Estadísticas de la Ingeniería Social

2.7 Estadísticas de la Ingeniería Social

D en e n tr t r o d e l o s m é t od od o s d e a t aq a q u es es m á s a g r es e s i vo vo s

d e l 2 01 01 4

destacan el ransomware y la creación de sitios web de phishing con formularios diseados para el robo de datos! "a proporción de sitios con malware se redu#o a uno de cada 112$ %en 201& era uno de cada '$$( pero se produ#o un aumento en las vulnerabilidades de los sitios web considerados de estado cr)tico pasaron del 1$* al 20* respecto al 201&! + l c o r r e o e l e c t r ó n i c o s i g u e s i e n d o e f i c a , p a r a l a pr á c t i c a d e l phishing y para hacer env)os masivos de malware y spam- y cada ve, m á s m e n s a # e s c o n t i e n e n c ó d i g o d a  i n o ! . d e m á s - e n / nt e r n e t e  i s t e u n a e c o no no m ) a s u m e r g id i d a d e c o mp m p r a ve v e n t a d e s e r vi v i c io i o s - m a l wa wa r e y t a r# r# e ta ta s d e c ré r é d it i t os o s r o ba ba d as a s - p or o r e # em em p lo lo e n e l m er e r c ad a d o n e gr gr o e l valor del env)o de un millón de mensa#es de spam a cuentas de correo electrónico verificadas tiene un costo de entre 0 y 1'0 dólares americanos!

/magen3 Porcentaje de mensajes de correo electrónico con malware.

+ n o c t u b r e- s o lo e l  * d e l o s m e n sa # e s d e c o r re o e l e c t r ón i co con malware conten)an enlaces dainos- pero en noviembre eran ya el 41 * y el porcenta#e siguió aumentando a principios de diciembre! + n e s ta s f e ch a s- a u me nt ó e l n  me r o d e m e ns a #e s b a sa d os e n l a ingenier)a social- algunos de los cuales simulaban ser avisos de fa o mensa#es de vo,- con enlaces a dominios secuestrados y direcciones 56" que llevaban a una página d e destino con código 78 7! 9i el destinatario hac)a clic en los enlaces- se abr)a un archivo daino como Downloader!7oni: y Downloader!5patre- dos de los más usados en este tipo de engao! .mbos troyanos descargan malware en los equipos afectados- como el troyano Trojan.Zbot - que se utili,a para robar información!

/mage n3 Porcentaje de malware en el correo electronico.

+n ge ne ral- en 2 014 e l v olumen

de

men sa#e s de

c or reo

electrónico utili,ados para distribuir malware estuvo muy por deba#o de las cifras récord alcan,adas en 201&! + n 2 0 1 4 - h u b o m á s d e l d o b l e d e a t a q u e s d e r a n s o m w a re q u e e n e l ao anterior %;-; millones- frente a los 4-1 millones de 201&(- los a t aq u es c o n r a ns om wa r e s o n e sp e ci al me n te t ra u má ti co s p a ra l a s v ) c t i m a s - y a q u e c i f r a n l o s d a t o s d e l d i s c o d u r o - fo t o s p e r s o n a l e s t ra ba #o s e sc ol ar es - p ro ye ct os - m s ic a-

u na

n ov el a a

m ed ia s y

solicitan el pago de un rescate para desbloquear los archivos! "a me#or y prácticamente nica defensa es tener copias de seguridad con las que restaurar los datos- a poder ser fuera de /nternet!

/mag en3 Número de ataques de ransomware entre 2013 y 2014.

+  is t e n v a r i o s t i p o s d e i n c id e n te s q u e m a r c a n l a t e nd e n ci a e n ciberataques! +n el siguiente gráfico que se muestra a continuaciónse puede observar cómo se reparten- al igual que en el 201&- la mayor cantidad de ataques registrados son de Pisin! %'4*(!

/magen3 "ra#ica de lo ataques in#ormaticos del 2014.

2.8 Incidentes de seguridad en América latina

6 e su l t a q u e l a m a y o r p r e o c u p ac i ó n p a r a c e r c a d e l  0 * d e l a s empresas en "atinoamérica son las vulnerabilidades de software y s u s s i st em a s! + s ta p r eo c up a ci ó n s e m a nt ie n e e n e l p r im e r l u ga r independiente del tamao de la empresa- seguida por la infección con códigos maliciosos! +n este caso- cabe resaltar que la infección con malware tiene m á s i mp ac t o c o mo p r eo c up a ci ó n e n tr e l a s p eq u e a s y m e di a na s empresas en comparación con las grandes! 5 n a s p e c t o a d e s ta c a r e s q u e l o s i n c id e n te s d e p h i sh i n g s e a n un a

pre ocu pac ió n

pa ra

al red edo r

d el

40 *

de

la s

em pre sa s-

i n d ep e n di e n te m e nt e d e s u t a m a o ! 9 i b i e n e s u n a d e l a s a m e n a ,a s m á s s i m p le s d e s d e e l p u n to d e v i st a t é c n i c o r e s a lt a m os q u e e s u n o de los medios para propagar las $PTs %.dvanced 7ersistent
/mage n3 Preocu%aciones relacionadas a la se!uridad en las em%resas en &atam!

.hora que conocemos cuáles son las preocupaciones de las e mp re sa s-

lo

s ig ui en te

inc ide nte s=

e sto

es

no s da rá

s ab er u na

c uál es

f ue ro n

ide a d e si

r ea lm en te

lo s e sfue r, os

lo s par a

contrarrestarlos están bien orientados! "a distribución de los incidentes es muy similar independiente del tamao de la organi,ación- sobre todo para los incidentes más r e c ur r e n te s c o m o l o s a c c es o s i n de b i do s - l a i n fe c c ió n c o n malware y los ataques de denegación de servicio % 'o( (! + st a t en de nc ia d em ue st ra q ue a u n c ib er de li nc ue nt e n o l e i n t e r e s a e l t a m a  o d e l a e m p r e s a s i e m p r e y c u a n d o pu e d a o b t e n e r algn tipo de ganancia económica= es crucial que los responsables de l a s e g ur i d ad d e l a s c o m p a  )a s c o n o, c a n e s t o y n o p a s e i n a d ve r t id o e n n i n g u n a r e u n i ó n d e p l a n i f i c a c i ó n e i m p l e m e n t a c i ón d e p l a n e s d e seguridad!

5n caso interesante y que vale la pena resaltar está relacionado c o n l os i n ci d en t es a s oc ia d os a l %isin! - l o v e ) a m o s e n e l g r á f i c o a nt er io r c om o e l t ip o d e a me na ,a q ue m en os p re oc up a a la s empresas- y particularmente a las de mayor tamao como el incidente que menos reportan como parte de sus principales preocupaciones!

/magen3 )nciden tes su#ridos %or la s em%resas en &atam e n el 2014.

9in emb ar go - e n el gr áfic o ve mos c omo c asi el 20 * de empresas grandes sufrieron algn incidente de %isin! q u e - v a l e l a pena recordar- afectan directamente a la información que mane#an los empleados y que puede eponer de forma cr)tica datos sensibles! Capítulo 5 Contramedidas

7 a r a m i t i g a r l o s a t a q u e s d e i n g e n i e r ) a s o c i a l s e r eq u i e r e u n a serie de esfuer,os coordinados3

> Desarrollar protocolos de seguridad claros y concisos que se apliquen sistemáticamente en toda la organi,ación! > D e sa r ro ll a r p l an e s d e f or m ac i ón p a ra c o nc ie n ci ar s ob r e l a seguridad! > D e s ar r o ll a r n o r m as s e n ci l la s q u e d e f i n a n q u é i n fo r m ac i ó n e s confidencial! > Desarrollar una norma sencilla que estable,ca que siempre que alguien solicite una acción restringida %es decir- una acción que i mp li qu e l a i nt er ac ci ón c on e qu ip o i nf or má ti co d e l a q ue n o s e cono,can las consecuencias(- habrá que comprobar la identidad del solicitante de acuerdo con la pol)tica de la empresa! > Desarrollar una pol)tica de clasificación de datos > ?ormar a los empleados para que sepan oponer resistencia a los ataques de ingenier)a social! > 7 o ne r a p r ue b a l a s u sc e pt ib il i da d d e l o s e m p le a do s a l o s a taqu es

de

ing enie r)a

so cia l

median te

un a

e va lu ac ión

de

la

seguridad! + l a sp ec to m ás i mp or ta nt e d el p ro gr am a r eq ui er e q ue s e e s t ab l e ,c a n p r o to c o lo s d e s e g ur i d ad a d e cu a d os y- s e g ui d am e n te m o t i v a r a l o s e m p l e a d o s a a c t u a r e n c o n s e c u e n c i a ! +n l a s i g u i e n t e s e c c i ó n s e d e s t a c a n a l g u n o s p u n t o s b á s i c o s q u e d e b en t e n e r s e e n

c u e n t a e n e l d i s e  o d e l o s p r o g r a m a s y e n l a f o r m a ci ó n p a r a h a c e r frente a la amena,a de la ingenier)a social! Directrices para la formación .

continuación

comentamos

algunas

directrices

para

la

formación en este campo3 > D e s pe r t ar l a c o n ci e n ci a d e q u e e s p r á ct i c am e n te s e g ur o q u e l o s i n g e n i e r o s s o c i a l e s a t a c a r á n s u c o m p a  ) a e n a l gu n a o c a s i ó n y qui,ás- repetidas veces! 7uede haber falta de conciencia general de que los ingenieros sociales constituyen una amena,a sustancial= mucha gente ni siquiera sabe que eiste esta amena,a! 7or lo general- nadie se espera ser manipulado y engaado- por eso los ataques de ingenier)a social los p i l l a n d e s p r e v e n i d o s ! @ u c h o s u s u a r i o s d e / n t e r n e t ha n r e c i b i d o u n c o r r e o e l e c t r ó n i c o - s u p u e s t a m e n t e d e A i g e r i a - p i d i en d o a y u d a p a r a traspasar grandes cantidades de dinero a +stados 5nidos= ofrecen un porcenta#e de la suma por este tipo de ayuda! 7osteriormente- piden a l u su ar io q ue a de la nt e u na c an ti da d p ar a i ni ci ar e l p ro ce so d e transferencia- pero- al final- el usuario se queda esperando con los b r a, o s a b i er t os ! 5 na s e o r a d e A ue v a B or : c a yó e n l a t ra m pa y C pr es tó C c ie nt os d e m il es d e d ól ar es d e s u # ef e e n c on ce pt o d e adelanto de las tasas! .hora- en lugar de pasar el tiempo en el nuevo y a t e q u e q u e r ) a c o m p r a r - s e e n f r e n t a a l a p o s i b i l i da d d e c o m p a r t i r

litera en un centro de detención federal! "a gente cae- ciertamenteen estos ataques de ingenier)a social= de lo contrario- los estafadores nigerianos de#ar)an de enviar correos electrónicos! 8 ac e r u n a r ep r es e nt a ci ó n p a ra d em o st r ar l a v u ln e ra bi li d ad personal a las técnicas de ingenier)a social y formar a los empleados para oponer resistencia! "a ma yo r)a de l as pe rso nas vi ve n con la ilu sió n de s er i ne  pu g na bl e s- i ma gi na n do q ue s on d e ma s ia d o i n te li g en te s p a ra d e # ar s e m a n ip u l ar - e s t a f ar - e n g a  a r o i n fl u e nc i a r!  r e en q u e e s a s cosas sólo le pasan a la gente CtontaC! +isten dos métodos para a y u da r a l o s e m p l e a do s a c o n oc e r s u v u l ne r a b il i da d y c o n ve n c e rl o s profundamente! 5no consiste en demostrar la eficacia de la ingenier)a social CtimandoC a algunos empleados con anterioridad al seminario de concienciación de seguridad y que los CtimadosC relaten después sus

eperiencias

en

clase!

Etro

consiste

en

demostrar

la

v u ln e ra b il id a d a n al i, a nd o e st ud i os d e c a so s d e i ng e ni er ) a s o ci a l reales para ilustrar cómo la gente es susceptible a estos ataques! +n c ual qu ie r

c aso -

el

pr og rama

de

fo rmac ió n

de be

ea min ar

el

m e c a n i s m o d e l a t a q u e - a n a l i , a n d o l o s m o t i v o s p o r l os q u e l l e g a a funcionar y- después- debatir cómo se pueden identificar y resistir!

/nducir a los empleados a pensar que se sentirán humillados si s e d e # a n m a n i p u l a r p o r u n a t a q u e d e i n g e n i e r ) a s o c ia l d e s p u é s d e l seminario! +l

programa

de

formación

debe

hacer

hincapié

en

la

responsabilidad que tiene cada empleado de ayudar a proteger el material confidencial de la empresa! .demás- es fundamental que los r es po ns ab le s d el

p ro gr am a r ec on o, ca n q ue

l a m ot iv ac ió n p ar a

cumplir los protocolos de seguridad en determinadas situaciones sólo s u r g e d e l a c o m p r e n s i ó n d e p o r q u é s o n n e c e s a r i o s lo s p r o t o c o l o s ! Durante el seminario de concienciación de seguridad- los instructores deben dar e#emplos de cómo los protocolos de seguridad protegen a l a e mp r es a y e l d a fi o q u e p o d r )a o c as i on ar l e q u e a lg u ie n n o l o s cumpla o sea negligente!
p u ed e

c o nt en er

i n fo r ma ci ó n

p e rs o na l

e  tr e ma d am e nt e

valiosa para los ladrones de identidades! .unque el me#or factor de moti vación puede ser que a nadie le gusta ser manipulado- engaado o estafado! De este modo- la gente se siente motivada a no sentirse humillada por haber ca)do en algn engao!

Programas para contraatacar la ingeniería social

. continuación eponemos algunos puntos básicos que deben tenerse en consideración durante el diseo de los programas3 Desarrollar procedimientos para las acciones de los empleados cuando estos detecten o sospechen un ataque de ingenier)a social! Desarrollar directrices sencillas para los empleados que definan qué información considera la empresa confidencial! 7uesto

que

la

mayor

parte

del

tiempo

procesamos

la

información en modo heur)stico- se pueden redactar unas normas de s e g u r i d a d s e n c i l l a s p a r a e m i t i r u n a s e  a l d e a d v e r te n c i a c u a n d o s e solicite información delicada %información confidencial de la empresapor e#emplo- la contrasea de un empleado(! uando un empleado advierta que se ha solicitado información confidencial o alguna acción i n fo r m át i ca a r r ie s g ad a - p o d rá c o n su l ta r e l m a n ua l d e p r á ct i ca s d e seguridad colgado en la página Feb de la intranet para determinar el protocolo correcto que debe seguir! .demás- es importante comprender y transmitir a los empleados q u e i n cl us o l a i n fo rm a ci ó n q u e n o c o ns id e re c o nf id e nc ia l p u ed e resultar til a un ingeniero social- el cual puede recopilar fragmentos de información que aparentemente care,can de interés- ensamblarlos y

u tili,a rlos

en

s u a ta qu e par a c rea r un a im pres ión

fa ls a de

c re di bi li da d y h on ra de ,! + l n om br e d el d ir ec to r d e u n p ro ye ct o c on fi de nc ia l d e l a e mp re sa - l a u bi ca ci ón f )s ic a d e u n e qu ip o d e d e sa r ro ll a do r es - e l n o mb r e d el s e rv id or q ue u ti li ,a u n e m pl e ad o concreto y el nombre asignado a un proyecto secreto es información relevante y todas las empresas necesitan valorar las medidas contra una posible amena,a para la seguridad! @odificar las normas de cortes)a de la organi,ación! 9e puede depir CnoG! "a

m ayo r) a

n os

s en tim os

i ncó mo do s

o

vi ol en to s

c ua nd o

decimos que CnoC a otras personas! + l p r og r am a d e i ng e ni er )a s o ci al d e l a e mp r es a d e be t en e r como uno de sus propósitos la redefinición de las normas de cortes)a e n l a e m pr e sa ! + s te n u ev o c o mp o rt am ie n to i n cl ui r á e l a p re n de r a denegar educadamente peticiones hasta que se haya comprobado la identidad y la autori,ación de la persona que hace la petición! D es ar ro ll ar p ro ce di mi en to s p ar a v er if ic ar l a i de nt id ad y l a autori,ación!  ad a e m pr es a d e be d e sa r ro l la r u n p r oc es o p a ra v e ri fi c ar l a i d e n t i d a d y l a a u t o r i , a c i ó n d e p e r s o n a s q u e s o l i c i te n i n f o r m a c i ó n o que pidan a los empleados que realicen alguna acción! +l proceso de v e r if i ca c i ón e n c u a lq u i er s i tu a c ió n d e p en d e r á n e c es a r ia m e nt e d e l

grado de confidencialidad de la información o de la acción solicitada! omo ocurre con otros muchos asuntos en el lugar de traba#o- las n e ce s id a de s d e s eg u ri da d d e be n s o pe sa r se c on l as n e ce s id ad e s propias de la actividad de la empresa! onseguir la participación de los altos cargos +videntemente- es casi un cliché3 todos los esfuer,os que para l a D i r e c c i ó n s o n i m p o r t a n t e s d e b e n c o m e n , a r p o r c o nc i e n c i a r s e d e que el programa necesitará el apoyo de la Dirección para llevarse a cabo con éito! Debe haber pocos esfuer,os corporativos en los que este apoyo sea más importante que en materia de seguridad- que cada d)a adquiere mayor importanciaaunque aporta poco a otros ingresos corporativos y por lo general ocupa un lugar en segunda fila! 9i bien- ese mismo hecho incrementa la importancia de que el compromiso de garanti,ar la seguridad comience desde arriba! 7 er o t am bi én e nc on tr am os q ue s e p re st a p oc a a te nc ió n a contraatacar las amena,as que suponen los ingenieros sociales! +s primordial formar a los empleados en materia de amena,as y formas en que deben protegerse a s) mismos para no ser embaucados y terminar ayudando a los intrusos! Defenderse de las vulnerabilidades de fondo humano es un reto considerable! 7roteger a la organi,ación

para que no sea v)ctima de hac:ers mediante tácticas de ingenier)a s ocia l de be

se r re spon sa bilida d de

e mp le ad os - i nc lu so

d e l os

q ue

no

to do s y u ti li ,a n

cad a u no o rd en ad or es

de en

lo s el

desempeo de sus funciones! "os directivos son vulnerables- la gente q ue e st á e n p ri me ra l )n ea e s v ul ne ra bl e- l os o pe ra do re s d e l a c en tr al it a

s on

v ul ne ra bl es -

l os

r ec ep ci on is ta s-

el

p er so na l

de

l i m p i e , a - e l p e r s o n a l d e l a p a r c a m i e n t o y - p o r e n c i ma d e t o d o - l o s e mp le ad os

r ec ié n

ll eg ad os -

to do s

p ue de n

s er

u ti li ,a do s

p or

i n g e n i e r o s s o c i a l e s c o m o u n p a s o m á s h a c i a l a c o n s ec u c i ó n d e s u propósito il)cito! 9e ha demostrado que el factor humano es el punto débil de la seguridad de la información desde siempre! "a pregunta del millón es3 Hva a ser usted el punto débil de su empresa que puede aprovechar un ingeniero socialI

Estadísticas de la Ingeniería Social

Recommend Documents