La ingeniería social y la seguridad

¿Que es ingeneria social?
Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosascadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
Técnicas de Ingeniería Social

Tres tipos, según el nivel de interacción del ingeniero social:
Técnicas Pasivas:
  • Observación
  • Técnicas no presenciales:
    • Recuperar la contraseña
    • Ingeniería Social y Mail
    • IRC u otros chats
    • Teléfono
    • Carta y fax
Técnicas presenciales no agresivas:
  • Buscando en La basura
  • Mirando por encima del hombro
  • Seguimiento de personas y vehículos
  • Vigilancia de Edificios
  • Inducción
  • Entrada en Hospitales
  • Acreditaciones
  • Ingeniería social en situaciones de crisis
  • Ingeniería social en aviones y trenes de alta velocidad
  • Agendas y teléfonos móviles
  • Desinformación
Métodos agresivos
  • Suplantación de personalidad
  • Chantaje o extorsión
  • Despersonalización
Presión psicológica

Ejemplos prácticos:

Ejemplo 1: Recibes un mensaje por e-mail, donde el remitente es el gerente o alguien en nombre del departamento de soporte de tu banco. En el mensaje dice que el servicio de Internet Banking está presentando algún problema y que tal problema puede ser corregido si ejecutas la aplicacion que está adjunto al mensaje. La ejecución de esta aplicación presenta una pantalla análoga a la que usted utiliza para tener acceso a la cuenta bancaria, esperando que usted teclee su contraseña. En verdad, esta aplicacion está preparada para robar tu contraseña de acceso a la cuenta bancaria y enviarla al atacante.


Ejemplo 2: Recibes un mensaje de e-mail , diciendo que tu computadora está infectada por un virus. El mensaje sugiere que instales una herramienta disponible en un sitio web de Internet para eliminar el virus de tu computadora. La función real de esta herramienta no es eliminar un virus, sino permitir que alguien tenga acceso a tu computadora y a todos los datos almacenados.


Ejemplo 3: Un desconocido llama a tu casa y dice ser del soporte técnico de tu proveedor de internet. En esta comunicacion te dice que tu conexión con internet está presentando algún problema y, entonces, te pide tu contraseña para corregirlo. Si le entregas tu contraseña, este supuesto técnico podrá realizar una infinidad de actividades maliciosas, utilizando tu cuenta de acceso internet y, por lo tanto, relacionando tales actividades con tu nombre.


Estos casos muestran ataques típicos de ingeniería social, pues los discursos presentados en los ejemplos buscan inducir el usuario arealizar alguna tarea y el éxito del ataque depende única y exclusivamente de la decisión del usuario en suministrar informacion o ejecutar programas. 

Sitios web asociados con la seguridad.

 La Agencia Española de Protección de Datos (AEPD), creada en 1993,es el organismo público encargado de velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal en España. Tiene su sede en Madrid y su ámbito de actuación se extiende al conjunto de España.
Es un ente de derecho público con personalidad jurídica propia y plena capacidad pública y privada que actúa con independencia de la Administración pública en el ejercicio de sus funciones. Su principal misión es velar por el cumplimiento de la legislación de protección de datos por parte de los responsables de los ficheros (entidades públicas, empresas privadas, asociaciones, etc.) y controlar su aplicación a fin de garantizar el derecho fundamental a la protección de datos personales de los ciudadanos. La AEPD lleva a cabo sus potestades de investigación fundamentalmente a instancias de los ciudadanos, aunque también está facultada para actuar de oficio. La Agencia es estatutaria y jerárquicamente independiente y se relaciona con el Gobierno a través del Ministerio de Justicia.
En España, además, existen agencias de protección de datos de carácter autonómico en Cataluña y en el País Vasco,con un ámbito de actuación limitado a los ficheros de titularidad pública declarados por las Administraciones autonómicas y locales de sus respectivas comunidades autónomas.

 La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD), es una Ley Orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor,intimidad y privacidad personal y familiar. Fue aprobada en las Cortes españolas el 13 de diciembre de 1999. Esta ley se desarrolla fundamentándose en el artículo 18 de laconstitución española de 1978, sobre el derecho a la intimidad familiar y personal y el secreto de las comunicaciones.
Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.
Esta ley afecta a todos los datos que hacen referencia a personas físicas registradas sobre cualquier soporte, informático o no. Quedan excluidas de esta normativa aquellos datos recogidos para uso doméstico, las materias clasificadas del estado y aquellos ficheros que recogen datos sobre Terrorismo y otras formas de delincuencia organizada (no simple delincuencia).
A partir de esta ley se creó la Agencia Española de Protección de Datos, de ámbito estatal que vela por el cumplimiento de esta normativa.

 Cyber Intelligence Sharing and Protection Act, mejor conocido como CISPA es un proyecto de ley en los Estados Unidos que permite el intercambio de información de tráfico de Internet entre el gobierno de EE.UU. y cierta tecnología y las empresas de manufactura. El objetivo declarado del proyecto es ayudar al gobierno estadounidense a investigar las amenazas cibernéticas y garantizar la seguridad de las redes contra los ataques cibernéticos.
CISPA ha ganado el apoyo de las corporaciones y los grupos de presión tales como Microsoft, Facebook y el de la Cámara de Comercio de EEUU, que ven en ella un medio simple y eficaz de compartir información importante sobre amenazas cibernéticas con el gobierno.
CISPA ha sido criticada por los defensores de la privacidad en Internet y las libertades civiles, como la Electronic Frontier Foundation, la American Civil Liberties Union, yAvaaz.org. Estos grupos argumentan CISPA contiene muy pocos límites sobre cómo y cuándo el gobierno puede controlar la información particular de la navegación en Internet. Además, temen que estas facultades podría ser utilizado para vigilar a la población en general en lugar de perseguir a los hackers maliciosos.
Algunos críticos vieron CISPA como un segundo intento de leyes digitales después de la lucha contra la piratería en línea Stop Online Piracy Act el robo de propiedad intelectual fue incluido inicialmente en el proyecto de ley como una posible causa para el intercambio de información de tráfico web con el gobierno, aunque fue eliminado en los borradores posteriores.
La legislación fue introducida el 30 de noviembre de 2011 por el representante Michael Rogers y 111 co-patrocinadores. Se aprobó en la Cámara de Representantes el 26 de abril de 2012 y actualmente se espera su llegada al Senado de los Estados Unidos. El presidente Barack Obama ha argumentado que el proyecto de ley carece de garantías de confidencialidad y de las libertades civiles, y ha amenazado con vetar la misma.

La Stop Online Piracy Act (Acta de cese a la piratería en línea) también conocida como Ley SOPA o Ley H.R. 3261; fue unproyecto de ley presentado en la Cámara de Representantes de los Estados Unidos el 26 de octubre de 2011 por el Representante Lamar S. Smith que tiene como finalidad expandir las capacidades de la ley estadounidense para combatir el tráfico de contenidos con derechos de autor y bienes falsificados a través de Internet.Las previsiones del proyecto incluyen la solicitud de una orden judicial para bloquear la publicidad y las redes de pago que proveen las ganancias del sitio infractor y el bloqueo de los resultados que conducen al sitio a través de los motores de búsqueda. Incluye además la posibilidad de conseguir una orden judicial para que los proveedores de Internet bloqueen el acceso al sitio infractor. La ley podría extender las existentes leyes penales, incluyendo al streaming de material con derechos como actitud que puede ser penalizada; e imponiendo una pena de hasta cinco años en prisión.
Quienes proponen la ley aducen que protegería al mercado de la propiedad intelectual y su correspondiente industria, empleos y beneficios, y que es necesaria para fortalecer las actuales leyes, haciéndolas más fuertes, ya que las actuales leyes presentan fallas por ejemplo al cubrir situaciones donde los sitios infractores se encuentran fuera del territorio de los Estados Unidos.
Los opositores afirman que la legislación propuesta amenaza la libertad de expresión, la inversión y las innovaciones en Internet, ya que capacita a la justicia a bloquear el acceso a un dominio completo por una infracción única en una única página web. Algunos opositores han demostrado preocupación creciente en cuanto a que la ley podría anular la protección de "puerto seguro" que actualmente ofrece la Digital Millennium Copyright Act para los sitios que ofrecen contenidos generados por los usuarios. Las asociaciones de bibliotecas han expresado preocupación con respecto a que el énfasis impuesto por la ley sobre los derechos de autor podría exponer a las bibliotecas a una persecución legal. Finalmente un último grupo de opositores considera que el requerimiento a que los motores de búsqueda eliminen a los dominios infractores podría llevar a una carrera armamentística de censura de alcance global, y que viola la Primera Enmienda a la Constitución de los Estados Unidos.



BIOGRAFIA
https://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_inform%C3%A1tica%29
http://hackstory.net/Ingenier%C3%ADa_social
http://www.informatica-hoy.com.ar/software-seguridad-virus-antivirus/Ingenieria-Social-Seguridad-Informatica.php
https://es.wikipedia.org/wiki/Ley_Org%C3%A1nica_de_Protecci%C3%B3n_de_Datos_de_Car%C3%A1cter_Personal_(Espa%C3%B1a)


Publicado por en
Etiquetas:

1 comentario:

  1. Unknown17 de marzo de 2016, 11:31

    Se puede incluir:Pasos para llevar a cabo un ataque por medio de Ingeniería social:

    Identificar a la víctima
    Reconocimiento
    Crear el escenario
    Realizar el ataque
    Obtener la información
    Salir

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)