L
as Fuerzas Armadas, Cuerpos de Defensa ySeguridad, al igual que otrasorganizaciones, necesitan de herramientas,soluciones de Tecnologías de Información yComunicación denominas “TIC”, paragestionar sus procesos y operaciones.Dichas tecnologías pueden utilizarse paraautomatizar procesos anteriores, con el objetode poder aprovechar las ventajas que losconocimientos crea, estas actividades sonracionalizadas para lograr su mejorutilización. Por lo tanto, los impactos sobrelos procesos organizacionales son notorios ypueden ser muy profundos especialmente enel ámbito militar donde las comunicaciones ymedios para alcanzar blancos, medios dedetección y alerta temprana, entre otrosaspectos, son de vital importancia en el éxitode la operaciones militares.En tal sentido, existen unos factoresmediadores que influyen en la interacciónentre las TIC y las organizaciones, para el casode la Fuerza Armada Nacional está el FactorSeguridad y Defensa, el cual está asociado aesta organización dada la naturaleza de susfunciones.El Componente Ejército NacionalBolivariano, al igual que el resto de la FuerzaArmada Nacional, está sujeto al uso de unsoftware por los cuales deben pagar licencias,y equipos (hardware) cuyos componentespara reemplazo o actualización estánsometidos a la voluntad de otras naciones ocompañías internacionales, estas soncomunicaciones no encriptadas que a su vez;no permiten la seguridad requerida en elmanejo de la información dentro de estecomponente.Es importante decir, que el Ejército y engeneral toda la FANB, al igual que otrasorganizaciones del Estado, necesitanherramientas y soluciones a nivel tecnológicopara gestionar sus procesos y operacionesde manera segura y confiable, con la menordependencia de terceros posible. Los nuevossistemas de armas que está empleando estecomponente, se encuentran aptos paraenfrentarse a sofisticadas amenazas y alaumento de la capacidad de las armas queposeen potencias mundiales, en términos dealcance y precisión. Asimismo, constan depreparación a nivel bélico en el caso que sepresenten otros peligros, como las armas dedestrucción masiva o los atentadosindiscriminados. Se han visto en la obligaciónde replantear las estructuras y modo deoperación de los sistemas de Seguridad yDefensa del siglo XXI.Por otro lado, el mundo de las tecnologíasha traído consigo defectos de uso, nosreferimos propiamente al internet, ya que sibien ha simplificado muchas tareas diarias ala sociedad, también ha servido en particularpara fines como: gastar más papel, debido aque muchas veces se imprimen documentosinnecesarios que no se leen, igualmente, hacontribuido a saturar las líneas de internetenviando información irrelevante porduplicado, además es un mecanismo por elcual se cometen abusos y usos indebidos delos sentimientos de los usuarios, al mismotiempo que, contribuye a deshumanizar lacomunicación.Otras de las desventajas que posee lasobrecarga de conocimientos de la actualidad,es el aumento de la diferencia de los nivelesde desarrollo, entre un pequeño número depaíses capitalistas y la inmensa mayoría delos países del mundo que son cada vez máspobres, desempleo en gran parte de lapoblación hábil y contradictoriamenteexplotación del trabajo infantil en una grancantidad de naciones, entre otros males queafectan sobre todo a los paísessubdesarrollados.La revolución científico técnica actual, conel desarrollo acelerado de la ingenieríagenética y biotecnología; cibernética ytelecomunicaciones, le ha dado también unritmo acelerado a la carrera armamentista,dicha especialidad presenta tres direcciones:militarización del espacio extraterrestre(Guerra de las Galaxias), Robotización delArmamento (Armamento inteligente),desarrollo de tecnologías cibernéticas y deinformación con fines militares (no letales).En resumidas cuentas, la tecnología,comunicación e información en cuanto aldesarrollo tecnológico e informático de la erade las comunicaciones, la globalización delmensaje y las capacidades para influir en laopinión pública mundial, convertirán a lasoperaciones de acción psicológica mediáticaen el arma estratégica dominante.Del mismo modo, en la actualidad seaprecian los mismos fraudes que el pasado,pero con nuevos medios, la solución es lamisma de toda la vida, sentido común yespíritu crítico. Por otra parte, la soledad queembarga al colectivo en estos tiempos no laresolverá el internet, el problema no está enla tecnología sino en su aplicación, en cómola usa la sociedad.
E
n el campo de la seguridad informática,ingeniería social es la práctica de obtenerinformación confidencial a través de lamanipulación de usuarios legítimos. Es unatécnica que pueden usar ciertas personas,tales como investigadores privados,criminales, o delincuentes computacionales(mejor conocidos como hackers, aunque eltermino correcto es cracker) para obtenerinformación, acceso o privilegios en sistemasde información que les permitan realizaralgún acto que perjudique o exponga lapersona u organismo comprometido a riesgoo abusos.El principio que sustenta la ingenieríasocial es el que en cualquier sistema
“losusuarios son el eslabón mas débil”.
En lapráctica, un ingeniero social usarácomúnmente el teléfono o Internet paraengañar a la gente, pretendiendo, porejemplo, ser un empleado de algún banco oalguna otra empresa, un compañero detrabajo, un técnico o un cliente. Vía el interneto la Web se usa, adicionalmente, el envío desolicitudes de renovar permisos de acceso apáginas Web o memos falsos que solicitanrespuestas e incluso las famosas “cadenas”,
llevando así a revelar información sensible
, oa violar las políticas de seguridad típicas. Coneste método, los ingenieros socialesaprovechan la tendencia natural de la gentea reaccionar de manera predecible en ciertassituaciones, -por ejemplo proporcionandodetalles financieros a un aparente funcionariode un banco- en lugar de tener que encontraragujeros de seguridad en los sistemasinformáticos.Quizá el ataque más simple pero muyefectivo sea engañar a un usuario llevándoloa pensar que un administrador del sistemaesta solicitando una contraseña para variospropósitos legítimos. Los usuarios de sistemasde Internet frecuentemente reciben mensajesque solicitan contraseñas o información detarjeta de crédito, con el motivo de “crear unacuenta”, “reactivar una configuración”, u otraoperación benigna; a este tipo de ataques selos llama phishing (pesca).
Porqué los atacantes utilizan la ingeniería social
Es más sencilla que “hackear”un sistema.
Utiliza herramientas gratis o de bajocosto.
No hay registros (rastro auditable).
Tiene una efectividad de casi 100%.
Evade a los sistemas de Detección deIntrusión.
Presenta un riesgo nominal para elatacante.
Funciona en cualquier plataforma desistema operativo
Falta generalizada de conciencia porparte del público
Métodos de ataque más comunes
Relevar, o transmitir o cambiar lacontraseña a algo conocido.
Ataque de “phishing”: Consiste eninterconectar a través de un link a unapágina falsa (banco, comercios, entreotros).
Crear una cuenta (usuario oadministrador).
Revelar módems de “dial-up”u otrospuntos de acceso remoto (información deacceso VPN).
Agregar privilegios o derechos de accesoa cuentas existentes.
Ejecutar un programa malicioso(troyano). A través de un pendrive se puedegrabar la pagina principal de una personay desde otro equipo se puede controlar lamaquina de forma remota.
Explotar el deseo de la gente de obtenercosas gratis.
Visitar un sitio Web que explota lavulnerabilidad del navegador.
Enviar o transferir informaciónconfidencial.
Vulnerabilidad de las personas, por quesomos un blanco fácil de la ingeniería social:
Tiene ilusiones de invulnerabilidad(Síndrome de “a mí no me va a pasar eso”)
Tiende a confiar en otros implícitamente(“El beneficio de la duda”)
Percibe que seguir los protocolos deseguridad es una pérdida de tiempo.
Subestima el valor de la información.
Desea naturalmente ayudar a otros.
No está consciente de las consecuenciasde sus acciones
Cómo desarrollar resistencia a la ingeniería social
Persuada a la alta gerencia a que de suaprobación (muy importante).
Demuestre la vulnerabilidad personal(haga representación de roles parademostrar las técnicas de IS); sugiera unmétodo para resistirse / protegerse contraella.
Haga que otros supongan que sesentirían como unos tontos si losmanipularan.
Establezca un programa de participaciónde empleados.
Desarrolle reglas sencillas para definirqué es información sensible y accionesrestringidas (heurística)
“La ingeniería social es la amenaza más efectiva y peligrosa a la seguridad de información”.“Se requiere vigilancia continua para mitigar esta amenaza” “Las contramedidas más efectivas son políticas, procedimientos, procesos, entrenamiento deresistencia, respuesta a incidentes y prueba deIngeniería social”.
45
Leave a Comment