Fundamentos de la ingeniería social para IT

Información ante las modas de la ingeniería social

¡Prueba gratis durante 10 días

nuestros 1150 cursos !

Prueba gratis Mostrar modalidades de suscripción
Hay que mantenerse actualizado e informado sobre los ataques que están de moda, investigar qué le pasa al resto de empresas de nuestro sector y de nuestro tipo para aprender antes de que nos ocurra a nosotros mismos.

Transcripción

La información es poder y es la recompensa de los ingenieros sociales, es tanto su objetivo como su alimento para continuar profundizando en sus ataques. Pero la información también sirve para la seguridad y para la defensa. Todo conocimiento es bueno y si la educación y la asignación de responsabilidades hace eficiente nuestra seguridad y nuestro trabajo, la información nos mantiene actualizados. Las investigaciones en ingeniería social avanzan día a día, aunque los resultados suelen ser cambios mínimos sobre los fundamentos originales. Lo que sí se va actualizando es la imaginación de los que la practican a la hora de inventar nuevos pretextos, tanto para ataques presenciales como para los realizados a través de phishing. De hecho, la especialización de phishing ha derivado en nombres como spear-phising, para ataques a objetivos concretos, "whale phishing" o fraude al CEO cuando el objetivo específico es un directivo de alto nivel. Cuando el phishing no usa el correo electrónico como plataforma, sino las llamadas de voz recibe el nombre de "vishing", que es la conjunción de 'voice' –voz en inglés– y phishing. En el caso del phishing mediante SMS o mensajería instantánea se le da el nombre de "smishing", por SMS + phishing. No es que los nombres de las distintas técnicas sean información relevante, son solo datos. La información, lo que es realmente útil, es descubrir que una técnica de ataque es lo suficientemente efectiva y común como para que alguien se invente un nombre y la comunidad de profesionales de la seguridad lo asimile dentro de su vocabulario. Otro tipo de información relevante es la que afecta a cuestiones puramente técnicas y de la que en principio solo necesitará nutrirse el departamento de administración de sistemas e informática. Estos profesionales deben saber qué herramientas, tanto hardware como software, hay en el mercado, qué versiones de firmware, software o sistema operativo utilizan y cuando hay nuevas actualizaciones. Cada nueva actualización de cualquier tipo de software suele incluir un archivo de cambios, conocido en inglés como "change log". Ahí se indica qué cosas cambian al actualizar a la nueva versión y suele incluir información sobre las vulnerabilidades que han sido solucionadas. Está bien saber que una vulnerabilidad ha sido solventada, pero el siguiente paso debería ser investigar si dicha vulnerabilidad ha podido afectar a la infraestructura informática de nuestra compañía en el pasado. Obviamente, también existen repositorios públicos de vulnerabilidades en sistemas o aplicaciones cuyos fabricantes aún no han solucionado; conocerlas puede ayudar a implementar soluciones alternativas que reduzcan las oportunidades de que un atacante las aproveche antes de disponer de una actualización. Una herramienta de gran utilidad son los boletines informativos. En ellos podemos compartir con toda la plantilla de nuestra empresa cómo se están desarrollando los ataques que sufren otras empresas, sean o no del mismo sector. No se trata de desentrañar los medios técnicos, casi nadie lo leería en ese caso, pero sí las fugas de información producidas, los daños económicos y de reputación que esas empresas han sufrido. Eso ayuda a mantener la conciencia de seguridad alerta. Dentro de esos boletines, se pueden incluir también información sobre campañas de malware, que se estén desarrollando en ese momento. Lo más común son campañas de phishing. Y los boletines informarían sobre las identidades que suplantan los atacantes y cómo detectar si el remitente es la verdadera empresa o un ciberdelincuente. Existen ferias, conferencias y convenciones de seguridad, muchas de ellas disponibles incluso en tiempo real mediante streaming de audio o de vídeo. En esos eventos se comentan muchos casos reales y se ofrecen soluciones prácticas a distintos tipos de riesgos. Otra forma de mantenerse informados es acudir a fuentes autorizadas de información. En la actualidad, casi todos los países tienen observatorios de ciberdelincuencia. En ellos colaboran organismos públicos, cuerpos policiales e incluso entidades privadas. Estos observatorios y muchas empresas privadas publican en blogs y redes sociales información sobre nuevas amenazas, también disponen de newsletters e incluso manuales con consejos sobre seguridad en distintos escenarios. Toda esa información puede ayudarnos a mejorar o desarrollar nuestra seguridad y a concienciar a nuestros compañeros y familias sobre la importancia de preservar la privacidad y la confidencialidad de la información. Mi consejo es seleccionar una serie de fuentes fiables, limitada, que informe pero no sature. Debemos disponer de tiempo para procesar la información que recibimos y para estudiar si es de aplicación y cómo a nuestra empresa. No debemos "infoxicarnos" con exceso de newsletters, blogs y noticias sobre seguridad, puesto que además de caer en la paranoia, no tendríamos tiempo para trabajar.

Fundamentos de la ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.