Cómo Proteger La Información Confidencial de Las Amenazas de La Ingeniería Social

Cmo proteger la informacin confidencial
de las amenazas de la ingeniera social

Publicado: 18/08/2006
En esta pgina
Introduccin
Bienvenido a este documento de la coleccin Guas de seguridad para medianas empresas.
Microsoft espera que esta informacin le ayude a crear un entorno informtico ms seguro
y productivo.
Quin debera leer este artculo
Este artculo proporciona informacin sobre la administracin de seguridad de las
amenazas que suponen la ingeniera social y las defensas disponibles que permiten ayudar a
enfrentarse a los piratas informticos de la ingeniera social. La ingeniera social incluye
principalmente amenazas no tcnicas para la seguridad de la compaa. La amplia
naturaleza de estas posibles amenazas hace necesario el contar con informacin sobre las
amenazas y las posibles defensas a una amplia variedad de personal tcnico y de direccin
de una compaa, incluidos:
Miembros del consejo de administracin

Administradores de servicios y de operaciones tcnicas
Personal de soporte tcnico
Personal de seguridad
Ejecutivos
Informacin general
Para atacar a su organizacin, los piratas informticos de la ingeniera social se aprovechan
de la credulidad, pereza, buenas maneras o incluso el entusiasmo de su personal. Por tanto,
es difcil defenderse de un ataque de este tipo, ya que los destinatarios no se dan cuenta de
que los estn engaando o tal vez prefieran no admitirlo ante otras personas. Los objetivos
de un pirata informtico de ingeniera social, es decir, alguien que intenta conseguir acceso
no autorizado a sus sistemas informticos, son similares a los de cualquier otro pirata
informtico: desean obtener dinero, informacin o recursos de TI de su compaa.
Un pirata informtico de ingeniera social intenta persuadir a su personal para que le
proporcione informacin que le permitir usar sus sistemas o los recursos de stos.
Normalmente, este mtodo se conoce como engao por confianza. Muchas pequeas y
medianas empresas consideran que los ataques de los piratas informticos suponen un
problema para las grandes corporaciones u organizaciones que ofrecen importantes
recompensas. Si bien ste puede haber sido el caso en el pasado, el aumento de los delitos
por Internet hace que los piratas informticos ahora se dirijan a todos los sectores de la
comunidad, desde las corporaciones hasta los individuos. Los delincuentes pueden robar
directamente de una compaa, desviando fondos o recursos, pero tambin pueden usar a
sta como punto de partida para perpetrar delitos contra otros. Esto hace que las autoridades
encuentren ms dificultades para seguir la pista a estos delincuentes.
Para proteger a su personal de los ataques de ingeniera social, tiene que conocer los tipos
de ataque que puede sufrir, saber lo que quiere el pirata informtico y valorar lo que podra
suponer la prdida para su organizacin. Con estos datos, puede hacer ms estricta su
directiva de seguridad para que incluya defensas contra la ingeniera social. En este artculo
se asume que cuenta con una directiva de seguridad con objetivos, prcticas y
procedimientos que la compaa reconoce como elementos necesarios para proteger sus
activos de informacin, sus recursos y su personal frente a ataques tecnolgicos o fsicos.
Los cambios en la directiva de seguridad ayudarn al personal a contar con una gua acerca
de cmo reaccionar cuando se encuentren con una persona o una aplicacin que intenta
coaccionarlos o persuadirlos para que proporcionen recursos de la empresa o desvelen
informacin de seguridad.
Principio de la pgina
Amenazas y defensas de la ingeniera social

Hay cinco tipos principales de vectores de ataque que un pirata informtico de ingeniera
social usa:
En lnea
Telefnicos
Gestin de residuos
Contactos directos
Ingeniera social inversa
Adems de reconocer estos puntos iniciales, tambin debe saber lo que el pirata informtico
espera obtener. Sus objetivos se basan en las mismas necesidades que nos guan a todos: el
dinero, el avance social y la autoestima. Los piratas informticos desean obtener dinero y
recursos, desean que se les reconozca en la sociedad o en su grupo y desean sentirse bien
con ellos mismos. Desgraciadamente, logran todo esto de forma ilegal robando o daando
los sistemas informticos. Los ataques de cualquier tipo le costarn dinero, al perder
ingresos, recursos, informacin, disponibilidad o credibilidad comercial. Cuando disee sus
defensas contra esas amenazas, debe calcular lo que le costar un ataque.
Amenazas en lnea
En nuestro mundo donde los negocios estn cada vez ms relacionados, el personal suele
usar y responder a solicitudes e informacin que recibe de forma electrnica tanto desde
dentro como desde fuera de la compaa. Esta conectividad permite a los piratas
informticos contactar con su personal desde el anonimato relativo de Internet. En
ocasiones habr odo hablar en la prensa de los ataques en lnea, como ataques por correo
electrnico, aplicaciones emergentes y mensajes instantneos que usan caballos de Troya,
gusanos y virus, a los que se conoce conjuntamente como malware, para daar o trastocar
los recursos informticos. Puede empezar a poder hacer frente a muchos de estos ataques de
malware mediante la implementacin de fuertes defensas antivirus.
Nota Para obtener ms informacin acerca de las defensas antivirus, consulte la Gua de
defensa en profundidad antivirus en http://go.microsoft.com/fwlink/?linkid=28732 (puede
estar en ingls).
El pirata informtico de ingeniera social persuade a un empleado para que le proporcione
informacin mediante una artimaa creble, en lugar de infectando un equipo con malware
mediante un ataque directo. Un ataque puede proporcionar informacin que permitir al
pirata informtico realizar un posterior ataque de malware, pero este resultado no es una
funcin de la ingeniera social. Por tanto, debe aconsejar a su personal sobre cmo poder
identificar mejor y evitar los ataques de ingeniera social en lnea.
Amenazas por correo electrnico
Muchos empleados reciben decenas e incluso cientos de mensajes de correo electrnico

cada da, tanto de sistemas de correo electrnico privados como de empresas. El volumen
del correo electrnico manejado puede hacer que no se preste la atencin necesaria a cada
uno de los mensajes que se reciben. Este hecho es muy til para un pirata informtico de
ingeniera social. La mayora de los usuarios del correo electrnico se sienten bien consigo
mismos cuando manejan la correspondencia; se trata del equivalente electrnico de mover
el papel de una bandeja de entrada a una de salida. Si el pirata informtico puede realizar
una solicitud que no requiera acciones complicadas por parte de la vctima de su ataque,
sta aceptar hacer algo sin ni siquiera pensar en lo que est haciendo.
Un ejemplo de este tipo de ataque sencillo consiste en enviar un mensaje de correo
electrnico a un empleado que indique que su jefe desea que se le enven todas las fechas
de vacaciones para una reunin y se copia a todo el mundo en el mensaje. Es muy fcil
incluir un nombre externo en la lista de personas con copia y suplantar el nombre del
remitente para que el mensaje parezca proceder de una fuente interna. La suplantacin es
especialmente sencilla si un pirata informtico tiene acceso al sistema informtico de una
compaa, ya que no es necesario traspasar los firewalls del permetro. Conocer las
vacaciones de un departamento puede que no parezca una amenaza de seguridad, pero
significa que un pirata informtico sabe cundo estar ausente un empleado. Ser entonces
cuando pueda hacerse pasar por esa persona con pocas posibilidades de ser descubierto.
El uso del correo electrnico como herramienta de ingeniera social se ha convertido en
endmico en la ltima dcada. El trmino suplantacin de identidad (phishing) describe el
uso del correo electrnico para obtener informacin restringida o personal identificable de
un usuario. Los piratas informticos pueden enviar mensajes de correo electrnico que
parezcan proceder de organizaciones vlidas, como bancos o socios comerciales.
En la siguiente figura se muestra un vnculo aparentemente vlido al sitio de administracin

de cuentas de Contoso.
Figura 1. Hipervnculo de suplantacin de identidad (phishing) mediante correo

electrnico
Sin embargo, si observa ms detenidamente podr notar dos diferencias:
El texto del mensaje indica que el sitio es seguro, lo que viene denotado por https, si
bien la sugerencia de la pantalla muestra que el sitio usa realmente http.
El nombre de la compaa del mensaje es Contoso, pero el vnculo lleva a una
compaa denominada Comtoso.
Como indica el trmino suplantacin de identidad (phishing), estos mtodos suelen ser
especulativos y en ellos se realiza una solicitud genrica de informacin a un cliente. El
camuflaje realista que se usa en los mensajes de correo electrnico, con logotipos de
compaa, fuentes e incluso nmeros de soporte telefnico gratuito aparentemente vlidos,
hace que el mensaje parezca ms creble. En cada mensaje de suplantacin de identidad
(phishing) hay una solicitud de informacin del usuario, que suele proporcionar, a cambio,
un servicio adicional o una actualizacin. Una extensin de la suplantacin de identidad
(phishing) es el spear-phishing, en el que se contacta con una persona o grupo
departamental explcitos. Este mtodo es mucho ms sofisticado, porque se necesita
informacin personal y relevante de la compaa para conseguir que el engao sea creble.
Para l se necesitan ms conocimientos sobre la persona objeto del ataque, pero con l se
puede obtener informacin ms detallada y especfica.
El mensaje de correo electrnico tambin puede llevar hipervnculos que pueden tentar a un
empleado a incumplir la seguridad de la compaa. Como se muestra en la Figura 1, los
vnculos no siempre llevan al usuario a la ubicacin esperada o prometida. El pirata
informtico cuenta con una serie de opciones adicionales en el mensaje de correo
electrnico de suplantacin de identidad (phishing), incluidas imgenes que son
hipervnculos que descargan malware, como virus o software espa, o texto que se presenta
en una imagen con el fin de eludir los filtros de seguridad de los hipervnculos.
La mayora de las medidas de seguridad ayudan a mantener alejados a los usuarios no

autorizados. Un pirata informtico puede eludir muchas defensas si puede engaar a un
usuario para que introduzca un caballo de Troya, un gusano o un virus en la compaa
mediante un vnculo. El hipervnculo tambin puede llevar a un usuario a un sitio en el que
se usen aplicaciones emergentes para solicitar informacin u ofrecer ayuda.
Puede usar una matriz de vectores de ataque, objetivos de los ataques, descripciones y el
costo que suponen para su compaa similar a la que aparece en la siguiente tabla para
poder clasificar los ataques y establecer el riesgo de cada uno de ellos para su compaa. En
ocasiones, una amenaza representa algo ms que un riesgo. Cuando ste sea el caso, en los
siguientes ejemplos se muestran los principales riesgos en negrita.
Tabla 1. Ataques en lnea por correo electrnico y costos
Objetivos de los
ataques
Robo de
informacin de la
compaa
Robo de
informacin
financiera
Descarga de
malware
Descarga de
software del
pirata informtico
Descripcin
El pirata informtico se hace pasar por (suplanta
a) un usuario interno para obtener informacin
de la compaa.
El pirata informtico usa la tcnica de

suplantacin de identidad (phishing) (o "spearphishing") para solicitar informacin
confidencial de la compaa, como detalles de
cuentas.
El pirata informtico engaa a un usuario para

que haga clic en un hipervnculo o abra un
archivo adjunto y, de esta forma, infecte la red
de la compaa.
archivo adjunto y, de esta forma, descargue un
programa suyo que use recursos de la red de la
compaa.
Costo
Informacin
confidencial
Credibilidad
comercial
Dinero
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Credibilidad
comercial
Recursos
Credibilidad
comercial
Dinero
Al igual que en la mayora de los engaos de confianza, puede conseguir resistirse a los
ataques de piratas de ingeniera social de forma ms efectiva mediante una actitud de
prudencia ante cualquier mensaje inesperado que reciba en la bandeja de entrada. Para que
se implante este mtodo en una organizacin, debe incluir en la directiva de seguridad unas
directrices especficas sobre uso del correo electrnico que incluyan:
Archivos adjuntos en documentos.

Hipervnculos en documentos.
Solicitudes de informacin personal o de la compaa desde dentro de sta.
Solicitudes de informacin personal o de la compaa desde fuera de sta.
Adems de estas directrices, debe incluir ejemplos de ataques de suplantacin de identidad

(phishing). Cuando un usuario reconozca una estafa mediante suplantacin de identidad
(phishing), notar que es mucho ms fcil detectar otras.
Aplicaciones y cuadros de dilogo emergentes
No es realista pensar que los empleados no usan el acceso a Internet de la compaa para
actividades no relacionadas con su trabajo. La mayora de los empleados en algn momento
navegan por Internet para asuntos personales, como para realizar bsquedas o compras en
lnea. Esta navegacin para fines personales puede hacer que los empleados y, por tanto, los
sistemas informticos de la compaa, entren en contacto con ingenieros sociales genricos.
Si bien puede que no vayan destinados de forma especfica a su compaa, usarn a su
personal en su esfuerzo por obtener acceso a los recursos de su empresa. Uno de los
objetivos ms habituales consiste en incrustar un motor de correo en el entorno del equipo,
mediante el cual, el pirata informtico puede iniciar ataques de suplantacin de identidad
(phishing) o de otro tipo mediante correo electrnico en otras compaas o personas.
En la siguiente figura se muestra cmo un hipervnculo parece llevar a un sitio de
administracin de cuentas seguro (secure.contosa.com account_id?Amendments), mientras
que la barra de estado muestra que va a llevar al usuario al sitio de un pirata informtico.
Dependiendo del explorador que use, un pirata informtico puede suprimir o cambiar el
formato de la informacin de la barra de estado.
Figura 2. Hipervnculo de suplantacin de identidad (phishing) a una pgina web
Los dos mtodos ms habituales de engaar a un usuario para que haga clic en un botn de
un cuadro de dilogo son el advertir de un problema, por ejemplo, mostrando un mensaje
de error de la aplicacin o del sistema operativo realista, u ofreciendo servicios adicionales,
por ejemplo, una descarga gratuita que haga que el equipo del usuario vaya ms rpido.
Para los usuarios de TI y web experimentados, estos mtodos pueden parecer engaos
clarsimos. Sin embargo, para los usuarios no experimentados, estas aplicaciones o cuadros
de dilogo emergentes pueden ser intimidatorios o atractivos.
Tabla 2. Ataques en lnea mediante aplicaciones y cuadros de dilogo emergentes y
costos
Objetivos de los
ataques
Robo de informacin
personal
Descarga de malware
Descarga de software
del pirata informtico
Descripcin
El pirata informtico solicita informacin
personal de un empleado
El pirata informtico engaa a un usuario

para que haga clic en un hipervnculo o
abra un archivo adjunto
El pirata informtico engaa a un usuario

para que haga clic en un hipervnculo o
abra un archivo adjunto
Costo
Informacin
confidencial
Dinero
(empleado)
Disponibilidad
comercial
Credibilidad
comercial
Recursos
Credibilidad
comercial
Dinero
Proteger a los usuarios de aplicaciones emergentes de ingeniera social es principalmente

una funcin de concienciacin. Para evitar el problema, puede configurar el explorador de
forma predeterminada para que bloquee los elementos emergentes y las descargas
automatizadas, pero algunos elementos emergentes pueden eludir esta configuracin.
Resulta ms efectivo asegurarse de que los usuarios son conscientes de que no deben hacer
clic en elementos emergentes a menos que lo consulten con el personal de soporte tcnico.
Por tanto, su personal debe poder confiar en que el personal de soporte tcnico no va a
juzgarle por haber navegado por la Web. Esta relacin de confianza puede verse afectada
por la directiva de la compaa sobre la navegacin por Internet para fines personales.
Mensajera instantnea
La mensajera instantnea (IM) es un medio de comunicacin relativamente nuevo, pero
que cada vez es ms popular como herramienta en el trabajo. Algunos analistas calculan
que habr 200 millones de usuarios de productos de mensajera instantnea en 2006. La
inmediatez y la familiaridad de la mensajera instantnea la convierte en un lugar adecuado

para los ataques de ingeniera social, ya que los usuarios lo consideran como el telfono y
no lo relacionan con posibles amenazas para el software del equipo. Los dos ataques
principales que se realizan con mensajera instantnea son el envo de un vnculo de
malware en un mensaje de mensajera instantnea y el envo de un archivo real. Por
supuesto, la mensajera instantnea tambin representa otra forma de solicitar informacin
de manera sencilla.
Existen una serie de posibles amenazas inherentes a la mensajera instantnea cuando se
trata el tema de la ingeniera social. La primera es el carcter informal de la mensajera
instantnea. La naturaleza de chat de la mensajera instantnea, junto con la opcin de
asignarse un nombre falso o inventado, hace que no est totalmente claro que se est
hablando con la persona con la que se cree estar hablando, lo que aumenta de forma
significativa la posibilidad de suplantaciones casuales.
En la siguiente figura se muestra el funcionamiento de la suplantacin, tanto para correo
electrnico como para la mensajera instantnea.
Figura 3. Suplantacin mediante mensajera instantnea y correo electrnico
El pirata informtico (de color rojo) se hace pasar por otro usuario conocido y enva un
mensaje de correo electrnico o de la mensajera instantnea que el destinatario asumir
que procede de alguien conocido. La familiaridad hace que se relajen las defensas del
usuario, por lo que es mucho ms probable que ste haga clic en un vnculo o abra un
archivo adjunto de alguien que conozca o que crea conocer. La mayora de los proveedores
de mensajera instantnea permiten la identificacin de los usuarios segn la direccin de
correo electrnico, lo que permite a un pirata informtico que ha identificado un estndar
de direcciones en una compaa enviar invitaciones de contactos de mensajera instantnea

a otras personas de la organizacin. Esta funcionalidad no supone una amenaza, pero
significa que aumenta significativamente el nmero de personas que pueden ser objeto de
un ataque en la compaa.
Tabla 3. Ataques por mensajera instantnea y costos
Objetivos de los
ataques
Solicitud de
informacin
confidencial de la
compaa
Descarga de
malware
Descarga de
software del pirata
informtico
Descripcin
Los piratas informticos usan la suplantacin
por mensajera instantnea para hacerse pasar
por un compaero de trabajo y solicitar
informacin de la compaa.
archivo adjunto y, de esta forma, infecte la red
de la compaa.
programa suyo, como un motor de correo, que
use recursos de la red de la compaa.
Costo
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Credibilidad
comercial
Recursos
Credibilidad
comercial
Dinero
Si desea aprovechar la inmediatez y las reducciones de costos que puede proporcionar la

mensajera instantnea, debe incluir en sus directivas de seguridad defensas especficas para
la mensajera instantnea. Para ayudarle a controlar la mensajera instantnea en su
empresa, debe establecer las cinco reglas de uso siguientes:
Estandarizar su uso en una sola plataforma de mensajera instantnea. Con

esta norma se minimizar el esfuerzo de compatibilidad y se desanimar a los
usuarios para que no charlen con su propio proveedor de mensajera instantnea
personal. Si desea un mtodo ms controlado para limitar las opciones de los
usuarios, puede decidir bloquear los puertos que usan los servicios de mensajera
instantnea comunes.
Definir una configuracin de seguridad de implementacin. Los clientes de
mensajera instantnea ofrecen una serie de opciones de privacidad y seguridad,
como la deteccin de virus.
Establecer directrices de contacto. Recomiende que los usuarios no acepten de
forma predeterminada nuevas invitaciones de contacto.
Establecer estndares de contraseas. Haga que las contraseas de mensajera
instantnea cumplan con los estrictos estndares de contraseas establecidos para
las contraseas de host.
Ofrecer ayuda para el uso. Cree un conjunto de directrices de prcticas

recomendadas para sus usuarios, en las que explique los motivos inherentes a ellas.
Amenazas telefnicas
El telfono ofrece un vector de ataque excelente para los piratas informticos de ingeniera
social. Se trata de un medio familiar, pero tambin impersonal, ya que la persona objeto del
ataque no puede ver al pirata informtico. Las opciones de comunicacin de la mayora de
los sistemas informticos tambin pueden convertir a la central de conmutacin (PBX) en
un objetivo atractivo. Otro ataque, tal vez muy rudimentario, es el robo de PIN de tarjetas
telefnicas o de crdito en cabinas telefnicas. Este ataque suele realizarse como robo a una
persona, pero las tarjetas de crdito de las compaas son igualmente tiles. La mayora de
las personas saben que tienen que ser prudentes ante los fisgones en los cajeros
automticos, pero la mayora suele tener menos precaucin cuando usan un PIN en una
cabina telefnica.
El sistema de voz sobre IP (VoIP) es un mercado en desarrollo que ofrece reducciones de
costos a las compaas. Actualmente, debido al relativamente reducido nmero de
instalaciones, las actividades de piratas informticos sobre VoIP no se considera una
amenaza importante. Sin embargo, conforme cada vez ms empresas usan esta tecnologa,
la suplantacin mediante VoIP puede generalizarse tanto como lo est ahora en el correo
electrnico y en mensajera instantnea.
Central de conmutacin (PBX)
El pirata informtico que ataca una central PBX tiene tres objetivos principales:
Solicitar informacin, normalmente imitando a un usuario legtimo, ya sea para

tener acceso al propio sistema telefnico o para obtener acceso remoto a sistemas
informticos.
Obtener acceso al uso gratuito del telfono.
Obtener acceso a la red de comunicaciones.
Cada uno de estos objetivos supone un tema distinto, en el que el pirata informtico llama a
la compaa para intentar obtener los nmeros de telfono que proporcionan acceso directo
a una central PBX o mediante una central PBX a la red telefnica pblica. El trmino que
se usa para este hecho es phreaking. El mtodo ms habitual consiste en que el pirata
informtico finja ser un tcnico telefnico, que solicita lnea exterior o una contrasea para
analizar y resolver los problemas indicados en el sistema telefnico interno, como se
muestra en la siguiente figura.
Figura 4. Ataques telefnicos a centrales PBX
Las solicitudes de informacin o acceso telefnico constituyen una forma de ataque

relativamente sin riesgos. Si el destinatario sospecha o no decide responder a una solicitud,
el pirata informtico slo tiene que colgar. Sin embargo, tenga en cuenta que dichos ataques
son ms sofisticados que el hecho de que un pirata informtico simplemente llame a una
compaa y solicite el Id. y la contrasea de un usuario. ste normalmente presenta una
situacin, en la que pide u ofrece ayuda, antes de realmente solicitar la informacin
personal o de la empresa, casi como si se tratara de algo que se le hubiera ocurrido a ltima
hora.
Tabla 4. Ataques a centrales de conmutacin y costos
Objetivos de los
ataques
Solicitud de
informacin de la
compaa
Solicitud de
informacin telefnica
Descripcin
El pirata informtico se hace pasar por un
usuario legtimo para obtener informacin
confidencial.

tcnico telefnico para obtener acceso a la
central PBX con el fin de realizar llamadas
externas.
Costo
Informacin
confidencial
Credibilidad
comercial
Recursos
Dinero
Uso de la central PBX

para tener acceso a
sistemas informticos
El pirata informtico entra en los sistemas

informticos, mediante una central PBX,
para robar o manipular informacin, infectar
con malware o usar recursos.
La mayora de los usuarios no tienen ningn tipo de conocimientos sobre el sistema

telefnico interno, aparte del propio telfono. ste es el factor ms importante de defensa
que puede incluir en su directiva de seguridad. No es habitual que los piratas informticos
contacten con los usuarios generales con este sistema. Los destinatarios ms habituales
suelen ser el personal de recepcin o de centralitas. Debe indicarles que el servicio de
ayuda es el nico que est autorizado a ofrecer ayuda a los proveedores telefnicos. De esta
forma, todo el personal autorizado trata con todas las llamadas de soporte de ingeniera.
Este mtodo permite que el personal destinatario pueda redirigir eficaz y rpidamente tales
consultas al empleado cualificado.
Servicio de ayuda
El departamento de soporte es una de las defensas fundamentales frente a los piratas
informticos, pero supone, a la vez, un objetivo para estos piratas de la ingeniera social. Si
bien el personal de soporte tcnico suele ser precavido frente a la amenaza de estos piratas,
tambin se somete a aprendizaje para ayudar y atender a las personas que llaman y a
ofrecerles consejos y soluciones para sus problemas. En ocasiones, el entusiasmo
demostrado por el personal de soporte tcnico a la hora de proporcionar una solucin hace
olvidar su compromiso con el cumplimiento de los procedimientos de seguridad y hace que
este personal se enfrente a un dilema: si aplican los estrictos estndares de seguridad,
pidiendo pruebas que demuestren que la solicitud o pregunta proviene de un usuario
autorizado, puede parecer que no son serviciales o incluso que ponen obstculos. El
personal de produccin o ventas y marketing que considere que el departamento de TI no
est proporcionando el servicio inmediato que necesitan pueden quejarse; tambin es cierto
que cuando se pide a los miembros de la directiva que demuestren su identidad, stos no se
suelen mostrar muy comprensivos ante la rigurosidad del personal de soporte.
Tabla 5. Ataques telefnicos al servicio de ayuda y costos
Objetivos de
los ataques
Solicitud de
informacin
Solicitud de
acceso
Descripcin
usuario legtimo para obtener informacin de la
empresa.
usuario legtimo para obtener acceso de
seguridad a los sistemas comerciales.
Costo
Informacin
confidencial
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Recursos
Dinero
El servicio de ayuda debe conseguir un equilibrio entre la seguridad y la eficacia comercial

y, en este contexto, las directivas y procedimientos de seguridad deben servirles de apoyo.
Una prueba de identidad, como proporcionar el nmero de empleado, departamento, y
nombre del jefe, no debe suponer un gran problema para que el analista del servicio de
ayuda lo solicite, ya que todo el mundo sabe estos datos. Sin embargo, esta prueba tal vez
no sea completamente segura, ya que un pirata informtico puede haber robado esta
informacin. No obstante, puede ser una forma realista de empezar. En verdad, el nico
mtodo de identificacin seguro al 99,99% es una prueba de DNA, lo cual es claramente
poco realista.
Es ms difcil defender al analista del servicio de ayuda frente a un pirata informtico que
sea un trabajador interno o un contratista. Dicho pirata tendr un conocimiento detallado de
los procedimientos internos y tendr tiempo para asegurarse de que cuenta con toda la
informacin necesaria antes de llamar al servicio de ayuda. Los procedimientos de
seguridad deben proporcionar una funcin doble ante esta situacin:
El analista del servicio de ayuda debe asegurarse de que se realiza una pista de
auditora de todas las acciones. Si un pirata informtico consigue obtener acceso no
autorizado a informacin o recursos mediante una llamada al servicio de ayuda,
dicho servicio debe registrar todas las actividades para que se pueda reparar o
limitar de forma rpida cualquier dao o prdida. Si cada llamada desencadena un
mensaje de correo electrnico automatizado o manual que indique el problema o
solicitud, tambin ser ms fcil para un empleado que sufriera un robo de identidad
darse cuenta de lo sucedido y llamar al servicio de ayuda.
El analista del servicio de ayuda debe contar con un procedimiento bien
estructurado sobre cmo tratar los distintos tipos de llamadas. Por ejemplo, si el jefe
del empleado debe enviar por correo electrnico solicitudes de cambio de acceso,
no debe producirse ningn cambio informal o no autorizado en los niveles de
seguridad.
Si los usuarios son conscientes de estas reglas y la directiva apoya su implementacin, los
piratas informticos lo tendrn mucho ms difcil a la hora de conseguir sus objetivos o
pasar inadvertidos. La pista de auditora de 360 grados es la herramienta ms valiosa para
evitar y detectar actos ilcitos.
Amenazas en la gestin de residuos
El anlisis ilcito de los residuos, o bsqueda en contenedores, como se conoce

habitualmente, es una actividad muy valiosa para los piratas informticos. Los restos de
documentos comerciales pueden contener informacin de utilidad inmediata para un pirata
informtico, por ejemplo, nmeros de cuenta e Id. de usuario desechados, o bien puede
servir como informacin de base, por ejemplo, para listados telefnicos y grficos de
organizaciones. Este ltimo tipo de informacin es importantsimo para un pirata
informtico de ingeniera social, ya que permite que parezca creble cuando realiza un
ataque. Por ejemplo, si el pirata informtico parece tener un buen conocimiento del
personal del departamento de una compaa, es mucho ms probable que tenga xito
cuando contacte con el mismo; la mayora del personal asumir que alguien que sabe
mucho de su compaa tiene que ser un empleado de sta.
Los medios electrnicos pueden ser incluso ms tiles. Si las compaas no cuentan con
reglas de gestin de residuos que incluyan el desecho de medios redundantes, se podr
encontrar todo tipo de informacin en unidades de disco duro, CDs y DVDs desechados. La
naturaleza slida de los medios fijos y extrables implica que los responsables de la
seguridad de TI deban estipular directivas de gestin de medios que incluyan instrucciones
de borrado o destruccin.
Tabla 6: Ataques de gestin de residuos y costos
Objetivos de los
ataques
Restos de papel en
contenedores externos
Restos de papel en
papeleras internas
Residuos de
medios electrnicos
Descripcin
El pirata informtico toma el papel de
contenedores externos para robar cualquier
tipo de informacin relevante de la
compaa.
El pirata informtico toma el papel de las
papeleras internas de la oficina, eludiendo
cualquier directriz de gestin externa de
residuos de papel.
El pirata informtico roba informacin y
aplicaciones de medios electrnicos
desechados. El pirata informtico tambin
roba el propio medio.
Costo
Informacin
confidencial
Credibilidad
comercial
Informacin
confidencial
Credibilidad
comercial
Informacin
confidencial
Recursos
Credibilidad
comercial
Su personal debe comprender las implicaciones que tiene el arrojar residuos de papel o
medios electrnicos a una papelera o contenedor. Una vez que los residuos salen del
edificio, su propiedad puede entrar en un vaco legal. La bsqueda en contenedores tal vez
no se considere ilegal en todas las circunstancias, por lo que debe asegurarse de que
aconseja a su personal sobre cmo tratar los residuos. Triture los documentos y borre o
destruya los medios magnticos que vaya a desechar. Si algn residuo es lo demasiado
grande o rgido como para poderlo destruir en una trituradora, como una agenda telefnica,
o tcnicamente el usuario no lo puede destruir, se deber crear un protocolo especfico para
su desecho. Tambin debe colocar los contenedores en una zona segura a la que no pueda
acceder todo el mundo.
Cuando disee una directiva de gestin de residuos, es importante que se asegure de que
cumple con la normativa local sobre seguridad. Tambin puede ser una buena medida desde
el punto de vista social adoptar estrategias de gestin de recursos que respeten el
medioambiente.
Adems de la gestin de residuos externos (el papel o los medios electrnicos que se
puedan enviar a personas externas a la compaa) tambin debe gestionar los residuos
internos. Las directivas de seguridad no suelen tener en cuenta este asunto, porque se suele
asumir que cualquier persona que tenga acceso a la compaa debe ser de confianza. Est
claro que ste no es siempre el caso. Una de las medidas ms efectivas a la hora de
gestionar los residuos de papel es la especificacin de una clasificacin de datos. Puede
definir distintas categoras de informacin en papel y especificar cmo debe desechar el
personal los residuos en cada caso. Entre las categoras de ejemplo se podran incluir:
Informacin confidencial de la compaa. Triture todos los documentos

confidenciales de la compaa antes de desecharlos en cualquier papelera o
contenedor.
Informacin privada. Triture todos los documentos privados antes de desecharlos
en cualquier papelera o contenedor.
Informacin del departamento. Triture todos los documentos del departamento
antes de desecharlos en contenedores pblicos.
Informacin pblica. Deseche todos los documentos pblicos en cualquier
papelera o recclelos.
Para obtener ms informacin acerca del desarrollo de clasificaciones de datos, consulte el

tema Funcin SMF de administracin de la seguridad en Microsoft TechNet en la
direccin http://go.microsoft.com/fwlink/?linkid=37696 (puede estar en ingls).
Contactos directos
La forma ms sencilla y barata en la que un pirata informtico puede obtener informacin
es solicitarla directamente. Este mtodo puede parecer rudimentario y obvio, pero se ha
convertido en la base de los engaos por confianza desde el comienzo. Hay cuatro mtodos
principales que demuestran ser tiles para los ingenieros sociales:
Intimidacin. Este mtodo puede implicar la suplantacin de una figura de

autoridad para coaccionar a una persona a responder a una solicitud.
Persuasin. Las formas ms habituales de persuasin suelen incluir la adulacin o

el mencionar a alguien importante.
Congraciamiento. Este mtodo suele ser una estratagema ms a largo plazo, en la
que un compaero de trabajo de la misma categora de una inferior inicia una
relacin para conseguir la confianza y, finalmente, informacin de esta persona.
Ayuda. En este mtodo, el pirata informtico se ofrece a ayudar al objetivo del
ataque. La ayuda normalmente har que finalmente el objetivo del ataque divulgue
informacin personal que permitir al pirata informtico robar su identidad.
La mayora de las personas asumen que cualquiera que les hable es una persona de
confianza, lo que es interesante ya que es un hecho que la mayora de las personas admite
que se mienten a s mismas. The Lying Ape: An Honest Guide to a World of Deception (El
mono mentiroso: una gua honesta en un mundo de engaos), Brian King, Icon Books
Limited. La confianza total es uno de los objetivos de un pirata informtico de ingeniera
social.
Es muy difcil defender a los usuarios frente a estos tipos de contactos directos. Algunos
usuarios tienen una predisposicin natural a que la ingeniera social use uno de estos cuatro
ataques. La defensa frente a un ataque por intimidacin es el resultado de una cultura sin
miedo dentro de una empresa. Si el comportamiento habitual es la educacin, se reduce el
xito que tendr la intimidacin, ya que es ms probable que los empleados consulten las
situaciones polmicas. Una actitud de apoyo en la directiva y funciones de supervisin que
busquen la consulta de problemas y la toma de decisiones es lo peor con lo que se puede
encontrar un pirata informtico de ingeniera social. Su objetivo consiste en alentar a los
destinatarios del ataque a tomar una decisin rpida. Si el problema se consulta a una
autoridad superior, es mucho menos probable que consigan su objetivo.
La persuasin siempre ha sido un mtodo muy usado por los humanos para lograr objetivos
personales. No puede conseguir esto sin ms de sus empleados, pero puede proporcionar
una gua firme sobre lo que un individuo debe y no debe hacer. El pirata informtico
siempre preguntar o crear una situacin en la que un usuario ofrece voluntariamente
informacin restringida. Su mejor defensa son las campaas de concienciacin continuadas
y la ayuda bsica sobre dispositivos de seguridad como las contraseas.
Los piratas informticos necesitan tiempo para congraciarse con los usuarios. Tendrn que
contactar habitualmente, probablemente asumiendo el papel de un compaero de trabajo.
Para la mayora de las medianas empresas, la principal amenaza de un compaero de
trabajo procede del personal de contratas o de servicio habitual. El grupo de recursos
humanos debe tener la misma precaucin al investigar los antecedentes del personal de
contratas que al hacerlo con el personal fijo. Puede encargar la mayor parte de este trabajo
al contratista. Para asegurarse de que esta empresa realiza un trabajo efectivo, puede pedirle
que cumpla con sus propias directivas de investigacin de antecedentes que se aplica al
personal fijo. Si un pirata informtico de ingeniera social consigue un puesto fijo en la
compaa, la mejor defensa sera la concienciacin del personal y su cumplimiento de las
reglas de la directiva de seguridad sobre la seguridad de la informacin.
Finalmente, los ataques de ayuda se pueden reducir si cuenta con un servicio de ayuda
efectivo. El recurrir a la ayuda de alguien interno suele ser el resultado de una
animadversin hacia los servicios de soporte existentes de la compaa. Debe aplicar dos
elementos para asegurarse de que el personal contacta con el servicio de ayuda en lugar de
con un experto interno no autorizado o, lo que es peor an, un experto externo a la
compaa:
Especifique en la directiva de seguridad que el servicio de ayuda es el nico lugar al

que deben informar los usuarios sobre sus problemas.
Asegrese de que el personal de servicio cuente con un proceso de respuesta
acordado dentro de acuerdo de nivel de servicio del departamento. Realice una
auditora frecuente del rendimiento del servicio de ayuda para asegurarse de que los
usuarios reciban el nivel adecuado de respuesta y solucin.
No debe subestimar la importancia del servicio de ayuda a la hora de proporcionar una

defensa de primer nivel frente a los ataques de la ingeniera social.
Contactos virtuales
Los piratas de ingeniera social deben contactar con los objetivos de sus ataques para poder
realizarlos. La mayora de las veces, este contacto se llevar a cabo mediante algn medio
electrnico, como un mensaje de correo electrnico o una ventana emergente. El volumen
de correo no deseado que llega a la mayor parte de los buzones de correo personales hace
que este mtodo de ataque sea menos exitoso, ya que los usuarios son cada vez ms
escpticos frente a las solicitudes de correo en cadena y solicitudes de complicidad para
formar parte de transacciones financieras lucrativas y legales. A pesar de esto, el
volumen de este tipo de correo y el uso de motores de correo con caballos de Troya hacen
que siga siendo un mtodo atractivo, con slo un ndice de xito mnimo, para algunos
piratas informticos. La mayora de estos ataques son personales y tienen como objetivo
descubrir informacin sobre la identidad de la persona objeto de los mismos. Sin embargo,
en el caso de las empresas, el abuso extendido de los sistemas comerciales, como equipos y
acceso a Internet, para fines personales hace que los piratas informticos puedan entrar en
la red corporativa.
Los telfonos ofrecen un mtodo de contacto ms personal y de menor volumen. Las pocas
posibilidades de ser detenido hacen que algunos piratas informticos usen el telfono como
medio de contacto, pero este mtodo se usa principalmente para ataques al servicio de
ayuda y centrales PBX; la mayora de los usuarios desconfiara de una llamada que solicite
informacin de una persona a la que no conozcan personalmente.
Contactos directos
Menos habitual, aunque ms efectivo para el pirata informtico es el contacto directo y
personal con una persona objeto de un ataque. Slo el empleado ms cauto dudar de la
validez de alguien que se presente y que pida u ofrezca ayuda con un sistema informtico.
Si bien estos mtodos tienen muchos ms riesgos para el que los perpetra, las ventajas son
obvias. El pirata informtico puede obtener un acceso sin lmites a equipos de la compaa,
en cualquier defensa de permetro tecnolgica que exista.
El aumento del uso de tecnologas mviles, que permite a los usuarios conectarse a redes
corporativas mientras se encuentran de viaje o en sus casas, suponen otra importante
amenaza para los recursos de TI de la compaa. Los posibles ataques en este campo
incluyen el ataque de observacin ms sencillo, en el que un pirata informtico observa por
detrs de un usuario de un equipo mvil en un tren para ver su Id. de usuario y contrasea,
hasta ataques ms sofisticados donde un tcnico de servicio muy solcito entrega e instala
un lector de tarjetas o una actualizacin de enrutador para poder obtener acceso a la red de
la empresa pidiendo el Id. de usuario, su contrasea y, tal vez, un caf. Un pirata
informtico concienzudo incluso podra solicitar al usuario una firma de autorizacin; ahora
ya tiene la firma del usuario. Entre estos tipos de ataques se incluyen amenazas como
vecinos que usan el ancho de banda que paga la compaa para tener acceso a Internet
mediante una LAN inalmbrica desprotegida.
Si bien la mayora de las grandes empresas cuentan con infraestructuras de seguridad para
sus instalaciones altamente desarrolladas, las oficinas ms pequeas, de tamao medio, tal
vez no pongan tantos impedimentos para el acceso a sus instalaciones. El seguimiento, en el
que una persona no autorizada sigue a alguien que tiene un pase para entrar a una oficina,
es un ataque de ingeniera social muy sencillo. El intruso abre la puerta, que el usuario
autorizado traspasa y, a continuacin, el primero inicia una conversacin sobre el tiempo o
un partido del fin de semana mientras pasan juntos por el rea de recepcin. Este mtodo no
funcionara en una gran compaa, donde cada persona tendra que pasar su tarjeta por un
torniquete o en una pequea compaa donde todos se conocen. Sin embargo, es
perfectamente vlido en una compaa con mil empleados, donde es habitual que un
empleado no conozca a todos los dems. Si el impostor hubiera obtenido acceso
anteriormente a la informacin de la compaa, como nombres de departamentos, nombres
de empleados o algn otro tipo informe interno, la conversacin de distraccin sera ms
creble.
La seguridad de los trabajadores en casa suele estar limitada a la tecnologa. La directiva de
seguridad debe exigir que los firewalls garanticen que los piratas informticos externos no
puedan tener acceso a las redes. Aparte de este requisito, la mayora de las medianas
empresas permiten que sus empleados que trabajan en casa se ocupen de su propia
seguridad e incluso de las copias de seguridad.
Tabla 7. Ataques con acceso fsico y costos
Objetivos de los
ataques
Robo de la
identidad del
usuario mvil
Descripcin
Costo
El pirata informtico observa al usuario legtimo Informacin

cuando ste especifica la informacin de inicio
confidencial
de sesin u otros detalles en el equipo. Esto
puede permitir el robo de un equipo fsico.
Robo de la
identidad del
usuario que trabaja
en casa
Contacto directo
con la red
mediante la red
del trabajador en
casa

trabajador de soporte de TI o un socio de
mantenimiento para obtener acceso a la red del
trabajador en casa y solicita el Id. y la
contrasea del usuario para probar que la
actualizacin se realiz con xito.
El pirata informtico tiene acceso a la red de la
compaa mediante la red del trabajador en casa
hacindose pasar por un ingeniero de soporte
tcnico. El pirata informtico tiene un acceso sin
lmites a los recursos de la red y la compaa.
Informacin
confidencial
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Recursos
Acceso
continuado a la
red del trabajador
en casa
Acceso a las
oficinas de la
compaa sin
compaa
El pirata informtico o el usuario local tiene

acceso de banda ancha a Internet mediante una
red domstica desprotegida.
El pirata informtico sigue a un empleado
autorizado para entrar en las oficinas de la
compaa.
Dinero
Recursos
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Dinero
Acceso de un
individuo a una
oficina de la
compaa
El pirata informtico obtiene acceso a un

individuo, lo que le permite intentar usar el
equipo informtico o recursos en papel, como
archivadores.
Recursos
Informacin
confidencial
Recursos
Dinero
Las defensas frente a estas amenazas dependen fundamentalmente de la implementacin de

procedimientos recomendados por parte de los usuarios, basados en una directiva de
seguridad efectiva de la compaa que debe tratar las tres reas siguientes:
Las instalaciones de la compaa

El hogar
El trabajo mvil
Sera imposible acceder a las instalaciones de una compaa si no se contara con la

autorizacin adecuada. El personal de recepcin debe ser educado pero firme cuando
reciban al personal, a los contratistas o a los visitantes. Unas pocas y sencillas condiciones
dentro de la directiva de seguridad de la compaa harn que sea prcticamente imposible
que una persona dispuesta a realizar un ataque de ingeniera social fsico tenga acceso al
edificio. Estas condiciones podran incluir el uso de:
Pases con identificacin fotogrfica, que se deben mostrar cada vez que un
empleado entre o salga del edificio.
Un libro de visitas firmado por el visitante y autorizado por el empleado al que
visita tanto al llegar como al salir.
Pases de visita con fecha visibles en todo momento y que se deben devolver en la
recepcin al salir.
Un libro de contratistas firmado por el contratista y autorizado por el empleado que
autoriz su trabajo al llegar y salir.
Pases de contratistas con fecha visibles en todo momento y que se deben devolver
en la recepcin al salir.
Para asegurarse de que todas las personas se presentan al empleado de la recepcin, la

compaa debe crear barreras para asegurarse de que los visitantes pasan directamente por
delante de ste para presentar sus credenciales o firmar. Dichas barreras no tienen que ser
torniquetes o barreras por las que tendrn que pasar.
Por ejemplo, un rea de recepcin puede tener algo tan relajante como un sof para que la
gente se siente mirando hacia la persona de recepcin, como muestran los dos ejemplos de
la siguiente figura.
Figura 5. Diseo de la recepcin
El rea de recepcin de la izquierda permite a un visitante no autorizado seguir a una

persona, usando a un empleado legtimo para ocultarse. En el ejemplo de la derecha
cualquier visitante tendra que pasar por delante de la recepcin. La posicin del equipo no
tapa la visin del empleado de la recepcin. El espacio debe ser lo suficientemente amplio
como para permitir que cualquier persona pueda pasar sin problemas, incluidas las personas
que usan sillas de ruedas. Es fundamental que los empleados de recepcin reciban la
instruccin necesaria y sean coherentes cuando reciban y comprueben la identidad de los
visitantes. Todas las entradas al edificio deben cumplir con estos estndares y el personal
slo debe usar las entradas y salidas autorizadas al edificio; no debe haber puertas traseras.
Cuando se cree cualquier sistema de control de puertas o separaciones, debe asegurarse de
que cumple con la normativa sobre seguridad y accesibilidad.
En el domicilio, no es realista autorizar a que entre cualquier vendedor o persona que
venga. En realidad, la mayora de las personas suelen ser mucho ms precavidas sobre las
visitas que reciben en su hogar de lo que lo son con las que visitan la oficina. Lo que es ms
importante an, debe asegurarse de que un ataque no pueda tener acceso a los recursos de la
empresa. Un protocolo sobre los servicios de TI externos debe incluir reglas que estipulen
las siguientes condiciones:
Cada accin de soporte tcnico, ya sea una solucin in situ o una actualizacin, debe
estar planeada y autorizada por el personal de soporte tcnico.
Los contratistas y el personal interno que realizan tareas in situ de mantenimiento o
de instalaciones deben tener una identificacin, que incluya preferiblemente una
fotografa.
El usuario debe contactar con el departamento de soporte de TI para indicarles
cundo llega el tcnico y cundo finaliza el trabajo.
Cada puesto tiene una hoja correspondiente, que firma el usuario.
El usuario nunca debe proporcionar informacin de acceso personal ni iniciar sesin
en el equipo para proporcionar acceso a un tcnico.
Este ltimo punto es crucial. Es responsabilidad del grupo de servicios de TI asegurarse de

que cualquier tcnico externo tenga el acceso personal suficiente para realizar su trabajo. Si
el tcnico no tiene un acceso de usuario suficiente para realizar una tarea, debe contactar
con el servicio de ayuda. Este requisito es esencial, ya que trabajar como modesto tcnico
para una compaa de servicios informticos es uno de los puestos ms rentables que un
posible pirata informtico puede encontrar, ya que lo convierte en una figura de autoridad
tcnica y en ayudante a la vez.
Los trabajadores mviles suelen usar sus equipos en lugares con mucha gente, como trenes
o estaciones, aeropuertos o restaurantes. Claramente, es mucho ms improbable asegurarse
de que nadie le observa mientras escribe en uno de estos lugares, pero la directiva de
seguridad de la compaa debe ofrecer consejo sobre cmo reducir los riesgos que suponen
para la informacin personal y de la empresa. Si los empleados usan asistentes digitales
personales (PDA), debe incluir informacin sobre la administracin de seguridad y la
sincronizacin.
Ingeniera social inversa
La ingeniera social inversa describe una situacin en la que la persona o personas objetivo
realizan el contacto inicial y ofrecen al pirata informtico la informacin que desean.
Aunque esta situacin pueda parecer improbable, figuras de autoridad, sobre todo autoridad
tcnica o social, suelen recibir informacin personal fundamental, como los Id. y
contraseas de los usuarios porque estn por encima de toda sospecha. Por ejemplo, ningn
trabajador del departamento de soporte pedira a la persona que llama su Id. o contrasea de
usuario; simplemente soluciona los problemas sin esta informacin. Muchos usuarios que
tienen problemas de TI ofreceran de forma voluntaria estos elementos de seguridad
fundamentales para conseguir rpidamente una solucin a su problema. El pirata
informtico no tendra ni que preguntar. Los ataques de ingeniera social no son tan
reactivos como puede sugerir este contexto.
Un ataque de ingeniera social crea un situacin, aconseja una solucin y proporciona
ayuda cuando se solicita, puede que de forma tan sencilla como en el siguiente caso:
Un compaero de trabajo, que es en realidad un pirata informtico, cambia el nombre o
mueve un archivo para que el objetivo de su ataque piense que ya no existe dicho archivo.
El pirata informtico especula con la posibilidad de recuperar el archivo. El objetivo del
ataque, que desea poder continuar con su trabajo, o preocupado por ser culpable de esa
prdida de informacin, cede ante su oferta. El pirata informtico dice que para poder
recuperarlo tendra que iniciar sesin como si fuera la otra persona. Incluso puede decir que
la directiva de la compaa prohbe esto. El objetivo del ataque pedir al pirata informtico
que inicie sesin como si fuera l para intentar recuperar el archivo. De mala gana, el pirata
informtico acepta, recupera el archivo original y roba el Id. y la contrasea del usuario.
Incluso puede que mejore su reputacin de forma que reciba solicitudes de ayuda de otros
compaeros de trabajo. Con este mtodo se pueden eludir los canales de soporte tcnico de
TI habituales y permitir que el pirata informtico no sea detectado.
No siempre es necesario tener informacin o incluso conocer a un objetivo para usar la

ingeniera social inversa. Inventar problemas mediante cuadros de dilogo puede ser til en
un ataque de ingeniera social inversa no especfico. En el cuadro de dilogo se avisa de
que hay un problema o de que se debe realizar una actualizacin para continuar. En el
cuadro de dilogo se ofrece una descarga para solucionar el problema. Cuando la descarga
finaliza, el problema supuesto desaparece y el usuario sigue trabajando, sin saber que
incumpli la directiva de seguridad y descarg un programa de malware.
Tabla 8. Ataques de ingeniera social inversa y costos
Objetivos de los
ataques
Robo de
identidad
Descripcin
El pirata informtico recibe el ID. y la contrasea
de un usuario autorizado.
Costo
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Dinero
Robo de
informacin
El pirata informtico usa el Id. y la contrasea

del usuario autorizado para obtener acceso a los
archivos de la compaa.
Recursos
Informacin
confidencial
Dinero
Recursos
Credibilidad
comercial
Descarga de
malware
Descarga de
software del
pirata
informtico

archivo adjunto y, de esta forma, infecte la red de
la compaa.
programa suyo, como un motor de correo, que
use recursos de la red de la compaa.
Disponibilidad
comercial
Disponibilidad
comercial
Credibilidad
comercial
Recursos
Credibilidad
comercial
Dinero
Defenderse frente a la ingeniera social inversa es probablemente el desafo ms difcil. El

objetivo del ataque no tiene motivos para sospechar del pirata informtico, porque cree que
controlan la situacin. La principal defensa es la estipulacin en la directiva de seguridad
de que todos los problemas se deben resolver mediante el servicio de ayuda. Si los
miembros del servicio de ayuda son eficientes, educados y no se erigen en jueces, el resto
de empleados acudirn a ellos, en lugar de pedir ayuda a un empleado no autorizado o a
conocidos.
Diseo de defensas frente a las amenazas de la ingeniera social

Una vez comprendida la amplia gama de amenazas que existen, se necesitan tres pasos para
disear un sistema de defensa frente a las amenazas de la ingeniera social hacia el personal
de su compaa. Una defensa efectiva es contar con una funcin de planeamiento. Las
defensas suelen ser reactivas: se detecta un ataque que tuvo xito y se crea una barrera para
garantizar que el problema no vuelva a producirse. Si bien este mtodo demuestra cierto
nivel de concienciacin, la solucin llega demasiado tarde si el problema es grave o
costoso. Para adelantarse a esta situacin, debe realizar los tres pasos siguientes:
Crear un marco de administracin de la seguridad. Debe definir un conjunto de

objetivos de seguridad de ingeniera social y de empleados responsables de lograr
que se cumplan.
Realizar evaluaciones sobre la administracin de riesgos. Amenazas similares no
presentan el mismo nivel de riesgo para distintas compaas. Debe revisar cada una
de las amenazas de ingeniera social y racionalizar el peligro que presenta cada una
para su organizacin.
Implementar defensas de ingeniera social en su directiva de seguridad. Cree un
conjunto escrito de directivas y procedimientos que estipulen la forma en que su
personal debe enfrentarse a las situaciones que puedan suponer ataques de
ingeniera social. En este paso se asume que existe una directiva de seguridad,
aparte de la amenaza que supone la ingeniera social. Si actualmente no dispone de
una directiva de seguridad, tendr que crear una. Los elementos que identifique su
evaluacin de riesgos de ingeniera social sern un comienzo, pero tendr que tener
en cuenta otras posibles amenazas.
Para obtener ms informacin acerca de las directivas de seguridad, consulte el sitio
web sobre seguridad de Microsoft en www.microsoft.com/security (puede estar en
ingls).
Creacin de un marco de administracin de la seguridad
Un marco de administracin de la seguridad define una visin general de las posibles

amenazas que suponen para su organizacin la ingeniera social y asigna funciones con
puestos responsables del desarrollo de directivas y procedimientos que mitiguen esas
amenazas. Este mtodo no significa que tenga que contratar a personal cuyas nicas
funciones sean asegurar la seguridad de los activos de la empresa. Si bien este mtodo
puede ser una opcin en grandes organizaciones, resulta poco viable o deseable tener
asignadas esas funciones en las medianas empresas. El requisito consiste en asegurarse de
que un grupo de personas asuma las responsabilidades clave de las siguientes funciones de
seguridad:
Patrocinador de seguridad. Miembro de la directiva, probablemente del consejo,

que pueda tener la autoridad necesaria para asegurar que todo el personal asuma con
seriedad el tema de la seguridad.
Administrador de seguridad. Empleado de la directiva que tiene la
responsabilidad de orquestar el desarrollo y mantenimiento de una directiva de
seguridad.
Empleado de seguridad de TI. Empleado tcnico que tiene la responsabilidad de
desarrollar la infraestructura de TI y las directivas y procedimientos de seguridad
operativos.
Empleado de seguridad de las instalaciones. Miembro del equipo de instalaciones
responsable de desarrollar directivas y procedimientos del sitio y operativos.
Empleado de concienciacin sobre la seguridad. Miembro de la directiva,
normalmente del departamento de recursos humanos o de desarrollo de personal,
responsable del desarrollo y la ejecucin de campaas de concienciacin sobre la
seguridad.
Este grupo, el comit de control de seguridad, representa a los moderadores de la compaa.

Como responsables seleccionados para la seguridad, este comit debe establecer los
principales objetivos del marco de administracin de la seguridad. Sin un conjunto de
objetivos definibles, es difcil fomentar la participacin del resto del personal o medir el
xito del proyecto. La tarea inicial del comit de control de seguridad es identificar las
vulnerabilidades de ingeniera social que existen en la compaa. Una sencilla tabla como la
siguiente le permitir hacerse rpidamente una idea de estos vectores de ataque.
Tabla 9. Vulnerabilidades vectoriales de los ataques de ingeniera social a compaas
Vector de
ataque
En lnea
Correo
electrnico
Internet
Descripcin de uso de la
compaa
Todos los usuarios tienen
Microsoft Outlook en sus
equipos de escritorio.
Los usuarios mviles tienen
Outlook Web Access (OWA)
Comentarios
adems de acceso al cliente de

Outlook.
Aplicaciones
emergentes
Mensajera
instantnea
Telfono
Central de
conmutacin
(PBX)
Servicio de
ayuda
Gestin de
residuos
Interno
Externo
Contactos
directos
Seguridad fsica
Seguridad de la
oficina
Trabajadores en
casa
Otros,
especficos de la
compaa
Franquicias
internas
Actualmente no se implementa
ninguna barrera tecnolgica
contra los elementos emergentes.
La compaa permite el uso no
administrado de una serie de
productos de mensajera
instantnea.
Actualmente el servicio de
ayuda es una funcin de soporte
informal que ofrece el
departamento de TI.
Todos los departamentos

gestionan sus propios residuos.
Los contenedores estn situados
fuera de las instalaciones de la
compaa. La recogida de basura
se produce los jueves.
Todas las oficinas permanecen

abiertas durante el da.
Necesitamos ampliar los servicios

de soporte para que incluyan
otras reas adicionales a la de TI.
Actualmente no tenemos espacio

para contenedores dentro de las
instalaciones.
El 25% del personal trabaja desde

casa. No contamos con
estndares escritos para la
seguridad de los trabajadores en
casa.
No tenemos protocolos de
mantenimiento in situ para los
trabajadores en casa.
Todo el catering lo realiza una

franquicia.
No sabemos nada sobre este

personal y no hay ninguna
directiva de seguridad para ellos.
Cuando el comit de control de seguridad conozca bien las vulnerabilidades, podr crear
una tabla Vulnerabilidades vectoriales de ataque de ingeniera social a compaas (como se
muestra en el ejemplo anterior). En la tabla se sealan los protocolos de la compaa en

reas potencialmente vulnerables. Conocer las vulnerabilidades permite al comit crear un
borrador con los posibles requisitos de directivas.
El comit de control de seguridad debe identificar en primer lugar las reas que pueden
suponen un riesgo para la compaa. Este proceso debe incluir todos los vectores de ataque
identificados en este artculo y los elementos especficos de la compaa, como el uso de
terminales pblicas o procedimientos de administracin de la oficina.
Evaluacin de riesgos
Cualquier tipo de seguridad exige que se evale el nivel de riesgo que supone un ataque
para la compaa. Si bien la evaluacin de riesgos debe ser concienzuda, no tiene que
tardarse mucho tiempo en realizarse. Segn el trabajo realizado para identificar los
elementos principales de un marco de administracin de la seguridad por parte del comit
de control de seguridad, podr establecer categoras y prioridades en los riesgos. Entre las
categoras de riesgo se incluyen:
Informacin confidencial
Credibilidad comercial
Disponibilidad comercial
Recursos
Dinero
Debe establecer prioridades mediante la identificacin del riesgo y el clculo del costo que
implica su mitigacin; si mitigar un riesgo es ms caro que el propio riesgo, puede que
dicho costo no sea justificable. La fase de evaluacin de riesgos puede resultar muy til en
el desarrollo final de la directiva de seguridad.
Por ejemplo, el comit de control de seguridad puede resaltar al personal de recepcin el
peligro para la seguridad que suponen los visitantes. En el caso de una compaa que no
espera ms de 20 visitantes a la hora, no hay necesidad de tener que pensar en algo ms
sofisticado que un(a) recepcionista, un libro de firmas y algunos pases de visitantes
numerados. Sin embargo, en el caso de una compaa que espera 150 visitas a la hora,
puede que sea necesario ms personal de recepcin o terminales de registro de autoservicio.
Si bien la compaa ms pequea no podra justificar los costos de estos terminales, la
compaa grande no podra justificar el costo de la prdida de actividad debido a largas
esperas.
Por otro lado, una compaa que nunca tenga visitas ni personal contratista puede
considerar que existe un riesgo mnimo de dejar documentos en una ubicacin central
mientras esperan a ser recogidos. Sin embargo, una compaa que tenga una gran nmero
de personas que no sean empleados puede considerar que tiene que salvar el riesgo
comercial que presentara que hubiera informacin confidencial en una impresora mediante
la instalacin de dispositivos de impresin locales en cada puesto de trabajo. La compaa
puede obviar este riesgo mediante la estipulacin de que un miembro del personal
acompae a un visitante durante su visita. Esta solucin es mucho menos cara, excepto,
posiblemente en trminos de tiempo del personal.
Segn la evaluacin comercial de la matriz Vulnerabilidades vectoriales de ataque de
ingeniera social a compaas, el comit de control de seguridad podr definir los requisitos
de directivas, los tipos y niveles de riesgo para la compaa, como se muestra en la
siguiente tabla.
Tabla 10. Requisitos del comit de control de seguridad y matriz de riesgos
Vector de
ataque
Posible requisito de
directiva
Conjunto escrito de
directivas de seguridad
frente a la ingeniera
social
Cambios para crear la
parte de cumplimiento de
la directiva del contrato
del empleado estndar
Cambios para crear la
parte de cumplimiento de
la directiva del contrato
del contratista estndar
En lnea
Correo
electrnico
Internet
Aplicaciones
emergentes
Mensajera
instantnea
Directiva sobre los tipos

de archivos adjuntos y
cmo tratarlos
Directiva de uso de
Internet
Directiva sobre el uso de
Internet, con una especial
atencin en qu hacer con
los cuadros de dilogo
inesperados
Directiva sobre los
clientes de mensajera
instantnea admitidos y
permitidos
Tipo de riesgo
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial Recursos
Dinero
Nivel de Accin
riesgo
Alto = 5
Bajo =
1
Telfono
Central de
conmutacin
(PBX)
Servicio de
ayuda
Gestin de
residuos
Papel
Medios
electrnicos
Contactos
directos
Seguridad
fsica
Seguridad de
la oficina
Trabajadores
en casa
Otros/
especficos de
la compaa
Franquicias
internas
Directiva sobre la
administracin del
soporte de centrales PBX
Directiva para permitir el
acceso a los datos
Directiva para la gestin

de residuos de papel
Directrices para la
gestin de contenedores
Directiva para la gestin
de los materiales de
residuo de medios
electrnicos
Directiva para la
administracin de visitas
Directiva para la
administracin de Id. de
usuario y contraseas: no
escribir las contraseas
en una nota adhesiva ni
pegarla a la pantalla, por
ejemplo.
Directiva para el uso de
equipos mviles fuera de
la compaa
Directa para conocer los

antecedentes de los
empleados de franquicias
internas
El comit de control de seguridad debe lograr un consenso sobre la importancia de un

riesgo. Cada grupo comercial tendr distintos puntos de vista sobre los riesgos que suponen
las distintas amenazas.
Para obtener ms informacin acerca de las herramientas y metodologas de la evaluacin
de riesgos, consulte la Gua de administracin de riesgos de seguridad en
http://go.microsoft.com/fwlink/?linkid=30794 (puede estar en ingls).
La ingeniera social en la directiva de seguridad

El personal de administracin y TI de una compaa debe desarrollar y ayudar a
implementar una directiva de seguridad efectiva en la organizacin. En ocasiones, el centro
de atencin de una directiva de seguridad son los controles tecnolgicos que le ayudarn a
protegerse frente a amenazas tecnolgicas, como virus y gusanos. Los controles
tecnolgicos ayudan a defender las tecnologas, como archivos de datos, archivos de
programas y sistemas operativos. Las defensas frente a la ingeniera social deben ayudar a
anticipar los posibles ataques genricos de ingeniera social contra los empleados.
El comit de control de seguridad tiene las principales reas de seguridad y la evaluacin de
riesgos en los que debe delegar el desarrollo de procedimientos, procesos y documentacin
comercial. En la siguiente tabla se muestra cmo el comit de control de seguridad, con la
ayuda de grupos de inters, puede definir la documentacin necesaria para apoyar la
directiva de seguridad.
Tabla 11. Procedimiento del comit de control y documentos necesarios
Requisito de directiva
Conjunto escrito de directivas de
seguridad frente a la ingeniera social
Cambios para crear la parte de
cumplimiento de la directiva del contrato
del empleado estndar
Procedimiento / documento
necesario
Ninguna
1. Texto para los requisitos
de nuevos contratos (legal)
2. Nuevo formato para los
contratos de los
contratistas
Cambios para crear la parte de

cumplimiento de la directiva del contrato
del contratista estndar
1. Texto para los requisitos

de nuevos contratos (legal)
2. Nuevo formato para los
contratos de los
contratistas
Directiva para la administracin de

visitas
1. Procedimiento para la
firma a la llegada y salida
de los visitantes
2. Procedimiento para el
acompaamiento a los
visitantes
Directrices para la gestin de

contenedores
desecho de los residuos de
papel (consulte Datos)
desecho de los medios
Accin /
fecha
electrnicos (consulte
Datos)
Directiva para permitir el acceso a los
datos
Directiva para la gestin de residuos de
papel
Directiva para la gestin de los
materiales de residuo de medios
electrnicos
Directiva para el uso de Internet, con una
atencin especial en lo que hacer con
cuadros de dilogo inesperados
Directiva para la administracin de Id.
de usuario y contraseas: no escribir las
contraseas en una nota adhesiva ni
pegarlas a la pantalla, etc.
Directiva para el uso de equipos mviles
fuera de la compaa
Directiva para tratar los problemas
relacionados con la conexin a
aplicaciones relacionadas (bancarias,
financieras, de compra, de
administracin de existencias)
Como puede ver, esta lista puede ser muy larga. Puede decidir contratar ayuda
especializada para agilizar este elemento del proceso. El comit de control de seguridad
debe centrarse en las reas que considere de gran importancia, segn el proceso de
evaluacin de riesgos.
Implementacin de defensas frente a las amenazas de la ingeniera social

Despus de escribir y acordar la directiva de seguridad, debe darla a conocer al personal y
hacer que la cumpla. Si bien puede implementar controles tcnicos sin que lo sepan sus
empleados, debe conseguir su apoyo si desea implementar con xito defensas frente a la
ingeniera social. Para apoyar la implementacin, debe desarrollar protocolos de respuesta a
incidentes para el personal del servicio de ayuda.
Concienciacin
No hay ningn sustituto a una buena campaa de concienciacin cuando se implementan
los elementos de ingeniera social de la directiva de seguridad. Claro est, la
implementacin es una forma de ingeniera social y debe conseguir que su personal
conozca la directiva, aprenda por qu existe y sepa cmo debe reaccionar ante un posible
ataque. El elemento clave de un ataque de ingeniera social es la confianza; la persona
objeto del ataque confa en el pirata informtico. Para enfrentarse a este tipo de ataque,
debe estimular a que haya un saludable escepticismo entre su personal sobre cualquier cosa
que se salga de lo normal y conseguir que stos confen en la infraestructura de soporte de
TI de la compaa.
Los elementos de una campaa de concienciacin dependen de cmo se transmite la
informacin al personal de la compaa. Puede optar por un aprendizaje estructurado,
reuniones menos formales, campaas con psteres u otros eventos para anunciar las
directivas de seguridad. Cuanto ms refuerce los mensajes de sus directivas, ms exitosa
ser su implementacin. Si bien puede iniciar la concienciacin sobre seguridad con un
gran evento, es igualmente importante que la seguridad siga siendo un asunto importante de
la agenda de la directiva y el personal. La seguridad es un modo de pensar de la compaa,
por lo que debe asegurarse de que las sugerencias sobre seguridad acerca del
mantenimiento de la concienciacin sobre este tema vengan de todas las personas de la
compaa. Consiga opiniones de todos los departamentos y de distintos tipos de usuarios,
especialmente, de los que trabajan fuera del entorno de la oficina.
Administracin de incidentes
Cuando se produce un ataque de ingeniera social, asegrese de que el personal de servicio
de ayuda sabe cmo tratarlo. Deben existir protocolos reactivos en los procedimientos
relacionados con la directiva de seguridad, pero la administracin de incidentes significa
que se usa el ataque para iniciar posteriores revisiones de la seguridad. La seguridad es ms
un viaje que un destino, ya que los vectores de ataque cambian.
Cada incidente proporciona nueva informacin para una revisin continua de la seguridad
en el modelo de respuesta a incidentes, que se muestra en la siguiente figura.
Figura 6. Modelo de respuesta a incidentes
Conforme se produzcan nuevos incidentes, el comit de control de seguridad revisar si

stos representan un riesgo nuevo o modificado para la compaa y crear o renovar las
directivas y los procedimientos segn esos datos. Todas las modificaciones que se realicen
en las directivas de seguridad deben cumplir con los estndares de administracin de
cambios de la compaa.
Para administrar un incidente, el personal del servicio de ayuda debe contar con un slido
protocolo de comunicacin de incidentes que registre la siguiente informacin:
Nombre de la persona objeto del ataque

Departamento objeto del ataque
Fecha
Vector de ataque
Descripcin del ataque
Resultado del ataque
Efecto del ataque
Recomendaciones
Al registrar los incidentes, se pueden identificar patrones y posiblemente adelantarse a

posteriores ataques. En el Apndice 1 del final del documento se ofrece una plantilla de
formulario con un informe de incidente.
Consideraciones operativas
Cuando se revisa la seguridad, puede existir la tendencia de convertirse en demasiado
sensible ante la ingente cantidad de posibles amenazas contra la empresa. La directiva de
seguridad debe mantener la idea de que su empresa est ah para hacer negocios. Si las
propuestas de seguridad afectan negativamente a la rentabilidad o al agilidad comercial de
la organizacin, tal vez tenga que volver a evaluar el riesgo. Debe lograr un equilibro entre
la seguridad y la operatividad.
Tambin es importante reconocer que una reputacin como compaa que se preocupa por
la seguridad puede tener ventajas comerciales. No desalentar a los piratas informticos,
pero, por su parte, mejorar el perfil comercial de la compaa con los clientes y socios.
Ingeniera social y el modelo de niveles de defensa en profundidad
El modelo de niveles de defensa en profundidad clasifica las soluciones de seguridad frente
a vectores de ataque (reas de debilidad) que los piratas informticos pueden usar para
amenazar a sus equipos. Estos vectores de ataque son:
Directivas, procedimientos y concienciacin. Reglas escritas que desarrolle para

administrar todas las reas de seguridad y el programa de enseanza que implante
para conseguir que los empleados conozcan, aprendan e implementen dichas reglas.
Seguridad fsica. Barreras que administran el acceso a sus instalaciones y recursos.
Es importante recordar este ltimo elemento; si coloca los contenedores de residuos
fuera de la compaa, por ejemplo, quedarn fuera de la seguridad fsica de la
compaa.
Datos. Informacin de la empresa: detalles de cuentas, correo, etc. Cuando tenga en
cuenta las amenazas de la ingeniera social, debe incluir tanto los materiales
impresos como en medios electrnicos en el planeamiento de la seguridad de los
datos.
Aplicacin. Programas ejecutados por los usuarios. Debe tratar el mtodo en que
los piratas informticos de ingeniera social pueden trastocar las aplicaciones, como
el correo electrnico y la mensajera instantnea.
Host. Servidores y equipos clientes que se usan en la organizacin. Ayudan a
asegurar que los usuarios estn protegidos frente a ataques directos en dichos
equipos al definir directrices estrictas sobre el software que se debe usar en los
equipos de la empresa y sobre cmo administrar los dispositivos de seguridad, como
Id. de usuario y contraseas.
Red interna. Red mediante la que se comunica el sistema informtico. Puede ser
local, inalmbrica o una red de rea extensa (WAN). La red interna cada vez es
menos interna en los ltimos aos, debido a los cada vez ms extendidos trabajo
mvil y en casa. Por lo tanto, debe asegurarse de que los usuarios entiendan lo que
deben hacer para trabajar de forma segura en todos los entornos de red.
Permetro. El punto de contacto entre las redes internas y externas, como Internet o
las redes que pertenecen a los socios comerciales, tal vez como parte de una
extranet. Los ataques de ingeniera social suelen intentar romper el permetro para
atacar los datos, aplicaciones y hosts mediante la red interna.
Figura 7. Modelo de defensa en profundidad
Cuando disee sus defensas, este modelo le ayudar a visualizar las reas de su empresa
que estn amenazadas. El modelo no es especfico de las amenazas de ingeniera social,
pero cada uno de los niveles debe contar con defensas frente a la ingeniera social.
Las defensas globales del modelo son: las directivas de seguridad, los procedimientos y la
concienciacin. Estas defensas van destinadas al personal de una organizacin, y en ellas se
explica qu hacer, cundo, por qu y quin debe hacerlo. Los dems niveles pueden ajustar
las defensas, pero la proteccin esencial proviene de contar con un conjunto de reglas bien
estructurado y conocido que proteja su entorno de TI.
Para obtener ms informacin acerca del modelo de defensa en profundidad, consulte el
tema Funcin SMF de administracin de la seguridad en Microsoft TechNet en la direccin
http://go.microsoft.com/fwlink/?linkid=37696 (puede estar en ingls).
Apndice 1: Listas de comprobacin de la directiva de seguridad para

amenazas de ingeniera social
Se present una serie de tablas para capturar las vulnerabilidades de la ingeniera social y
los requisitos de directiva de defensa en los documentos. En este apndice encontrar
versiones de plantillas de stas que podr copiar y rellenar.
Vulnerabilidades vectoriales de ataque de ingeniera social a compaas
Vector de ataque
Descripcin de uso de la compaa Comentarios
En lnea
Correo electrnico
Internet
Aplicaciones emergentes
Mensajera instantnea
Telfono
Central de conmutacin (PBX)
Servicio de ayuda
Gestin de residuos
Interno
Externo
Contactos directos
Seguridad fsica
Seguridad de la oficina
Otros/especficos de la compaa
Requisitos del comit de control de seguridad y matriz de riesgos

Vector de
ataque
Posible
requisito de
directiva
Tipo de riesgo Informacin

confidencial Credibilidad
comercial Disponibilidad
comercial Recursos Dinero
Nivel de
Accin
riesgo Alto
= 5 Bajo =
1
En lnea
Telfono
Gestin de
residuos
Contactos
directos
Otros/
especficos de
la compaa
Procedimiento del comit de control y documentos necesarios

Requisito de directiva Procedimiento / documento necesario Accin en / fecha
Lista de comprobacin de implementacin de la directiva de seguridad

Accin
Descripcin
Accin en /
fecha
Desarrollar directivas de seguridad en lnea

Desarrollar directivas de seguridad fsica
Desarrollar directivas de seguridad telefnica
Desarrollar directivas de seguridad de gestin de
residuos
Desarrollar directivas de administracin de seguridad del
servicio de ayuda
Desarrollar un modelo de respuesta a incidentes
Desarrollar una campaa de concienciacin
...
Informe de incidentes
Representante del servicio de ayuda
Nombre de la persona objeto del ataque
Departamento objeto del ataque
Fecha
Vector de ataque
Descripcin del ataque
Resultado del ataque
Efecto del ataque
Recomendaciones,
Apndice 2: Glosario
Trmino
acceso
software antivirus
Definicin
En el contexto de la privacidad, capacidad de un individuo de ver,
modificar y comprobar la precisin e integridad de la informacin
personal identificable recopilada sobre l o ella. El acceso forma
parte de las prcticas de informacin justas.
Programa informtico diseado para detectar y responder al
software malintencionado, como virus y gusanos. Entre las
respuestas se pueden incluir el bloqueo del acceso del usuario a los
ataque
autenticacin
autorizacin
administracin de
cambios
seguridad del
equipo
pirata informtico
descargar
extranet
firewall
malware
inicio de sesin de
red
contrasea
permisos
archivos infectados, la limpieza de los archivos o equipos

infectados o la notificacin al usuario que se detect un programa
infectado.
Intento deliberado de poner en peligro la seguridad de un sistema
informtico o de privar a los dems usuarios del uso del sistema.
Proceso de validacin de las credenciales de una persona, proceso
informtico o dispositivo. Para la autenticacin se necesita que la
persona, proceso o dispositivo que realiza la solicitud proporcione
una credencial que demuestre que se trata en realidad de la entidad
o persona que dice ser. Entre las formas habituales de credenciales
se incluyen las firmas digitales, las tarjetas inteligentes, los datos
biomtricos y una combinacin formada por los nombres de usuario
y sus contraseas.
Proceso por el que otorga a una persona, proceso informtico o
dispositivo acceso a determinada informacin, servicios o
funcionalidades. La autorizacin se obtiene de la identidad de la
persona, proceso informtico o dispositivo que solicita el acceso, lo
que se verifica mediante la autenticacin.
Prctica de administracin de cambios con la ayuda de mtodos y
tcnicas probados con el fin de evitar nuevos errores y reducir el
impacto de los cambios.
Proteccin de los activos de informacin mediante tecnologa,
procesos y aprendizaje.
Malhechor que entra en un equipo mediante estrategias tecnolgicas
y no de ingeniera social.
Transferir una copia de un archivo de un equipo remoto a un equipo
que realiza la solicitud mediante un mdem o una red.
Extensin de la intranet de una organizacin que se usa para
facilitar la comunicacin con los socios de confianza de la misma.
Una extranet permite que estos socios de confianza obtengan acceso
limitado a los datos comerciales internos de la organizacin.
Solucin de seguridad que segrega una parte de una red de otra, lo
que permite que slo pase el trfico de red autorizado segn unas
reglas de filtrado del trfico.
Software que cumple la intencin deliberada de un atacante de
producir daos cuando se ejecuta. Por ejemplo, los virus, gusanos y
caballos de Troya constituyen cdigo malintencionado.
Proceso de conexin a un equipo mediante una red. Normalmente,
el usuario inicia sesin de forma interactiva en un equipo local y, a
continuacin, proporciona las credenciales de inicio de sesin a otro
equipo de la red, como un servidor, que est autorizado a usar.
Cadena de caracteres que un usuario escribe para verificar su
identidad en una red o en un equipo local. Consulte tambin
contrasea segura.
Autorizacin para realizar operaciones relacionadas con un recurso
compartido especfico, como un archivo, un directorio o una
nmero de
identificacin
personal (PIN)
informacin
personal
identificable
informacin
personal
phreaker
timador
vulnerabilidad
fsica
privacidad
vulnerabilidad de
seguridad
correo no deseado
suplantar
software espa
contrasea segura
impresora. Los permisos los debe otorgar el administrador del

sistema a cuentas de usuario individuales o grupos administrativos.
Cdigo de identificacin secreto similar a una contrasea y que se
asigna a un usuario autorizado. El PIN se usa junto con una tarjeta
de cajero o inteligente, por ejemplo, para desbloquear una
funcionalidad autorizada, como el acceso a una cuenta bancaria.
Cualquier informacin relacionada con un individuo identificado o
identificable. Esta informacin puede incluir: el nombre, el pas, la
direccin postal, la direccin de correo electrnico, el nmero de la
tarjeta de crdito, el nmero de la Seguridad Social, el nmero del
documento nacional de identidad, la direccin IP o cualquier otro
identificador nico relacionado con esta informacin personal
identificable en otro sistema. Tambin conocida como informacin
personal o datos personales.
Consulte informacin personal identificable.
Usuario malintencionado que usa de forma no autorizada la central
de conmutacin (PBX) para realizar llamadas.
Usuario o sitio web malintencionado que engaa a las personas para
que revelen informacin personal, como las contraseas de sus
cuentas y los nmeros de sus tarjetas de crdito. Un timador suele
usar mensajes de correo electrnico engaosos o anuncios en lnea
como anzuelo para que los usuarios confiados usen sitios web
fraudulentos, donde se les engaa para que proporcionen
informacin personal.
Imposibilidad de proporcionar seguridad fsica a un equipo, como
dejar una estacin de trabajo en funcionamiento desbloqueada en un
rea de trabajo, lo que permite el acceso a la misma de usuarios no
autorizados.
Control que los clientes tienen sobre la recopilacin, uso y
distribucin de su informacin personal.
Vulnerabilidad del software que se soluciona con una actualizacin
de seguridad de Microsoft y un boletn de seguridad o Service Pack.
Mensajes de correo electrnico comercial no solicitado. Tambin
conocido como correo electrnico no deseado.
Hacer que una transmisin parezca provenir de un usuario que no es
el que realiz la accin.
Software que puede mostrar anuncios (como anuncios emergentes),
recopilar informacin sobre el usuario o incluso cambiar la
configuracin del equipo, generalmente sin obtener antes su
consentimiento.
Contrasea que ofrece una defensa efectiva frente al acceso no
autorizado a un recurso. Una contrasea segura tiene al menos 6
caracteres de longitud, no contiene ni la totalidad ni parte del
nombre de la cuenta de usuario y contiene al menos tres de las
cuatro categoras siguientes de caracteres: letras maysculas, letras
caballo de Troya
actualizacin
Id. del usuario

virus
vulnerabilidad
gusano
minsculas, dgitos en base 10 y smbolos del teclado como !, @ y

#.
Programa que parece ser til o inofensivo, pero que contiene cdigo
oculto diseado para explotar o daar el equipo en el que se ejecuta.
Los programas de caballos de Troya suelen llegar a los usuarios
mediante mensajes de correo electrnico que engaan sobre la
funcin y objetivo del programa. Tambin se denominan cdigo
troyano.
Paquete de software que sustituye a una versin instalada por una
ms reciente del mismo software. El proceso de actualizacin suele
dejar intactos los datos y preferencias existentes del cliente y slo
sustituye el software existente por el de una versin ms actual.
Nombre nico con el que un usuario puede iniciar sesin en un
equipo.
Cdigo escrito con la intencin especfica de autorreplicarse. Un
virus intenta propagarse de un equipo a otro adjuntndose a un
programa del host. Puede daar el hardware, el software o los datos.
Similar a un gusano. Consulte tambin la definicin proporcionada
por Virus Info Alliance (f-secure.com).
Cualquier debilidad, proceso o acto administrativo o exposicin
fsica que hace que un equipo pueda ser objeto de una amenaza.
Cdigo malintencionado que se autopropaga y que puede
distribuirse automticamente de un equipo a otro sin conexiones de
red. Un gusano puede realizar una accin daina, por ejemplo, usar
recursos del sistema local o de la red, lo que probablemente
provoque un ataque de denegacin de servicio. Similar a un virus.

Cómo Proteger La Información Confidencial de Las Amenazas de La Ingeniería Social

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cómo Proteger La Información Confidencial de Las Amenazas de La Ingeniería Social

Uploaded by

Copyright:

Available Formats

Cmo proteger la informacin confidencial

de las amenazas de la ingeniera social

Miembros del consejo de administracin

Amenazas y defensas de la ingeniera social

Muchos empleados reciben decenas e incluso cientos de mensajes de correo electrnico

En la siguiente figura se muestra un vnculo aparentemente vlido al sitio de administracin

Figura 1. Hipervnculo de suplantacin de identidad (phishing) mediante correo

Sin embargo, si observa ms detenidamente podr notar dos diferencias:

La mayora de las medidas de seguridad ayudan a mantener alejados a los usuarios no

El pirata informtico usa la tcnica de

El pirata informtico engaa a un usuario para

Archivos adjuntos en documentos.

Adems de estas directrices, debe incluir ejemplos de ataques de suplantacin de identidad

Figura 2. Hipervnculo de suplantacin de identidad (phishing) a una pgina web

El pirata informtico engaa a un usuario

El pirata informtico engaa a un usuario

Proteger a los usuarios de aplicaciones emergentes de ingeniera social es principalmente

inmediatez y la familiaridad de la mensajera instantnea la convierte en un lugar adecuado

Figura 3. Suplantacin mediante mensajera instantnea y correo electrnico

de direcciones en una compaa enviar invitaciones de contactos de mensajera instantnea

Si desea aprovechar la inmediatez y las reducciones de costos que puede proporcionar la

Estandarizar su uso en una sola plataforma de mensajera instantnea. Con

Ofrecer ayuda para el uso. Cree un conjunto de directrices de prcticas

Solicitar informacin, normalmente imitando a un usuario legtimo, ya sea para

Figura 4. Ataques telefnicos a centrales PBX

Las solicitudes de informacin o acceso telefnico constituyen una forma de ataque

El pirata informtico se hace pasar por un

Uso de la central PBX

El pirata informtico entra en los sistemas

La mayora de los usuarios no tienen ningn tipo de conocimientos sobre el sistema

El servicio de ayuda debe conseguir un equilibrio entre la seguridad y la eficacia comercial

El anlisis ilcito de los residuos, o bsqueda en contenedores, como se conoce

Informacin confidencial de la compaa. Triture todos los documentos

Para obtener ms informacin acerca del desarrollo de clasificaciones de datos, consulte el

Intimidacin. Este mtodo puede implicar la suplantacin de una figura de

Persuasin. Las formas ms habituales de persuasin suelen incluir la adulacin o

Especifique en la directiva de seguridad que el servicio de ayuda es el nico lugar al

No debe subestimar la importancia del servicio de ayuda a la hora de proporcionar una

El pirata informtico observa al usuario legtimo Informacin

El pirata informtico se hace pasar por un

El pirata informtico o el usuario local tiene

El pirata informtico obtiene acceso a un

Las defensas frente a estas amenazas dependen fundamentalmente de la implementacin de

Las instalaciones de la compaa

Sera imposible acceder a las instalaciones de una compaa si no se contara con la

Para asegurarse de que todas las personas se presentan al empleado de la recepcin, la

Figura 5. Diseo de la recepcin

El rea de recepcin de la izquierda permite a un visitante no autorizado seguir a una

Este ltimo punto es crucial. Es responsabilidad del grupo de servicios de TI asegurarse de

No siempre es necesario tener informacin o incluso conocer a un objetivo para usar la

El pirata informtico usa el Id. y la contrasea

El pirata informtico engaa a un usuario para

Defenderse frente a la ingeniera social inversa es probablemente el desafo ms difcil. El

Diseo de defensas frente a las amenazas de la ingeniera social

Crear un marco de administracin de la seguridad. Debe definir un conjunto de

Creacin de un marco de administracin de la seguridad

Un marco de administracin de la seguridad define una visin general de las posibles

Patrocinador de seguridad. Miembro de la directiva, probablemente del consejo,

Este grupo, el comit de control de seguridad, representa a los moderadores de la compaa.

adems de acceso al cliente de

Todos los departamentos

Todas las oficinas permanecen

Necesitamos ampliar los servicios

Actualmente no tenemos espacio