Ingeniería social para IT

El chantaje dentro de la ingeniería social

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Aunque no es lo más recomendable, el chantaje es una herramienta perfectamente válida para un atacante si le permite obtener su objetivo sin correr riesgos, por eso hay que evitar ponernos en esa situación.

Transcripción

Una de las formas menos sutiles de ingeniería social es la manipulación, y el más extremo de los ejemplos de manipulación es el chantaje. Al fin y al cabo la ingeniería social trata de conseguir que alguien haga algo que el ingeniero quiere, sea o no para beneficio de quien lo hace. Como cualquier cosa en la vida, hay quien actúa con cierta elegancia, que en el caso que nos ocupa sería influyendo, y quien está más orientado al objetivo sin importar demasiado el medio, que serían los manipuladores. El caso más extremo sería el chantaje. Pero ¿por qué funciona el chantaje? ¿Por qué es tan difícil no ceder ante estas situaciones? Pues por el miedo al despido, a la denuncia, a la vergüenza, sobre todo a la vergüenza. En los casos de ingeniería social, el chantaje suele sustentarse en algún tipo de información vergonzante relativa al sujeto chantajeado. Ante la posibilidad de que el atacante desvele información secreta, la víctima hará lo que el atacante le indique. Las posibilidades de protección ante el chantaje son muy dependientes del tipo de chantaje y de la personalidad de la víctima. Partamos de un ejemplo en el que el atacante desea instalar un programa malicioso en una computadora de nuestra empresa y para ello recurre al chantaje de un empleado. Le entrega un USB a un empleado con privilegios de instalación y le amenaza con revelar un secreto. Si es lo suficientemente importante quizás coopere con el atacante. Para chantajear al empleado, puede recurrir a cualquier tipo de información que no quiere que sea desvelada, ya sea en general o a un grupo específico de personas. Y ese es el verdadero problema. Tanto el argumento de la extorsión como la amenaza pueden comprender al ámbito privado de la víctima, aunque la acción exigida sea contra la empresa para la que trabaja. Tan solo en el caso de que la actividad descubierta por el chantajista sea del círculo interno de la empresa, podrá ser prevista. Por ejemplo, si todos nuestros empleados tienen contrato, nadie podrá chantajearnos con una inspección laboral. Por eso es importante que las empresas cumplan con la normativa, no solo porque es correcto, sino porque no hacerlo puede suponer un problema mucho más grave. Debemos tener en cuenta que si el argumento de chantaje es del tipo legislativo o normativo, como por ejemplo impuestos, sobornos a clientes, seguridad laboral, el responsable de dichos secretos tendrá una alta responsabilidad en la empresa, por lo que la contrapartida que le pueda exigir el atacante también tendrá más alcance. Si la información atañe a la vida privada de los miembros de la empresa, la cosa se complica. Hay personas que tienen amantes fuera del núcleo familiar, personas que deciden llevar su orientación sexual en secreto, quienes realizan actividades que no están bien vistas por su círculo familiar o de amistades y tantos otros ejemplos que no tienen por qué estar en absoluto relacionados con la vida profesional, pero que pueden llevar a un trabajador o socio de una empresa a traicionarla por salvaguardarlos. En estos casos hay dos factores importantes a considerar. El primero es que nuestros trabajadores sean conscientes de lo importante que es la protección de su propia intimidad, tanto para ellos mismos como para la empresa a la que representan. Por eso hay que tener cuidado con lo que se desea mantener en secreto y hacerlo de verdad, sin resquicios. El segundo remedio es procedimental: cuanto más definidos estén los protocolos de acción en nuestra empresa, cuanto más registros de autoría y acciones tengamos sobre las actividades que realizamos, más difícil será no descubrir las acciones de alguien chantajeado o incluso disuadirle de cumplir con el encargo de quién le amenaza. Hay ocasiones en las que el chantajeado va a cometer la acción contra la empresa incluso a sabiendas de que va a ser descubierto. En esos casos, lo que necesitamos es un buen protocolo de gestión de riesgos para poder recuperarnos del daño que pueda causarnos un sabotaje interno. El último grupo de argumentos de chantaje es el de los trabajadores o socios de la empresa que realizan algún tipo de actividad contraria a los intereses de la empresa, como robar material o pasar información a la competencia. Si un atacante descubre esta situación, podría usarla para extorsionar a esa persona, obligándola a llevar a cabo más acciones contra la empresa. Igualmente, la solución está en que los protocolos de seguridad de la empresa impidan no solo las agresiones externas, también las internas. En resumen, debemos mantener lo que queremos que sea secreto en verdadero secreto y al mismo tiempo no realizar acciones legales o ilegales que puedan ser esgrimidas por terceros como argumentos de chantaje. Dado que normalmente las operaciones de ingeniería social buscan obtener información para posteriores ataques, hablaríamos de serias amenazas. Serían operaciones directamente delictivas y de un riesgo tan alto que no deberían compensar la información que desee obtenerse.

Ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.