Ingeniería social para IT

Lo que nadie te va a pedir, o mejor, te debería pedir

¡Prueba gratis durante 10 días

nuestros 1240 cursos !

Prueba gratis Mostrar modalidades de suscripción
Hay cosas que nunca te va a preguntar alguien que de verdad busca ayudarte. Tenemos que estar siempre atentos a los cuántos individuales de información que revelamos, porque quizás sólo uno de ellos era el buscado y ha pasado desapercibido.

Transcripción

El propósito principal de la Ingeniería social es obtener información para generar inteligencia sobre personas o empresas. Obviamente, cuanto más confidencial sea la información, mejor. Si disponemos de un plan de gestión de riesgos en nuestra empresa, cosa que deberíamos considerar muy seriamente, si no lo tenemos ya, habremos identificado la información cuya filtración puede suponer problemas para nuestra empresa. Pues resumiendo mucho, nunca deberíamos filtrar nada de esa lista de información confidencial del plan de gestión de riesgos. Una de las solicitudes más clásicas en ingeniería social que recibimos mediante correos electrónicos de phishing es el cambio de contraseña para nuestra cuenta bancaria. Esto es algo que en ningún contexto imaginable nos va a preguntar un banco, no importa si es para una cuenta bancaria personal o para una empresa, el único dato que puede publicarse de una cuenta sin temer ningún riesgo es el número de la misma y porque sirve para que nos ingresen dinero, no para retirarlo. Evidentemente no es necesario publicarlo a los cuatro vientos, pero lo incluimos en facturas sin problemas. Del mismo modo que los datos bancarios son algo que jamás nos va a preguntar nuestro banco, ninguna empresa que de servicios online nos va a pedir jamás las credenciales ni por teléfono ni por correo electrónico y he dicho nunca, jamás. Da igual que se trate del correo electrónico del alojamiento de la página web de la empresa o de una red social, nunca van a pedirnos las contraseñas de nuestra cuenta. En caso de que la olvidemos, tendremos que recurrir a la herramienta de recuperación de contraseñas y si el servicio sufre algún tipo de problema, como robo de credenciales de usuarios, lo que harán será bloquear las cuentas afectadas y pedirnos que generemos una contraseña nueva como si hubiésemos olvidado la que teníamos. En ningún caso las empresas conocen, o mejor dicho deberían conocer, nuestras contraseñas, ya que deben guardarse encriptadas. Por eso nunca las pedirán y por eso jamás debemos dárselas a nadie. Las contraseñas, más allá de otras consideraciones, nunca deben ser compartidos por quienes no deben acceder a aquello que protegen. Y si se comparten, la empresa debe tener constancia registrada de qué personas conocen esa contraseña compartida para, en caso de filtración, conocer su fuente. Los datos de red e informáticos de nuestra empresa deben ser confidenciales, datos como direcciones IP de nuestra red, la arquitectura de la misma, la marca y modelo de equipos como el rooter, el switch o el firewall deben ser tan privados como sea posible, de esta forma evitaremos que un posible atacante conozca los entresijos de nuestra red y le resulte más fácil desarrollar ataques de penetración. Esa información debe estar únicamente al alcance del servicio informático de nuestra empresa, sea propio o subcontratado. Además, las versiones de software que utilizamos de sistemas operativos y otras cuestiones similares pueden filtrarse, entre otras formas, con metadatos de archivos compartidos. Para limitar estas fugas, lo mejor es no compartir archivos cuyos metadatos filtren este tipo de información, salvo que sea imprescindible. Por ejemplo, los documentos PDF son mucho más fáciles de limpiar de metadatos que los documentos de Microsoft word y la mayor parte de los documentos que una empresa comparte con terceros no tienen por qué ser modificados, ya que se trata de facturas, contratos, etc. Así que mejor enviarlos en formato PDF sin metadatos que en formato de Word. Los datos privados del personal de una empresa, tales como nombres, teléfonos particulares, direcciones y otros son datos confidenciales, primero porque son datos privados de la persona, y segundo porque la interactuación de una empresa con clientes o con otra empresa es a nivel profesional, por lo que no debe inferir en la vida privada de los trabajadores. Debemos siempre recordar que todos somos potenciales víctimas, tanto en la vida privada como en la profesional, y que una puede afectar a la otra, por lo que si la empresa no filtra datos de sus trabajadores, no solo les ayuda a ellos también se ayuda asimismo. La presencia o ausencia de una persona en la empresa, así como su localización es una información que debe ser confidencial en la medida de lo posible, un compañero no tiene por qué revelar la presencia o ausencia de otro a personas ajenas a la empresa, si no es imprescindible. Y bajo ninguna circunstancia, en caso de viajes, se debe revelar ni el destino ni el calendario de viaje, ya que la ausencia de un empleado puede ser utilizada para usurpar su identidad, para emplear técnicas de fraude al CEO simulando ser la persona ausente o incluso para intentar acceder físicamente al área de trabajo de esa persona que está de viaje sin que esta pueda percatarse. Como individuos, tampoco debemos compartir información personal y relevante para nuestra vida privada en entornos públicos, por ejemplo fechas de cumpleaños en redes sociales, el nombre de nuestra mascota si nos lo pregunta un desconocido de buenas a primeras, etc. Debemos tener en cuenta que ese tipo de datos que parecen irrelevantes son usados muy a menudo para contraseñas y para preguntas de seguridad, y conociendo esa información, el atacante puede construir un diccionario de posibles contraseñas con el que intentar acceder a nuestras cuentas. En resumen, no debemos responder a ninguna pregunta que nos haga un extraño y cuya respuesta sea innecesaria para la relación entre dicha persona y nuestra empresa.

Ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.