Professional Documents
Culture Documents
Introduccin
Bienvenido a este documento de la coleccin Guas de seguridad para medianas empresas.
Microsoft espera que esta informacin le ayude a crear un entorno informtico ms seguro
y productivo.
Quin debera leer este artculo
Este artculo proporciona informacin sobre la administracin de seguridad de las
amenazas que suponen la ingeniera social y las defensas disponibles que permiten ayudar a
enfrentarse a los piratas informticos de la ingeniera social. La ingeniera social incluye
principalmente amenazas no tcnicas para la seguridad de la compaa. La amplia
naturaleza de estas posibles amenazas hace necesario el contar con informacin sobre las
amenazas y las posibles defensas a una amplia variedad de personal tcnico y de direccin
de una compaa, incluidos:
Informacin general
Para atacar a su organizacin, los piratas informticos de la ingeniera social se aprovechan
de la credulidad, pereza, buenas maneras o incluso el entusiasmo de su personal. Por tanto,
es difcil defenderse de un ataque de este tipo, ya que los destinatarios no se dan cuenta de
que los estn engaando o tal vez prefieran no admitirlo ante otras personas. Los objetivos
de un pirata informtico de ingeniera social, es decir, alguien que intenta conseguir acceso
no autorizado a sus sistemas informticos, son similares a los de cualquier otro pirata
informtico: desean obtener dinero, informacin o recursos de TI de su compaa.
Un pirata informtico de ingeniera social intenta persuadir a su personal para que le
proporcione informacin que le permitir usar sus sistemas o los recursos de stos.
Normalmente, este mtodo se conoce como engao por confianza. Muchas pequeas y
medianas empresas consideran que los ataques de los piratas informticos suponen un
problema para las grandes corporaciones u organizaciones que ofrecen importantes
recompensas. Si bien ste puede haber sido el caso en el pasado, el aumento de los delitos
por Internet hace que los piratas informticos ahora se dirijan a todos los sectores de la
comunidad, desde las corporaciones hasta los individuos. Los delincuentes pueden robar
directamente de una compaa, desviando fondos o recursos, pero tambin pueden usar a
sta como punto de partida para perpetrar delitos contra otros. Esto hace que las autoridades
encuentren ms dificultades para seguir la pista a estos delincuentes.
Para proteger a su personal de los ataques de ingeniera social, tiene que conocer los tipos
de ataque que puede sufrir, saber lo que quiere el pirata informtico y valorar lo que podra
suponer la prdida para su organizacin. Con estos datos, puede hacer ms estricta su
directiva de seguridad para que incluya defensas contra la ingeniera social. En este artculo
se asume que cuenta con una directiva de seguridad con objetivos, prcticas y
procedimientos que la compaa reconoce como elementos necesarios para proteger sus
activos de informacin, sus recursos y su personal frente a ataques tecnolgicos o fsicos.
Los cambios en la directiva de seguridad ayudarn al personal a contar con una gua acerca
de cmo reaccionar cuando se encuentren con una persona o una aplicacin que intenta
coaccionarlos o persuadirlos para que proporcionen recursos de la empresa o desvelen
informacin de seguridad.
Principio de la pgina
En lnea
Telefnicos
Gestin de residuos
Contactos directos
Ingeniera social inversa
Adems de reconocer estos puntos iniciales, tambin debe saber lo que el pirata informtico
espera obtener. Sus objetivos se basan en las mismas necesidades que nos guan a todos: el
dinero, el avance social y la autoestima. Los piratas informticos desean obtener dinero y
recursos, desean que se les reconozca en la sociedad o en su grupo y desean sentirse bien
con ellos mismos. Desgraciadamente, logran todo esto de forma ilegal robando o daando
los sistemas informticos. Los ataques de cualquier tipo le costarn dinero, al perder
ingresos, recursos, informacin, disponibilidad o credibilidad comercial. Cuando disee sus
defensas contra esas amenazas, debe calcular lo que le costar un ataque.
Amenazas en lnea
En nuestro mundo donde los negocios estn cada vez ms relacionados, el personal suele
usar y responder a solicitudes e informacin que recibe de forma electrnica tanto desde
dentro como desde fuera de la compaa. Esta conectividad permite a los piratas
informticos contactar con su personal desde el anonimato relativo de Internet. En
ocasiones habr odo hablar en la prensa de los ataques en lnea, como ataques por correo
electrnico, aplicaciones emergentes y mensajes instantneos que usan caballos de Troya,
gusanos y virus, a los que se conoce conjuntamente como malware, para daar o trastocar
los recursos informticos. Puede empezar a poder hacer frente a muchos de estos ataques de
malware mediante la implementacin de fuertes defensas antivirus.
Nota Para obtener ms informacin acerca de las defensas antivirus, consulte la Gua de
defensa en profundidad antivirus en http://go.microsoft.com/fwlink/?linkid=28732 (puede
estar en ingls).
El pirata informtico de ingeniera social persuade a un empleado para que le proporcione
informacin mediante una artimaa creble, en lugar de infectando un equipo con malware
mediante un ataque directo. Un ataque puede proporcionar informacin que permitir al
pirata informtico realizar un posterior ataque de malware, pero este resultado no es una
funcin de la ingeniera social. Por tanto, debe aconsejar a su personal sobre cmo poder
identificar mejor y evitar los ataques de ingeniera social en lnea.
Amenazas por correo electrnico
El texto del mensaje indica que el sitio es seguro, lo que viene denotado por https, si
bien la sugerencia de la pantalla muestra que el sitio usa realmente http.
El nombre de la compaa del mensaje es Contoso, pero el vnculo lleva a una
compaa denominada Comtoso.
Como indica el trmino suplantacin de identidad (phishing), estos mtodos suelen ser
especulativos y en ellos se realiza una solicitud genrica de informacin a un cliente. El
camuflaje realista que se usa en los mensajes de correo electrnico, con logotipos de
compaa, fuentes e incluso nmeros de soporte telefnico gratuito aparentemente vlidos,
hace que el mensaje parezca ms creble. En cada mensaje de suplantacin de identidad
(phishing) hay una solicitud de informacin del usuario, que suele proporcionar, a cambio,
un servicio adicional o una actualizacin. Una extensin de la suplantacin de identidad
(phishing) es el spear-phishing, en el que se contacta con una persona o grupo
departamental explcitos. Este mtodo es mucho ms sofisticado, porque se necesita
informacin personal y relevante de la compaa para conseguir que el engao sea creble.
Para l se necesitan ms conocimientos sobre la persona objeto del ataque, pero con l se
puede obtener informacin ms detallada y especfica.
El mensaje de correo electrnico tambin puede llevar hipervnculos que pueden tentar a un
empleado a incumplir la seguridad de la compaa. Como se muestra en la Figura 1, los
vnculos no siempre llevan al usuario a la ubicacin esperada o prometida. El pirata
informtico cuenta con una serie de opciones adicionales en el mensaje de correo
electrnico de suplantacin de identidad (phishing), incluidas imgenes que son
hipervnculos que descargan malware, como virus o software espa, o texto que se presenta
en una imagen con el fin de eludir los filtros de seguridad de los hipervnculos.
Robo de
informacin
financiera
Descarga de
malware
Descarga de
software del
pirata informtico
Descripcin
El pirata informtico se hace pasar por (suplanta
a) un usuario interno para obtener informacin
de la compaa.
Costo
Informacin
confidencial
Credibilidad
comercial
Dinero
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Credibilidad
comercial
Recursos
Credibilidad
comercial
Dinero
Al igual que en la mayora de los engaos de confianza, puede conseguir resistirse a los
ataques de piratas de ingeniera social de forma ms efectiva mediante una actitud de
prudencia ante cualquier mensaje inesperado que reciba en la bandeja de entrada. Para que
se implante este mtodo en una organizacin, debe incluir en la directiva de seguridad unas
directrices especficas sobre uso del correo electrnico que incluyan:
Los dos mtodos ms habituales de engaar a un usuario para que haga clic en un botn de
un cuadro de dilogo son el advertir de un problema, por ejemplo, mostrando un mensaje
de error de la aplicacin o del sistema operativo realista, u ofreciendo servicios adicionales,
por ejemplo, una descarga gratuita que haga que el equipo del usuario vaya ms rpido.
Para los usuarios de TI y web experimentados, estos mtodos pueden parecer engaos
clarsimos. Sin embargo, para los usuarios no experimentados, estas aplicaciones o cuadros
de dilogo emergentes pueden ser intimidatorios o atractivos.
Tabla 2. Ataques en lnea mediante aplicaciones y cuadros de dilogo emergentes y
costos
Objetivos de los
ataques
Robo de informacin
personal
Descarga de malware
Descarga de software
del pirata informtico
Descripcin
El pirata informtico solicita informacin
personal de un empleado
Costo
Informacin
confidencial
Dinero
(empleado)
Disponibilidad
comercial
Credibilidad
comercial
Recursos
Credibilidad
comercial
Dinero
El pirata informtico (de color rojo) se hace pasar por otro usuario conocido y enva un
mensaje de correo electrnico o de la mensajera instantnea que el destinatario asumir
que procede de alguien conocido. La familiaridad hace que se relajen las defensas del
usuario, por lo que es mucho ms probable que ste haga clic en un vnculo o abra un
archivo adjunto de alguien que conozca o que crea conocer. La mayora de los proveedores
de mensajera instantnea permiten la identificacin de los usuarios segn la direccin de
correo electrnico, lo que permite a un pirata informtico que ha identificado un estndar
Descarga de
software del pirata
informtico
Descripcin
Los piratas informticos usan la suplantacin
por mensajera instantnea para hacerse pasar
por un compaero de trabajo y solicitar
informacin de la compaa.
El pirata informtico engaa a un usuario para
que haga clic en un hipervnculo o abra un
archivo adjunto y, de esta forma, infecte la red
de la compaa.
El pirata informtico engaa a un usuario para
que haga clic en un hipervnculo o abra un
archivo adjunto y, de esta forma, descargue un
programa suyo, como un motor de correo, que
use recursos de la red de la compaa.
Costo
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Credibilidad
comercial
Recursos
Credibilidad
comercial
Dinero
Amenazas telefnicas
El telfono ofrece un vector de ataque excelente para los piratas informticos de ingeniera
social. Se trata de un medio familiar, pero tambin impersonal, ya que la persona objeto del
ataque no puede ver al pirata informtico. Las opciones de comunicacin de la mayora de
los sistemas informticos tambin pueden convertir a la central de conmutacin (PBX) en
un objetivo atractivo. Otro ataque, tal vez muy rudimentario, es el robo de PIN de tarjetas
telefnicas o de crdito en cabinas telefnicas. Este ataque suele realizarse como robo a una
persona, pero las tarjetas de crdito de las compaas son igualmente tiles. La mayora de
las personas saben que tienen que ser prudentes ante los fisgones en los cajeros
automticos, pero la mayora suele tener menos precaucin cuando usan un PIN en una
cabina telefnica.
El sistema de voz sobre IP (VoIP) es un mercado en desarrollo que ofrece reducciones de
costos a las compaas. Actualmente, debido al relativamente reducido nmero de
instalaciones, las actividades de piratas informticos sobre VoIP no se considera una
amenaza importante. Sin embargo, conforme cada vez ms empresas usan esta tecnologa,
la suplantacin mediante VoIP puede generalizarse tanto como lo est ahora en el correo
electrnico y en mensajera instantnea.
Central de conmutacin (PBX)
El pirata informtico que ataca una central PBX tiene tres objetivos principales:
Cada uno de estos objetivos supone un tema distinto, en el que el pirata informtico llama a
la compaa para intentar obtener los nmeros de telfono que proporcionan acceso directo
a una central PBX o mediante una central PBX a la red telefnica pblica. El trmino que
se usa para este hecho es phreaking. El mtodo ms habitual consiste en que el pirata
informtico finja ser un tcnico telefnico, que solicita lnea exterior o una contrasea para
analizar y resolver los problemas indicados en el sistema telefnico interno, como se
muestra en la siguiente figura.
Solicitud de
informacin telefnica
Descripcin
El pirata informtico se hace pasar por un
usuario legtimo para obtener informacin
confidencial.
Costo
Informacin
confidencial
Credibilidad
comercial
Recursos
Dinero
Descripcin
El pirata informtico se hace pasar por un
usuario legtimo para obtener informacin de la
empresa.
El pirata informtico se hace pasar por un
usuario legtimo para obtener acceso de
seguridad a los sistemas comerciales.
Costo
Informacin
confidencial
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Recursos
Dinero
El analista del servicio de ayuda debe asegurarse de que se realiza una pista de
auditora de todas las acciones. Si un pirata informtico consigue obtener acceso no
autorizado a informacin o recursos mediante una llamada al servicio de ayuda,
dicho servicio debe registrar todas las actividades para que se pueda reparar o
limitar de forma rpida cualquier dao o prdida. Si cada llamada desencadena un
mensaje de correo electrnico automatizado o manual que indique el problema o
solicitud, tambin ser ms fcil para un empleado que sufriera un robo de identidad
darse cuenta de lo sucedido y llamar al servicio de ayuda.
El analista del servicio de ayuda debe contar con un procedimiento bien
estructurado sobre cmo tratar los distintos tipos de llamadas. Por ejemplo, si el jefe
del empleado debe enviar por correo electrnico solicitudes de cambio de acceso,
no debe producirse ningn cambio informal o no autorizado en los niveles de
seguridad.
Si los usuarios son conscientes de estas reglas y la directiva apoya su implementacin, los
piratas informticos lo tendrn mucho ms difcil a la hora de conseguir sus objetivos o
pasar inadvertidos. La pista de auditora de 360 grados es la herramienta ms valiosa para
evitar y detectar actos ilcitos.
Amenazas en la gestin de residuos
Restos de papel en
papeleras internas
Residuos de
medios electrnicos
Descripcin
El pirata informtico toma el papel de
contenedores externos para robar cualquier
tipo de informacin relevante de la
compaa.
El pirata informtico toma el papel de las
papeleras internas de la oficina, eludiendo
cualquier directriz de gestin externa de
residuos de papel.
El pirata informtico roba informacin y
aplicaciones de medios electrnicos
desechados. El pirata informtico tambin
roba el propio medio.
Costo
Informacin
confidencial
Credibilidad
comercial
Informacin
confidencial
Credibilidad
comercial
Informacin
confidencial
Recursos
Credibilidad
comercial
Su personal debe comprender las implicaciones que tiene el arrojar residuos de papel o
medios electrnicos a una papelera o contenedor. Una vez que los residuos salen del
edificio, su propiedad puede entrar en un vaco legal. La bsqueda en contenedores tal vez
no se considere ilegal en todas las circunstancias, por lo que debe asegurarse de que
aconseja a su personal sobre cmo tratar los residuos. Triture los documentos y borre o
destruya los medios magnticos que vaya a desechar. Si algn residuo es lo demasiado
grande o rgido como para poderlo destruir en una trituradora, como una agenda telefnica,
o tcnicamente el usuario no lo puede destruir, se deber crear un protocolo especfico para
su desecho. Tambin debe colocar los contenedores en una zona segura a la que no pueda
acceder todo el mundo.
Cuando disee una directiva de gestin de residuos, es importante que se asegure de que
cumple con la normativa local sobre seguridad. Tambin puede ser una buena medida desde
el punto de vista social adoptar estrategias de gestin de recursos que respeten el
medioambiente.
Adems de la gestin de residuos externos (el papel o los medios electrnicos que se
puedan enviar a personas externas a la compaa) tambin debe gestionar los residuos
internos. Las directivas de seguridad no suelen tener en cuenta este asunto, porque se suele
asumir que cualquier persona que tenga acceso a la compaa debe ser de confianza. Est
claro que ste no es siempre el caso. Una de las medidas ms efectivas a la hora de
gestionar los residuos de papel es la especificacin de una clasificacin de datos. Puede
definir distintas categoras de informacin en papel y especificar cmo debe desechar el
personal los residuos en cada caso. Entre las categoras de ejemplo se podran incluir:
La mayora de las personas asumen que cualquiera que les hable es una persona de
confianza, lo que es interesante ya que es un hecho que la mayora de las personas admite
que se mienten a s mismas. The Lying Ape: An Honest Guide to a World of Deception (El
mono mentiroso: una gua honesta en un mundo de engaos), Brian King, Icon Books
Limited. La confianza total es uno de los objetivos de un pirata informtico de ingeniera
social.
Es muy difcil defender a los usuarios frente a estos tipos de contactos directos. Algunos
usuarios tienen una predisposicin natural a que la ingeniera social use uno de estos cuatro
ataques. La defensa frente a un ataque por intimidacin es el resultado de una cultura sin
miedo dentro de una empresa. Si el comportamiento habitual es la educacin, se reduce el
xito que tendr la intimidacin, ya que es ms probable que los empleados consulten las
situaciones polmicas. Una actitud de apoyo en la directiva y funciones de supervisin que
busquen la consulta de problemas y la toma de decisiones es lo peor con lo que se puede
encontrar un pirata informtico de ingeniera social. Su objetivo consiste en alentar a los
destinatarios del ataque a tomar una decisin rpida. Si el problema se consulta a una
autoridad superior, es mucho menos probable que consigan su objetivo.
La persuasin siempre ha sido un mtodo muy usado por los humanos para lograr objetivos
personales. No puede conseguir esto sin ms de sus empleados, pero puede proporcionar
una gua firme sobre lo que un individuo debe y no debe hacer. El pirata informtico
siempre preguntar o crear una situacin en la que un usuario ofrece voluntariamente
informacin restringida. Su mejor defensa son las campaas de concienciacin continuadas
y la ayuda bsica sobre dispositivos de seguridad como las contraseas.
Los piratas informticos necesitan tiempo para congraciarse con los usuarios. Tendrn que
contactar habitualmente, probablemente asumiendo el papel de un compaero de trabajo.
Para la mayora de las medianas empresas, la principal amenaza de un compaero de
trabajo procede del personal de contratas o de servicio habitual. El grupo de recursos
humanos debe tener la misma precaucin al investigar los antecedentes del personal de
contratas que al hacerlo con el personal fijo. Puede encargar la mayor parte de este trabajo
al contratista. Para asegurarse de que esta empresa realiza un trabajo efectivo, puede pedirle
que cumpla con sus propias directivas de investigacin de antecedentes que se aplica al
personal fijo. Si un pirata informtico de ingeniera social consigue un puesto fijo en la
compaa, la mejor defensa sera la concienciacin del personal y su cumplimiento de las
reglas de la directiva de seguridad sobre la seguridad de la informacin.
Finalmente, los ataques de ayuda se pueden reducir si cuenta con un servicio de ayuda
efectivo. El recurrir a la ayuda de alguien interno suele ser el resultado de una
animadversin hacia los servicios de soporte existentes de la compaa. Debe aplicar dos
elementos para asegurarse de que el personal contacta con el servicio de ayuda en lugar de
con un experto interno no autorizado o, lo que es peor an, un experto externo a la
compaa:
Si bien estos mtodos tienen muchos ms riesgos para el que los perpetra, las ventajas son
obvias. El pirata informtico puede obtener un acceso sin lmites a equipos de la compaa,
en cualquier defensa de permetro tecnolgica que exista.
El aumento del uso de tecnologas mviles, que permite a los usuarios conectarse a redes
corporativas mientras se encuentran de viaje o en sus casas, suponen otra importante
amenaza para los recursos de TI de la compaa. Los posibles ataques en este campo
incluyen el ataque de observacin ms sencillo, en el que un pirata informtico observa por
detrs de un usuario de un equipo mvil en un tren para ver su Id. de usuario y contrasea,
hasta ataques ms sofisticados donde un tcnico de servicio muy solcito entrega e instala
un lector de tarjetas o una actualizacin de enrutador para poder obtener acceso a la red de
la empresa pidiendo el Id. de usuario, su contrasea y, tal vez, un caf. Un pirata
informtico concienzudo incluso podra solicitar al usuario una firma de autorizacin; ahora
ya tiene la firma del usuario. Entre estos tipos de ataques se incluyen amenazas como
vecinos que usan el ancho de banda que paga la compaa para tener acceso a Internet
mediante una LAN inalmbrica desprotegida.
Si bien la mayora de las grandes empresas cuentan con infraestructuras de seguridad para
sus instalaciones altamente desarrolladas, las oficinas ms pequeas, de tamao medio, tal
vez no pongan tantos impedimentos para el acceso a sus instalaciones. El seguimiento, en el
que una persona no autorizada sigue a alguien que tiene un pase para entrar a una oficina,
es un ataque de ingeniera social muy sencillo. El intruso abre la puerta, que el usuario
autorizado traspasa y, a continuacin, el primero inicia una conversacin sobre el tiempo o
un partido del fin de semana mientras pasan juntos por el rea de recepcin. Este mtodo no
funcionara en una gran compaa, donde cada persona tendra que pasar su tarjeta por un
torniquete o en una pequea compaa donde todos se conocen. Sin embargo, es
perfectamente vlido en una compaa con mil empleados, donde es habitual que un
empleado no conozca a todos los dems. Si el impostor hubiera obtenido acceso
anteriormente a la informacin de la compaa, como nombres de departamentos, nombres
de empleados o algn otro tipo informe interno, la conversacin de distraccin sera ms
creble.
La seguridad de los trabajadores en casa suele estar limitada a la tecnologa. La directiva de
seguridad debe exigir que los firewalls garanticen que los piratas informticos externos no
puedan tener acceso a las redes. Aparte de este requisito, la mayora de las medianas
empresas permiten que sus empleados que trabajan en casa se ocupen de su propia
seguridad e incluso de las copias de seguridad.
Tabla 7. Ataques con acceso fsico y costos
Objetivos de los
ataques
Robo de la
identidad del
usuario mvil
Descripcin
Costo
Robo de la
identidad del
usuario que trabaja
en casa
Contacto directo
con la red
mediante la red
del trabajador en
casa
Informacin
confidencial
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Recursos
Acceso
continuado a la
red del trabajador
en casa
Acceso a las
oficinas de la
compaa sin
compaa
Dinero
Recursos
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Dinero
Acceso de un
individuo a una
oficina de la
compaa
Recursos
Informacin
confidencial
Recursos
Dinero
Pases con identificacin fotogrfica, que se deben mostrar cada vez que un
empleado entre o salga del edificio.
Un libro de visitas firmado por el visitante y autorizado por el empleado al que
visita tanto al llegar como al salir.
Pases de visita con fecha visibles en todo momento y que se deben devolver en la
recepcin al salir.
Un libro de contratistas firmado por el contratista y autorizado por el empleado que
autoriz su trabajo al llegar y salir.
Pases de contratistas con fecha visibles en todo momento y que se deben devolver
en la recepcin al salir.
Cada accin de soporte tcnico, ya sea una solucin in situ o una actualizacin, debe
estar planeada y autorizada por el personal de soporte tcnico.
Los contratistas y el personal interno que realizan tareas in situ de mantenimiento o
de instalaciones deben tener una identificacin, que incluya preferiblemente una
fotografa.
El usuario debe contactar con el departamento de soporte de TI para indicarles
cundo llega el tcnico y cundo finaliza el trabajo.
Cada puesto tiene una hoja correspondiente, que firma el usuario.
El usuario nunca debe proporcionar informacin de acceso personal ni iniciar sesin
en el equipo para proporcionar acceso a un tcnico.
Descripcin
El pirata informtico recibe el ID. y la contrasea
de un usuario autorizado.
Costo
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial
Dinero
Robo de
informacin
Recursos
Informacin
confidencial
Dinero
Recursos
Credibilidad
comercial
Descarga de
malware
Descarga de
software del
pirata
informtico
Disponibilidad
comercial
Disponibilidad
comercial
Credibilidad
comercial
Recursos
Credibilidad
comercial
Dinero
Descripcin de uso de la
compaa
Todos los usuarios tienen
Microsoft Outlook en sus
equipos de escritorio.
Los usuarios mviles tienen
Outlook Web Access (OWA)
Comentarios
Telfono
Central de
conmutacin
(PBX)
Servicio de
ayuda
Gestin de
residuos
Interno
Externo
Contactos
directos
Seguridad fsica
Seguridad de la
oficina
Trabajadores en
casa
Otros,
especficos de la
compaa
Franquicias
internas
Actualmente no se implementa
ninguna barrera tecnolgica
contra los elementos emergentes.
La compaa permite el uso no
administrado de una serie de
productos de mensajera
instantnea.
Actualmente el servicio de
ayuda es una funcin de soporte
informal que ofrece el
departamento de TI.
No tenemos protocolos de
mantenimiento in situ para los
trabajadores en casa.
Cuando el comit de control de seguridad conozca bien las vulnerabilidades, podr crear
una tabla Vulnerabilidades vectoriales de ataque de ingeniera social a compaas (como se
Informacin confidencial
Credibilidad comercial
Disponibilidad comercial
Recursos
Dinero
Debe establecer prioridades mediante la identificacin del riesgo y el clculo del costo que
implica su mitigacin; si mitigar un riesgo es ms caro que el propio riesgo, puede que
dicho costo no sea justificable. La fase de evaluacin de riesgos puede resultar muy til en
el desarrollo final de la directiva de seguridad.
Por ejemplo, el comit de control de seguridad puede resaltar al personal de recepcin el
peligro para la seguridad que suponen los visitantes. En el caso de una compaa que no
espera ms de 20 visitantes a la hora, no hay necesidad de tener que pensar en algo ms
sofisticado que un(a) recepcionista, un libro de firmas y algunos pases de visitantes
numerados. Sin embargo, en el caso de una compaa que espera 150 visitas a la hora,
puede que sea necesario ms personal de recepcin o terminales de registro de autoservicio.
Si bien la compaa ms pequea no podra justificar los costos de estos terminales, la
compaa grande no podra justificar el costo de la prdida de actividad debido a largas
esperas.
Por otro lado, una compaa que nunca tenga visitas ni personal contratista puede
considerar que existe un riesgo mnimo de dejar documentos en una ubicacin central
mientras esperan a ser recogidos. Sin embargo, una compaa que tenga una gran nmero
de personas que no sean empleados puede considerar que tiene que salvar el riesgo
comercial que presentara que hubiera informacin confidencial en una impresora mediante
la instalacin de dispositivos de impresin locales en cada puesto de trabajo. La compaa
puede obviar este riesgo mediante la estipulacin de que un miembro del personal
acompae a un visitante durante su visita. Esta solucin es mucho menos cara, excepto,
posiblemente en trminos de tiempo del personal.
Segn la evaluacin comercial de la matriz Vulnerabilidades vectoriales de ataque de
ingeniera social a compaas, el comit de control de seguridad podr definir los requisitos
de directivas, los tipos y niveles de riesgo para la compaa, como se muestra en la
siguiente tabla.
Tabla 10. Requisitos del comit de control de seguridad y matriz de riesgos
Vector de
ataque
Posible requisito de
directiva
Conjunto escrito de
directivas de seguridad
frente a la ingeniera
social
Cambios para crear la
parte de cumplimiento de
la directiva del contrato
del empleado estndar
Cambios para crear la
parte de cumplimiento de
la directiva del contrato
del contratista estndar
En lnea
Correo
electrnico
Internet
Aplicaciones
emergentes
Mensajera
instantnea
Tipo de riesgo
Informacin
confidencial
Credibilidad
comercial
Disponibilidad
comercial Recursos
Dinero
Nivel de Accin
riesgo
Alto = 5
Bajo =
1
Telfono
Central de
conmutacin
(PBX)
Servicio de
ayuda
Gestin de
residuos
Papel
Medios
electrnicos
Contactos
directos
Seguridad
fsica
Seguridad de
la oficina
Trabajadores
en casa
Otros/
especficos de
la compaa
Franquicias
internas
Directiva sobre la
administracin del
soporte de centrales PBX
Directiva para permitir el
acceso a los datos
Directiva para la
administracin de visitas
Directiva para la
administracin de Id. de
usuario y contraseas: no
escribir las contraseas
en una nota adhesiva ni
pegarla a la pantalla, por
ejemplo.
Directiva para el uso de
equipos mviles fuera de
la compaa
Procedimiento / documento
necesario
Ninguna
1. Texto para los requisitos
de nuevos contratos (legal)
2. Nuevo formato para los
contratos de los
contratistas
1. Procedimiento para la
firma a la llegada y salida
de los visitantes
2. Procedimiento para el
acompaamiento a los
visitantes
1. Procedimiento para el
desecho de los residuos de
papel (consulte Datos)
2. Procedimiento para el
desecho de los medios
Accin /
fecha
electrnicos (consulte
Datos)
Directiva para permitir el acceso a los
datos
Directiva para la gestin de residuos de
papel
Directiva para la gestin de los
materiales de residuo de medios
electrnicos
Directiva para el uso de Internet, con una
atencin especial en lo que hacer con
cuadros de dilogo inesperados
Directiva para la administracin de Id.
de usuario y contraseas: no escribir las
contraseas en una nota adhesiva ni
pegarlas a la pantalla, etc.
Directiva para el uso de equipos mviles
fuera de la compaa
Directiva para tratar los problemas
relacionados con la conexin a
aplicaciones relacionadas (bancarias,
financieras, de compra, de
administracin de existencias)
Como puede ver, esta lista puede ser muy larga. Puede decidir contratar ayuda
especializada para agilizar este elemento del proceso. El comit de control de seguridad
debe centrarse en las reas que considere de gran importancia, segn el proceso de
evaluacin de riesgos.
Principio de la pgina
conozca la directiva, aprenda por qu existe y sepa cmo debe reaccionar ante un posible
ataque. El elemento clave de un ataque de ingeniera social es la confianza; la persona
objeto del ataque confa en el pirata informtico. Para enfrentarse a este tipo de ataque,
debe estimular a que haya un saludable escepticismo entre su personal sobre cualquier cosa
que se salga de lo normal y conseguir que stos confen en la infraestructura de soporte de
TI de la compaa.
Los elementos de una campaa de concienciacin dependen de cmo se transmite la
informacin al personal de la compaa. Puede optar por un aprendizaje estructurado,
reuniones menos formales, campaas con psteres u otros eventos para anunciar las
directivas de seguridad. Cuanto ms refuerce los mensajes de sus directivas, ms exitosa
ser su implementacin. Si bien puede iniciar la concienciacin sobre seguridad con un
gran evento, es igualmente importante que la seguridad siga siendo un asunto importante de
la agenda de la directiva y el personal. La seguridad es un modo de pensar de la compaa,
por lo que debe asegurarse de que las sugerencias sobre seguridad acerca del
mantenimiento de la concienciacin sobre este tema vengan de todas las personas de la
compaa. Consiga opiniones de todos los departamentos y de distintos tipos de usuarios,
especialmente, de los que trabajan fuera del entorno de la oficina.
Administracin de incidentes
Cuando se produce un ataque de ingeniera social, asegrese de que el personal de servicio
de ayuda sabe cmo tratarlo. Deben existir protocolos reactivos en los procedimientos
relacionados con la directiva de seguridad, pero la administracin de incidentes significa
que se usa el ataque para iniciar posteriores revisiones de la seguridad. La seguridad es ms
un viaje que un destino, ya que los vectores de ataque cambian.
Cada incidente proporciona nueva informacin para una revisin continua de la seguridad
en el modelo de respuesta a incidentes, que se muestra en la siguiente figura.
Consideraciones operativas
Cuando se revisa la seguridad, puede existir la tendencia de convertirse en demasiado
sensible ante la ingente cantidad de posibles amenazas contra la empresa. La directiva de
seguridad debe mantener la idea de que su empresa est ah para hacer negocios. Si las
propuestas de seguridad afectan negativamente a la rentabilidad o al agilidad comercial de
la organizacin, tal vez tenga que volver a evaluar el riesgo. Debe lograr un equilibro entre
la seguridad y la operatividad.
Tambin es importante reconocer que una reputacin como compaa que se preocupa por
la seguridad puede tener ventajas comerciales. No desalentar a los piratas informticos,
pero, por su parte, mejorar el perfil comercial de la compaa con los clientes y socios.
Ingeniera social y el modelo de niveles de defensa en profundidad
El modelo de niveles de defensa en profundidad clasifica las soluciones de seguridad frente
a vectores de ataque (reas de debilidad) que los piratas informticos pueden usar para
amenazar a sus equipos. Estos vectores de ataque son:
Cuando disee sus defensas, este modelo le ayudar a visualizar las reas de su empresa
que estn amenazadas. El modelo no es especfico de las amenazas de ingeniera social,
pero cada uno de los niveles debe contar con defensas frente a la ingeniera social.
Las defensas globales del modelo son: las directivas de seguridad, los procedimientos y la
concienciacin. Estas defensas van destinadas al personal de una organizacin, y en ellas se
explica qu hacer, cundo, por qu y quin debe hacerlo. Los dems niveles pueden ajustar
las defensas, pero la proteccin esencial proviene de contar con un conjunto de reglas bien
estructurado y conocido que proteja su entorno de TI.
Para obtener ms informacin acerca del modelo de defensa en profundidad, consulte el
tema Funcin SMF de administracin de la seguridad en Microsoft TechNet en la direccin
http://go.microsoft.com/fwlink/?linkid=37696 (puede estar en ingls).
Principio de la pgina
Vector de ataque
Descripcin de uso de la compaa Comentarios
En lnea
Correo electrnico
Internet
Aplicaciones emergentes
Mensajera instantnea
Telfono
Central de conmutacin (PBX)
Servicio de ayuda
Gestin de residuos
Interno
Externo
Contactos directos
Seguridad fsica
Seguridad de la oficina
Otros/especficos de la compaa
Posible
requisito de
directiva
Nivel de
Accin
riesgo Alto
= 5 Bajo =
1
En lnea
Telfono
Gestin de
residuos
Contactos
directos
Otros/
especficos de
la compaa
Descripcin
Accin en /
fecha
Apndice 2: Glosario
Trmino
acceso
software antivirus
Definicin
En el contexto de la privacidad, capacidad de un individuo de ver,
modificar y comprobar la precisin e integridad de la informacin
personal identificable recopilada sobre l o ella. El acceso forma
parte de las prcticas de informacin justas.
Programa informtico diseado para detectar y responder al
software malintencionado, como virus y gusanos. Entre las
respuestas se pueden incluir el bloqueo del acceso del usuario a los
ataque
autenticacin
autorizacin
administracin de
cambios
seguridad del
equipo
pirata informtico
descargar
extranet
firewall
malware
inicio de sesin de
red
contrasea
permisos
nmero de
identificacin
personal (PIN)
informacin
personal
identificable
informacin
personal
phreaker
timador
vulnerabilidad
fsica
privacidad
vulnerabilidad de
seguridad
correo no deseado
suplantar
software espa
contrasea segura
caballo de Troya
actualizacin
vulnerabilidad
gusano