguien que sabe mucho de su compañía tiene que ser un empleado de ésta.

Los medios electrónicos pueden ser incluso más útiles. Si las compañías no cuentan con reglas de gestión de residuosque incluyan el desecho de medios redundantes, se podrá encontrar todo tipo de información en unidades de discoduro, CDs y DVDs desechados. La naturaleza sólida de los medios fijos y extraíbles implica que los responsables de laseguridad de TI deban estipular directivas de gestión de medios que incluyan instrucciones de borrado o destrucción.

Tabla 6: Ataques de gestión de residuos y costos


35 09/10/20


12/35


Restos de papel encontenedores externos

El pirata informático toma el papel de contenedores externospara robar cualquier tipo de información relevante de lacompañía.

Información

confidencial


Restos de papel enpapeleras internas

El pirata informático toma el papel de las papeleras internasde la oficina, eludiendo cualquier directriz de gestión externade residuos de papel.

Informaciónconfidencial


Residuos demedios electrónicos

El pirata informático roba información y aplicaciones demedios electrónicos desechados. El pirata informáticotambién roba el propio medio.

Información

confidencial

RecursosCredibilidadcomercial

Su personal debe comprender las implicaciones que tiene el arrojar residuos de papel o medios electrónicos a unapapelera o contenedor. Una vez que los residuos salen del edificio, su propiedad puede entrar en un vacío legal. Labúsqueda en contenedores tal vez no se considere ilegal en todas las circunstancias, por lo que debe asegurarse deque aconseja a su personal sobre cómo tratar los residuos. Triture los documentos y borre o destruya los mediosmagnéticos que vaya a desechar. Si algún residuo es lo demasiado grande o rígido como para poderlo destruir enuna trituradora, como una agenda telefónica, o técnicamente el usuario no lo puede destruir, se deberá crear unprotocolo específico para su desecho. También debe colocar los contenedores en una zona segura a la que no puedaacceder todo el mundo.

Cuando diseñe una directiva de gestión de residuos, es importante que se asegure de que cumple con la normativalocal sobre seguridad. También puede ser una buena medida desde el punto de vista social adoptar estrategias de

gestión de recursos que respeten el medioambiente.

Además de la gestión de residuos externos (el papel o los medios electrónicos que se puedan enviar a personasexternas a la compañía) también debe gestionar los residuos internos. Las directivas de seguridad no suelen tener encuenta este asunto, porque se suele asumir que cualquier persona que tenga acceso a la compañía debe ser deconfianza. Está claro que éste no es siempre el caso. Una de las medidas más efectivas a la hora de gestionar losresiduos de papel es la especificación de una clasificación de datos. Puede definir distintas categorías de informaciónen papel y especificar cómo debe desechar el personal los residuos en cada caso. Entre las categorías de ejemplo sepodrían incluir:

Información confidencial de la compañía. Triture todos los documentos confidenciales de la compañía antes

de desecharlos en cualquier papelera o contenedor.

Información privada. Triture todos los documentos privados antes de desecharlos en cualquier papelera ocontenedor.

Información del departamento. Triture todos los documentos del departamento antes de desecharlos encontenedores públicos.

Información pública. Deseche todos los documentos públicos en cualquier papelera o recíclelos.


35 09/10/20


13/35

Para obtener más información acerca del desarrollo de clasificaciones de datos, consulte el tema Función SMF deadministración de la seguridad en Microsoft® TechNet en la dirección http://go.microsoft.com/fwlink/?linkid=37696(puede estar en inglés).

Contactos directos

La forma más sencilla y barata en la que un pirata informático puede obtener información es solicitarla directamente.Este método puede parecer rudimentario y obvio, pero se ha convertido en la base de los engaños por confianzadesde el comienzo. Hay cuatro métodos principales que demuestran ser útiles para los ingenieros sociales:

Intimidación. Este método puede implicar la suplantación de una figura de autoridad para coaccionar a unapersona a responder a una solicitud.

Persuasión. Las formas más habituales de persuasión suelen incluir la adulación o el mencionar a alguienimportante.

Congraciamiento. Este método suele ser una estratagema más a largo plazo, en la que un compañero detrabajo de la misma categoría de una inferior inicia una relación para conseguir la confianza y, finalmente,información de esta persona.

Ayuda. En este método, el pirata informático se ofrece a ayudar al objetivo del ataque. La ayuda normalmentehará que finalmente el objetivo del ataque divulgue información personal que permitirá al pirata informáticorobar su identidad.

La mayoría de las personas asumen que cualquiera que les hable es una persona de confianza, lo que es interesanteya que es un hecho que la mayoría de las personas admite que se mienten a sí mismas. The Lying Ape: An Honest Guide to a World of Deception (El mono mentiroso: una guía honesta en un mundo de engaños), Brian King, IconBooks Limited. La confianza total es uno de los objetivos de un pirata informático de ingeniería social.

Es muy difícil defender a los usuarios frente a estos tipos de contactos directos. Algunos usuarios tienen unapredisposición natural a que la ingeniería social use uno de estos cuatro ataques. La defensa frente a un ataque porintimidación es el resultado de una cultura “sin miedo” dentro de una empresa. Si el comportamiento habitual es laeducación, se reduce el éxito que tendrá la intimidación, ya que es más probable que los empleados consulten lassituaciones polémicas. Una actitud de apoyo en la directiva y funciones de supervisión que busquen la consulta deproblemas y la toma de decisiones es lo peor con lo que se puede encontrar un pirata informático de ingenieríasocial. Su objetivo consiste en alentar a los destinatarios del ataque a tomar una decisión rápida. Si el problema seconsulta a una autoridad superior, es mucho menos probable que consigan su objetivo.

La persuasión siempre ha sido un método muy usado por los humanos para lograr objetivos personales. No puedeconseguir esto sin más de sus empleados, pero puede proporcionar una guía firme sobre lo que un individuo debe yno debe hacer. El pirata informático siempre preguntará o creará una situación en la que un usuario ofrecevoluntariamente información restringida. Su mejor defensa son las campañas de concienciación continuadas y la

ayuda básica sobre dispositivos de seguridad como las contraseñas.

Los piratas informáticos necesitan tiempo para congraciarse con los usuarios. Tendrán que contactar habitualmente,probablemente asumiendo el papel de un compañero de trabajo. Para la mayoría de las medianas empresas, laprincipal amenaza de un compañero de trabajo procede del personal de contratas o de servicio habitual. El grupo derecursos humanos debe tener la misma precaución al investigar los antecedentes del personal de contratas que alhacerlo con el personal fijo. Puede encargar la mayor parte de este trabajo al contratista. Para asegurarse de que estaempresa realiza un trabajo efectivo, puede pedirle que cumpla con sus propias directivas de investigación deantecedentes que se aplica al personal fijo. Si un pirata informático de ingeniería social consigue un puesto fijo en lacompañía, la mejor defensa sería la concienciación del personal y su cumplimiento de las reglas de la directiva de


35 09/10/20


14/35


15/35

Si bien la mayoría de las grandes empresas cuentan con infraestructuras de seguridad para sus instalacionesaltamente desarrolladas, las oficinas más pequeñas, de tamaño medio, tal vez no pongan tantos impedimentos parael acceso a sus instalaciones. El seguimiento, en el que una persona no autorizada sigue a alguien que tiene un pasepara entrar a una oficina, es un ataque de ingeniería social muy sencillo. El intruso abre la puerta, que el usuarioautorizado traspasa y, a continuación, el primero inicia una conversación sobre el tiempo o un partido del fin desemana mientras pasan juntos por el área de recepción. Este método no funcionaría en una gran compañía, dondecada persona tendría que pasar su tarjeta por un torniquete o en una pequeña compañía donde todos se conocen.Sin embargo, es perfectamente válido en una compañía con mil empleados, donde es habitual que un empleado no

conozca a todos los demás. Si el impostor hubiera obtenido acceso anteriormente a la información de la compañía,como nombres de departamentos, nombres de empleados o algún otro tipo informe interno, la conversación dedistracción sería más creíble.

La seguridad de los trabajadores en casa suele estar limitada a la tecnología. La directiva de seguridad debe exigirque los firewalls garanticen que los piratas informáticos externos no puedan tener acceso a las redes. Aparte de esterequisito, la mayoría de las medianas empresas permiten que sus empleados que trabajan en casa se ocupen de supropia seguridad e incluso de las copias de seguridad.

Tabla 7. Ataques con acceso físico y costos

Objetivos de losataques

Descripción Costo

Robo de la identidaddel usuario móvil

El pirata informático observa al usuario legítimo cuando ésteespecifica la información de inicio de sesión u otros detalles en elequipo. Esto puede permitir el robo de un equipo físico.

Información

confidencial

Robo de la identidaddel usuario que trabajaen casa

El pirata informático se hace pasar por un trabajador de soportede TI o un socio de mantenimiento para obtener acceso a la reddel trabajador en casa y solicita el Id. y la contraseña del usuariopara probar que la actualización se realizó con éxito.

Información

confidencial

Contacto directo con lared mediante la red deltrabajador en casa

El pirata informático tiene acceso a la red de la compañía mediantela red del trabajador en casa haciéndose pasar por un ingeniero desoporte técnico. El pirata informático tiene un acceso sin límites alos recursos de la red y la compañía.

Información

confidencial

Credibilidad

comercial

Disponibilidad

comercial

Recursos

Dinero

Acceso continuado a la

red del trabajador encasa

El pirata informático o el usuario local tiene acceso de banda

ancha a Internet mediante una red doméstica desprotegida.

Recursos

Acceso a las oficinas dela compañía sincompañía

El pirata informático sigue a un empleado autorizado para entraren las oficinas de la compañía.

InformaciónconfidencialCredibilidadcomercialDisponibilidadcomercialDinero


35 09/10/20


16/35

Recursos

Acceso de un individuoa una oficina de lacompañía

El pirata informático obtiene acceso a un individuo, lo que lepermite intentar usar el equipo informático o recursos en papel,como archivadores.

Información

confidencial

Recursos

Dinero

Las defensas frente a estas amenazas dependen fundamentalmente de la implementación de procedimientosrecomendados por parte de los usuarios, basados en una directiva de seguridad efectiva de la compañía que debetratar las tres áreas siguientes:

Las instalaciones de la compañía

El hogar

El trabajo móvil

Sería imposible acceder a las instalaciones de una compañía si no se contara con la autorización adecuada. Elpersonal de recepción debe ser educado pero firme cuando reciban al personal, a los contratistas o a los visitantes.Unas pocas y sencillas condiciones dentro de la directiva de seguridad de la compañía harán que sea prácticamenteimposible que una persona dispuesta a realizar un ataque de ingeniería social físico tenga acceso al edificio. Estascondiciones podrían incluir el uso de:

Pases con identificación fotográfica, que se deben mostrar cada vez que un empleado entre o salga deledificio.

Un libro de visitas firmado por el visitante y autorizado por el empleado al que visita tanto al llegar como al

salir.

Pases de visita con fecha visibles en todo momento y que se deben devolver en la recepción al salir.

Un libro de contratistas firmado por el contratista y autorizado por el empleado que autorizó su trabajo alllegar y salir.

Pases de contratistas con fecha visibles en todo momento y que se deben devolver en la recepción al salir.

Para asegurarse de que todas las personas se presentan al empleado de la recepción, la compañía debe crearbarreras para asegurarse de que los visitantes pasan directamente por delante de éste para presentar sus credencialeso firmar. Dichas barreras no tienen que ser torniquetes o barreras por las que tendrán que pasar.

Por ejemplo, un área de recepción puede tener algo tan relajante como un sofá para que la gente se siente mirandohacia la persona de recepción, como muestran los dos ejemplos de la siguiente figura.


35 09/10/20


17/35

Figura 5. Diseño de la recepción

El área de recepción de la izquierda permite a un visitante no autorizado seguir a una persona, usando a un empleadolegítimo para ocultarse. En el ejemplo de la derecha cualquier visitante tendría que pasar por delante de la recepción.La posición del equipo no tapa la visión del empleado de la recepción. El espacio debe ser lo suficientemente amplio

como para permitir que cualquier persona pueda pasar sin problemas, incluidas las personas que usan sillas deruedas. Es fundamental que los empleados de recepción reciban la instrucción necesaria y sean coherentes cuandoreciban y comprueben la identidad de los visitantes. Todas las entradas al edificio deben cumplir con estos estándaresy el personal sólo debe usar las entradas y salidas autorizadas al edificio; no debe haber puertas traseras.

Cuando se cree cualquier sistema de control de puertas o separaciones, debe asegurarse de que cumple con lanormativa sobre seguridad y accesibilidad.

En el domicilio, no es realista autorizar a que entre cualquier vendedor o persona que venga. En realidad, la mayoríade las personas suelen ser mucho más precavidas sobre las visitas que reciben en su hogar de lo que lo son con lasque visitan la oficina. Lo que es más importante aún, debe asegurarse de que un ataque no pueda tener acceso a losrecursos de la empresa. Un protocolo sobre los servicios de TI externos debe incluir reglas que estipulen las

siguientes condiciones:

Cada acción de soporte técnico, ya sea una solución in situ o una actualización, debe estar planeada yautorizada por el personal de soporte técnico.

Los contratistas y el personal interno que realizan tareas in situ de mantenimiento o de instalaciones debentener una identificación, que incluya preferiblemente una fotografía.

El usuario debe contactar con el departamento de soporte de TI para indicarles cuándo llega el técnico ycuándo finaliza el trabajo.

Cada puesto tiene una hoja correspondiente, que firma el usuario.

El usuario nunca debe proporcionar información de acceso personal ni iniciar sesión en el equipo paraproporcionar acceso a un técnico.

Este último punto es crucial. Es responsabilidad del grupo de servicios de TI asegurarse de que cualquier técnicoexterno tenga el acceso personal suficiente para realizar su trabajo. Si el técnico no tiene un acceso de usuariosuficiente para realizar una tarea, debe contactar con el servicio de ayuda. Este requisito es esencial, ya que trabajarcomo modesto técnico para una compañía de servicios informáticos es uno de los puestos más rentables que un


35 09/10/20


18/35

posible pirata informático puede encontrar, ya que lo convierte en una figura de autoridad técnica y en ayudante a lavez.

Los trabajadores móviles suelen usar sus equipos en lugares con mucha gente, como trenes o estaciones, aeropuertoso restaurantes. Claramente, es mucho más improbable asegurarse de que nadie le observa mientras escribe en unode estos lugares, pero la directiva de seguridad de la compañía debe ofrecer consejo sobre cómo reducir los riesgosque suponen para la información personal y de la empresa. Si los empleados usan asistentes digitales personales(PDA), debe incluir información sobre la administración de seguridad y la sincronización.

Ingeniería social inversa

La ingeniería social inversa describe una situación en la que la persona o personas objetivo realizan el contacto inicialy ofrecen al pirata informático la información que desean. Aunque esta situación pueda parecer improbable, figurasde autoridad, sobre todo autoridad técnica o social, suelen recibir información personal fundamental, como los Id. ycontraseñas de los usuarios porque están por encima de toda sospecha. Por ejemplo, ningún trabajador deldepartamento de soporte pediría a la persona que llama su Id. o contraseña de usuario; simplemente soluciona losproblemas sin esta información. Muchos usuarios que tienen problemas de TI ofrecerían de forma voluntaria estoselementos de seguridad fundamentales para conseguir rápidamente una solución a su problema. El pirata informáticono tendría ni que preguntar. Los ataques de ingeniería social no son tan reactivos como puede sugerir este contexto.

Un ataque de ingeniería social crea un situación, aconseja una solución y proporciona ayuda cuando se solicita,

puede que de forma tan sencilla como en el siguiente caso:

Un compañero de trabajo, que es en realidad un pirata informático, cambia el nombre o mueve un archivo para queel objetivo de su ataque piense que ya no existe dicho archivo. El pirata informático especula con la posibilidad derecuperar el archivo. El objetivo del ataque, que desea poder continuar con su trabajo, o preocupado por ser culpablede esa pérdida de información, cede ante su oferta. El pirata informático dice que para poder recuperarlo tendría queiniciar sesión como si fuera la otra persona. Incluso puede decir que la directiva de la compañía prohíbe esto. Elobjetivo del ataque pedirá al pirata informático que inicie sesión como si fuera él para intentar recuperar el archivo.De mala gana, el pirata informático acepta, recupera el archivo original y roba el Id. y la contraseña del usuario.Incluso puede que mejore su reputación de forma que reciba solicitudes de ayuda de otros compañeros de trabajo.Con este método se pueden eludir los canales de soporte técnico de TI habituales y permitir que el pirata informático

no sea detectado.No siempre es necesario tener información o incluso conocer a un objetivo para usar la ingeniería social inversa.Inventar problemas mediante cuadros de diálogo puede ser útil en un ataque de ingeniería social inversa noespecífico. En el cuadro de diálogo se avisa de que hay un problema o de que se debe realizar una actualización paracontinuar. En el cuadro de diálogo se ofrece una descarga para solucionar el problema. Cuando la descarga finaliza, elproblema supuesto desaparece y el usuario sigue trabajando, sin saber que incumplió la directiva de seguridad ydescargó un programa de malware.

Tabla 8. Ataques de ingeniería social inversa y costos

Objetivos de los

ataques Descripción Costo

Robo de identidad El pirata informático recibe el ID. y la contraseña de un usuarioautorizado.

InformaciónconfidencialCredibilidadcomercialDisponibilidadcomercialDineroRecursos


35 09/10/20


19/35

Robo deinformación

El pirata informático usa el Id. y la contraseña del usuario autorizadopara obtener acceso a los archivos de la compañía.

Información

confidencial

Dinero

Recursos

CredibilidadcomercialDisponibilidadcomercial

Descarga demalware

El pirata informático engaña a un usuario para que haga clic en unhipervínculo o abra un archivo adjunto y, de esta forma, infecte la redde la compañía.

Disponibilidad

comercial


Descarga desoftware del piratainformático

El pirata informático engaña a un usuario para que haga clic en unhipervínculo o abra un archivo adjunto y, de esta forma, descargueun programa suyo, como un motor de correo, que use recursos de lared de la compañía.

Recursos

Credibilidad

comercial

Dinero

Defenderse frente a la ingeniería social inversa es probablemente el desafío más difícil. El objetivo del ataque no tienemotivos para sospechar del pirata informático, porque cree que controlan la situación. La principal defensa es laestipulación en la directiva de seguridad de que todos los problemas se deben resolver mediante el servicio de ayuda.Si los miembros del servicio de ayuda son eficientes, educados y no se erigen en jueces, el resto de empleadosacudirán a ellos, en lugar de pedir ayuda a un empleado no autorizado o a conocidos.


Diseño de defensas frente a las amenazas de la ingeniería socialUna vez comprendida la amplia gama de amenazas que existen, se necesitan tres pasos para diseñar un sistema dedefensa frente a las amenazas de la ingeniería social hacia el personal de su compañía. Una defensa efectiva es contarcon una función de planeamiento. Las defensas suelen ser reactivas: se detecta un ataque que tuvo éxito y se creauna barrera para garantizar que el problema no vuelva a producirse. Si bien este método demuestra cierto nivel deconcienciación, la solución llega demasiado tarde si el problema es grave o costoso. Para adelantarse a esta situación,debe realizar los tres pasos siguientes:

Crear un marco de administración de la seguridad. Debe definir un conjunto de objetivos de seguridad deingeniería social y de empleados responsables de lograr que se cumplan.

Realizar evaluaciones sobre la administración de riesgos. Amenazas similares no presentan el mismo nivelde riesgo para distintas compañías. Debe revisar cada una de las amenazas de ingeniería social y racionalizar elpeligro que presenta cada una para su organización.

Implementar defensas de ingeniería social en su directiva de seguridad. Cree un conjunto escrito dedirectivas y procedimientos que estipulen la forma en que su personal debe enfrentarse a las situaciones quepuedan suponer ataques de ingeniería social. En este paso se asume que existe una directiva de seguridad,aparte de la amenaza que supone la ingeniería social. Si actualmente no dispone de una directiva deseguridad, tendrá que crear una. Los elementos que identifique su evaluación de riesgos de ingeniería socialserán un comienzo, pero tendrá que tener en cuenta otras posibles amenazas.

Para obtener más información acerca de las directivas de seguridad, consulte el sitio web sobre seguridad deMicrosoft en www.microsoft.com/security (puede estar en inglés).


35 09/10/20


20/35

Creación de un marco de administración de la seguridadUn marco de administración de la seguridad define una visión general de las posibles amenazas que suponen para suorganización la ingeniería social y asigna funciones con puestos responsables del desarrollo de directivas yprocedimientos que mitiguen esas amenazas. Este método no significa que tenga que contratar a personal cuyasúnicas funciones sean asegurar la seguridad de los activos de la empresa. Si bien este método puede ser una opciónen grandes organizaciones, resulta poco viable o deseable tener asignadas esas funciones en las medianas empresas.El requisito consiste en asegurarse de que un grupo de personas asuma las responsabilidades clave de las siguientesfunciones de seguridad:

Patrocinador de seguridad. Miembro de la directiva, probablemente del consejo, que pueda tener laautoridad necesaria para asegurar que todo el personal asuma con seriedad el tema de la seguridad.

Administrador de seguridad. Empleado de la directiva que tiene la responsabilidad de orquestar el desarrolloy mantenimiento de una directiva de seguridad.

Empleado de seguridad de TI. Empleado técnico que tiene la responsabilidad de desarrollar la infraestructurade TI y las directivas y procedimientos de seguridad operativos.

Empleado de seguridad de las instalaciones. Miembro del equipo de instalaciones responsable de

desarrollar directivas y procedimientos del sitio y operativos.

Empleado de concienciación sobre la seguridad. Miembro de la directiva, normalmente del departamentode recursos humanos o de desarrollo de personal, responsable del desarrollo y la ejecución de campañas deconcienciación sobre la seguridad.

Este grupo, el comité de control de seguridad, representa a los moderadores de la compañía. Como responsablesseleccionados para la seguridad, este comité debe establecer los principales objetivos del marco de administración dela seguridad. Sin un conjunto de objetivos definibles, es difícil fomentar la participación del resto del personal o medirel éxito del proyecto. La tarea inicial del comité de control de seguridad es identificar las vulnerabilidades de

ingeniería social que existen en la compañía. Una sencilla tabla como la siguiente le permitirá hacerse rápidamenteuna idea de estos vectores de ataque.

Tabla 9. Vulnerabilidades vectoriales de los ataques de ingeniería social a compañías

Vector de ataque Descripción de uso de la compañía Comentarios

En línea

Correo electrónico Todos los usuarios tienen MicrosoftOutlook® en sus equipos de escritorio.

Internet Los usuarios móviles tienen Outlook WebAccess (OWA) además de acceso al clientede Outlook.

Aplicacionesemergentes

Actualmente no se implementa ningunabarrera tecnológica contra los elementosemergentes.


35 09/10/20


21/35

Mensajeríainstantánea

La compañía permite el uso no administradode una serie de productos de mensajeríainstantánea.

Teléfono

Central de

conmutación(PBX)

Servicio de ayuda Actualmente el “servicio de ayuda” es unafunción de soporte informal que ofrece eldepartamento de TI.

Necesitamos ampliar los servicios de soportepara que incluyan otras áreas adicionales a lade TI.

Gestión de

residuos

Interno Todos los departamentos gestionan sus

propios residuos.

Externo Los contenedores están situados fuera de lasinstalaciones de la compañía. La recogida debasura se produce los jueves.

Actualmente no tenemos espacio paracontenedores dentro de las instalaciones.

Contactos directos

Seguridad física

Seguridad de laoficina

Todas las oficinas permanecen abiertasdurante el día.

El 25% del personal trabaja desde casa. Nocontamos con estándares escritos para laseguridad de los trabajadores en casa.

Trabajadores encasa

No tenemos protocolos de mantenimientoin situ para los trabajadores en casa.

Otros, específicos

de la compañía

Franquiciasinternas

Todo el catering lo realiza una franquicia. No sabemos nada sobre este personal y nohay ninguna directiva de seguridad paraellos.

Cuando el comité de control de seguridad conozca bien las vulnerabilidades, podrá crear una tabla Vulnerabilidadesvectoriales de ataque de ingeniería social a compañías (como se muestra en el ejemplo anterior). En la tabla seseñalan los protocolos de la compañía en áreas potencialmente vulnerables. Conocer las vulnerabilidades permite alcomité crear un borrador con los posibles requisitos de directivas.

El comité de control de seguridad debe identificar en primer lugar las áreas que pueden suponen un riesgo para lacompañía. Este proceso debe incluir todos los vectores de ataque identificados en este artículo y los elementos


35 09/10/20


22/35

específicos de la compañía, como el uso de terminales públicas o procedimientos de administración de la oficina.

Evaluación de riesgosCualquier tipo de seguridad exige que se evalúe el nivel de riesgo que supone un ataque para la compañía. Si bien laevaluación de riesgos debe ser concienzuda, no tiene que tardarse mucho tiempo en realizarse. Según el trabajorealizado para identificar los elementos principales de un marco de administración de la seguridad por parte delcomité de control de seguridad, podrá establecer categorías y prioridades en los riesgos. Entre las categorías deriesgo se incluyen:

Información confidencial

Credibilidad comercial

Disponibilidad comercial

Recursos

Dinero

Debe establecer prioridades mediante la identificación del riesgo y el cálculo del costo que implica su mitigación; simitigar un riesgo es más caro que el propio riesgo, puede que dicho costo no sea justificable. La fase de evaluaciónde riesgos puede resultar muy útil en el desarrollo final de la directiva de seguridad.

Por ejemplo, el comité de control de seguridad puede resaltar al personal de recepción el peligro para la seguridadque suponen los visitantes. En el caso de una compañía que no espera más de 20 visitantes a la hora, no haynecesidad de tener que pensar en algo más sofisticado que un(a) recepcionista, un libro de firmas y algunos pases devisitantes numerados. Sin embargo, en el caso de una compañía que espera 150 visitas a la hora, puede que seanecesario más personal de recepción o terminales de registro de autoservicio. Si bien la compañía más pequeña nopodría justificar los costos de estos terminales, la compañía grande no podría justificar el costo de la pérdida deactividad debido a largas esperas.

Por otro lado, una compañía que nunca tenga visitas ni personal contratista puede considerar que existe un riesgomínimo de dejar documentos en una ubicación central mientras esperan a ser recogidos. Sin embargo, una compañíaque tenga una gran número de personas que no sean empleados puede considerar que tiene que salvar el riesgocomercial que presentaría que hubiera información confidencial en una impresora mediante la instalación dedispositivos de impresión locales en cada puesto de trabajo. La compañía puede obviar este riesgo mediante laestipulación de que un miembro del personal acompañe a un visitante durante su visita. Esta solución es muchomenos cara, excepto, posiblemente en términos de tiempo del personal.

Según la evaluación comercial de la matriz Vulnerabilidades vectoriales de ataque de ingeniería social a compañías, elcomité de control de seguridad podrá definir los requisitos de directivas, los tipos y niveles de riesgo para la

compañía, como se muestra en la siguiente tabla.

Tabla 10. Requisitos del comité de control de seguridad y matriz de riesgos

Vector de

ataquePosible requisito de directiva

Tipo de riesgo Información

confidencial Credibilidad

comercial Disponibilidad

comercial Recursos Dinero

Nivel de

riesgo

Alto = 5

Bajo = 1

Acción


35 09/10/20


23/35

Conjunto escrito de directivas deseguridad frente a la ingenieríasocial

Cambios para crear la parte decumplimiento de la directiva delcontrato del empleado estándar

Cambios para crear la parte decumplimiento de la directiva delcontrato del contratista estándar

En línea

Correoelectrónico

Directiva sobre los tipos de archivosadjuntos y cómo tratarlos

Internet Directiva de uso de Internet

Aplicacionesemergentes

Directiva sobre el uso de Internet,con una especial atención en quéhacer con los cuadros de diálogoinesperados

Mensajeríainstantánea

Directiva sobre los clientes demensajería instantánea admitidos ypermitidos

Teléfono

Central deconmutación(PBX)

Directiva sobre la administración delsoporte de centrales PBX

Servicio deayuda

Directiva para permitir el acceso alos datos

Gestión de

residuos

Papel Directiva para la gestión de residuosde papel

Directrices para la gestión decontenedores

Medioselectrónicos

Directiva para la gestión de losmateriales de residuo de medioselectrónicos


35 09/10/20


24/35

Contactos

directos

Seguridad física Directiva para la administración devisitas

Seguridad de la

oficina

Directiva para la administración de

Id. de usuario y contraseñas: noescribir las contraseñas en una notaadhesiva ni pegarla a la pantalla, porejemplo.

Trabajadoresen casa

Directiva para el uso de equiposmóviles fuera de la compañía

Otros/

específicos de la

compañía

Franquiciasinternas

Directa para conocer losantecedentes de los empleados defranquicias internas

El comité de control de seguridad debe lograr un consenso sobre la importancia de un riesgo. Cada grupo comercialtendrá distintos puntos de vista sobre los riesgos que suponen las distintas amenazas.

Para obtener más información acerca de las herramientas y metodologías de la evaluación de riesgos, consulte laGuía de administración de riesgos de seguridad en http://go.microsoft.com/fwlink/?linkid=30794 (puede estar eninglés).

La ingeniería social en la directiva de seguridadEl personal de administración y TI de una compañía debe desarrollar y ayudar a implementar una directiva deseguridad efectiva en la organización. En ocasiones, el centro de atención de una directiva de seguridad son loscontroles tecnológicos que le ayudarán a protegerse frente a amenazas tecnológicas, como virus y gusanos. Loscontroles tecnológicos ayudan a defender las tecnologías, como archivos de datos, archivos de programas y sistemasoperativos. Las defensas frente a la ingeniería social deben ayudar a anticipar los posibles ataques genéricos deingeniería social contra los empleados.

El comité de control de seguridad tiene las principales áreas de seguridad y la evaluación de riesgos en los que debedelegar el desarrollo de procedimientos, procesos y documentación comercial. En la siguiente tabla se muestra cómo

el comité de control de seguridad, con la ayuda de grupos de interés, puede definir la documentación necesaria paraapoyar la directiva de seguridad.

Tabla 11. Procedimiento del comité de control y documentos necesarios

Requisito de directiva Procedimiento / documento necesarioAcción /

fecha

Conjunto escrito de directivas de seguridad frente a laingeniería social

Ninguna


35 09/10/20


25/35

Cambios para crear la parte de cumplimiento de ladirectiva del contrato del empleado estándar Texto para los requisitos de

nuevos contratos (legal)1.

Nuevo formato para los contratosde los contratistas

2.

Cambios para crear la parte de cumplimiento de la

directiva del contrato del contratista estándar Texto para los requisitos denuevos contratos (legal)

1.

Nuevo formato para los contratosde los contratistas

2.

Directiva para la administración de visitasProcedimiento para la firma a lallegada y salida de los visitantes

1.

Procedimiento para elacompañamiento a los visitantes

2.

Directrices para la gestión de contenedoresProcedimiento para el desecho delos residuos de papel (consulteDatos)

1.

Procedimiento para el desecho delos medios electrónicos (consulteDatos)

2.

Directiva para permitir el acceso a los datos

Directiva para la gestión de residuos de papel

Directiva para la gestión de los materiales de residuo demedios electrónicos

Directiva para el uso de Internet, con una atenciónespecial en lo que hacer con cuadros de diálogoinesperados

Directiva para la administración de Id. de usuario y

contraseñas: no escribir las contraseñas en una notaadhesiva ni pegarlas a la pantalla, etc.

Directiva para el uso de equipos móviles fuera de lacompañía

Directiva para tratar los problemas relacionados con laconexión a aplicaciones relacionadas (bancarias,financieras, de compra, de administración de existencias)


35 09/10/20


26/35

Como puede ver, esta lista puede ser muy larga. Puede decidir contratar ayuda especializada para agilizar esteelemento del proceso. El comité de control de seguridad debe centrarse en las áreas que considere de granimportancia, según el proceso de evaluación de riesgos.


Implementación de defensas frente a las amenazas de la ingeniería socialDespués de escribir y acordar la directiva de seguridad, debe darla a conocer al personal y hacer que la cumpla. Si

bien puede implementar controles técnicos sin que lo sepan sus empleados, debe conseguir su apoyo si deseaimplementar con éxito defensas frente a la ingeniería social. Para apoyar la implementación, debe desarrollarprotocolos de respuesta a incidentes para el personal del servicio de ayuda.

ConcienciaciónNo hay ningún sustituto a una buena campaña de concienciación cuando se implementan los elementos deingeniería social de la directiva de seguridad. Claro está, la implementación es una forma de ingeniería social y debeconseguir que su personal conozca la directiva, aprenda por qué existe y sepa cómo debe reaccionar ante un posibleataque. El elemento clave de un ataque de ingeniería social es la confianza; la persona objeto del ataque confía en elpirata informático. Para enfrentarse a este tipo de ataque, debe estimular a que haya un saludable escepticismo entresu personal sobre cualquier cosa que se salga de lo normal y conseguir que éstos confíen en la infraestructura desoporte de TI de la compañía.

Los elementos de una campaña de concienciación dependen de cómo se transmite la información al personal de lacompañía. Puede optar por un aprendizaje estructurado, reuniones menos formales, campañas con pósteres u otroseventos para anunciar las directivas de seguridad. Cuanto más refuerce los mensajes de sus directivas, más exitosaserá su implementación. Si bien puede iniciar la concienciación sobre seguridad con un gran evento, es igualmenteimportante que la seguridad siga siendo un asunto importante de la agenda de la directiva y el personal. Laseguridad es un modo de pensar de la compañía, por lo que debe asegurarse de que las sugerencias sobre seguridadacerca del mantenimiento de la concienciación sobre este tema vengan de todas las personas de la compañía.Consiga opiniones de todos los departamentos y de distintos tipos de usuarios, especialmente, de los que trabajanfuera del entorno de la oficina.

Administración de incidentesCuando se produce un ataque de ingeniería social, asegúrese de que el personal de servicio de ayuda sabe cómotratarlo. Deben existir protocolos reactivos en los procedimientos relacionados con la directiva de seguridad, pero laadministración de incidentes significa que se usa el ataque para iniciar posteriores revisiones de la seguridad. Laseguridad es más un viaje que un destino, ya que los vectores de ataque cambian.

Cada incidente proporciona nueva información para una revisión continua de la seguridad en el modelo de respuestaa incidentes, que se muestra en la siguiente figura.


35 09/10/20


27/35

Figura 6. Modelo de respuesta a incidentes

Conforme se produzcan nuevos incidentes, el comité de control de seguridad revisará si éstos representan un riesgonuevo o modificado para la compañía y creará o renovará las directivas y los procedimientos según esos datos. Todaslas modificaciones que se realicen en las directivas de seguridad deben cumplir con los estándares de administraciónde cambios de la compañía.

Para administrar un incidente, el personal del servicio de ayuda debe contar con un sólido protocolo de comunicaciónde incidentes que registre la siguiente información:

Nombre de la persona objeto del ataque

Departamento objeto del ataque

Fecha

Vector de ataque

Descripción del ataque

Resultado del ataque

Efecto del ataqueRecomendaciones

Al registrar los incidentes, se pueden identificar patrones y posiblemente adelantarse a posteriores ataques. En elApéndice 1 del final del documento se ofrece una plantilla de formulario con un informe de incidente.

Consideraciones operativasCuando se revisa la seguridad, puede existir la tendencia de convertirse en demasiado sensible ante la ingente


35 09/10/20


28/35

cantidad de posibles amenazas contra la empresa. La directiva de seguridad debe mantener la idea de que suempresa está ahí para hacer negocios. Si las propuestas de seguridad afectan negativamente a la rentabilidad o alagilidad comercial de la organización, tal vez tenga que volver a evaluar el riesgo. Debe lograr un equilibro entre laseguridad y la operatividad.

También es importante reconocer que una reputación como compañía que se preocupa por la seguridad puede tenerventajas comerciales. No desalentará a los piratas informáticos, pero, por su parte, mejorará el perfil comercial de lacompañía con los clientes y socios.

Ingeniería social y el modelo de niveles de defensa en profundidadEl modelo de niveles de defensa en profundidad clasifica las soluciones de seguridad frente a vectores de ataque(áreas de debilidad) que los piratas informáticos pueden usar para amenazar a sus equipos. Estos vectores de ataqueson:

Directivas, procedimientos y concienciación. Reglas escritas que desarrolle para administrar todas las áreasde seguridad y el programa de enseñanza que implante para conseguir que los empleados conozcan,aprendan e implementen dichas reglas.

Seguridad física. Barreras que administran el acceso a sus instalaciones y recursos. Es importante recordar

este último elemento; si coloca los contenedores de residuos fuera de la compañía, por ejemplo, quedaránfuera de la seguridad física de la compañía.

Datos. Información de la empresa: detalles de cuentas, correo, etc. Cuando tenga en cuenta las amenazas dela ingeniería social, debe incluir tanto los materiales impresos como en medios electrónicos en elplaneamiento de la seguridad de los datos.

Aplicación. Programas ejecutados por los usuarios. Debe tratar el método en que los piratas informáticos deingeniería social pueden trastocar las aplicaciones, como el correo electrónico y la mensajería instantánea.

Host. Servidores y equipos clientes que se usan en la organización. Ayudan a asegurar que los usuarios esténprotegidos frente a ataques directos en dichos equipos al definir directrices estrictas sobre el software que se

debe usar en los equipos de la empresa y sobre cómo administrar los dispositivos de seguridad, como Id. deusuario y contraseñas.

Red interna. Red mediante la que se comunica el sistema informático. Puede ser local, inalámbrica o una redde área extensa (WAN). La red interna cada vez es menos “interna” en los últimos años, debido a los cada vezmás extendidos trabajo móvil y en casa. Por lo tanto, debe asegurarse de que los usuarios entiendan lo quedeben hacer para trabajar de forma segura en todos los entornos de red.

Perímetro. El punto de contacto entre las redes internas y externas, como Internet o las redes que pertenecena los socios comerciales, tal vez como parte de una extranet. Los ataques de ingeniería social suelen intentarromper el perímetro para atacar los datos, aplicaciones y hosts mediante la red interna.


35 09/10/20


29/35

Figura 7. Modelo de defensa en profundidad

Cuando diseñe sus defensas, este modelo le ayudará a visualizar las áreas de su empresa que están amenazadas. Elmodelo no es específico de las amenazas de ingeniería social, pero cada uno de los niveles debe contar con defensasfrente a la ingeniería social.

Las defensas globales del modelo son: las directivas de seguridad, los procedimientos y la concienciación. Estasdefensas van destinadas al personal de una organización, y en ellas se explica qué hacer, cuándo, por qué y quiéndebe hacerlo. Los demás niveles pueden ajustar las defensas, pero la protección esencial proviene de contar con unconjunto de reglas bien estructurado y conocido que proteja su entorno de TI.

Para obtener más información acerca del modelo de defensa en profundidad, consulte el tema Función SMF de

administración de la seguridad en Microsoft TechNet en la dirección http://go.microsoft.com/fwlink/?linkid=37696(puede estar en inglés).


Apéndice 1: Listas de comprobación de la directiva de seguridad para amenazas deingeniería socialSe presentó una serie de tablas para capturar las vulnerabilidades de la ingeniería social y los requisitos de directivade defensa en los documentos. En este apéndice encontrará versiones de plantillas de éstas que podrá copiar yrellenar.

Vulnerabilidades vectoriales de ataque de ingeniería social a compañías

Vector de ataque Descripción de uso de la compañía Comentarios

En línea

Correo electrónico

Internet


35 09/10/20


30/35

Aplicaciones emergentes

Mensajería instantánea

Teléfono

Central de conmutación (PBX)

Servicio de ayuda

Gestión de residuos

Interno

Externo

Contactos directos

Seguridad física

Seguridad de la oficina

Otros/específicos de la compañía

Requisitos del comité de control de seguridad y matriz de riesgos

Vector deataque

Posible

requisito de

directiva

Tipo de riesgo Información confidencial

Credibilidad comercial Disponibilidad

comercial Recursos Dinero

Nivel de

riesgo Alto = 5

Bajo = 1

Acción

En línea

Teléfono

Gestión de

residuos

Contactos

directos


35 09/10/20


31/35

Otros/

específicos de

la compañía

Procedimiento del comité de control y documentos necesarios

Requisito de directiva Procedimiento / documento necesario Acción en / fecha

Lista de comprobación de implementación de la directiva de seguridad

Acción Descripción Acción en / fecha

Desarrollar directivas de seguridad en línea

Desarrollar directivas de seguridad física

Desarrollar directivas de seguridad telefónica

Desarrollar directivas de seguridad de gestión de residuos

Desarrollar directivas de administración de seguridad del servicio de ayuda

Desarrollar un modelo de respuesta a incidentes

Desarrollar una campaña de concienciación

...

Informe de incidentes

Representante del servicio de ayuda

Nombre de la persona objeto del ataque

Departamento objeto del ataque


35 09/10/20


32/35

Fecha

Vector de ataque

Descripción del ataque

Resultado del ataque

Efecto del ataque

Recomendaciones,


Apéndice 2: Glosario

Término Definición

acceso En el contexto de la privacidad, capacidad de un individuo de ver, modificar y comprobar laprecisión e in

protección de la información confidencial de las amenazas de la ingeniería social

Documents