El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Ingeniería social para IT

Nada tan urgente como para hacer las cosas sin pensar

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Si no eres cirujano en una mesa de operaciones, nada requiere tanta celeridad que no podamos pensar un segundo en ello. Debemos impedir que el atacante desactive nuestras defensas recurriendo a nuestros instintos.

Transcripción

"Las prisas no son buenas consejeras" o "Vísteme despacio, que tengo prisa" son dos refranes que ilustran lo negativo que es actuar de forma acelerada y sin meditar. Si nuestro ego y nuestra ambición son defectos de la personalidad que en mayor o menor medida pueden afectarnos a todos, las prisas son llamadas a nuestro instinto, cuyo propósito es impedir que meditemos racionalmente sobre las circunstancias que rodean las decisiones que tenemos que tomar. Un ingeniero social que busque manipularnos o influir en nuestra toma de decisiones puede recurrir a menudo al miedo o el coste de oportunidad. Si el ataque toma como base el miedo, nos obligará a tomar decisiones de forma acelerada para evitar problemas graves que supuestamente pueden sobrevenirnos. Por ejemplo, cuando el atacante simula ser miembro del equipo de soporte técnico de una empresa y nos alerta de un problema de malware en nuestra computadora, nos urgirá a que le ayudemos a solucionarlo rápidamente, incluso sugerirá que él no quiere tener que decir que un peligroso malware se propagó por las computadoras de la oficina desde la nuestra porque no fuimos cooperativos cuando nos ofreció una solución. Cuando dudemos, nos meterá más prisas, nos indicará que el malware está activo y que pueden perderse muchos datos. No se trata de no dejar trabajar a los técnicos de soporte, sino de saber que se trata realmente de quienes dicen ser y dejar registro del hecho, por si acaso. Otra de las urgencias más claras tiene que ver con tareas de mantenimiento, supuestos operarios de limpieza o mantenimiento que tienen que solucionar una crisis urgente. Como podemos ver, las prisas casi siempre se asocian al miedo: una tubería que puede reventar, una plaga de insectos en el despacho del jefe, una supuesta inspección fiscal, sanitaria o cualquier otra. Para obtener acceso físico mediante las prisas, los atacantes suelen recurrir al miedo y a la autoridad, que muchas veces en la mente de la gente están ligeramente entremezcladas. Un verdadero inspector de la especialidad que sea podrá sentirse molesto si le hacemos esperar, pero como son conocedores de que también hay estafadores, permitirán que comprobemos la autenticidad de sus credenciales. Mi recomendación es que seamos siempre educados a la hora de verificar identidades y motivaciones, no es bueno para el negocio enfadar o molestar a clientes, proveedores o inspectores de la administración pública. Otro de los ataques que recurren a la urgencia es el fraude al CEO o "whale phishing". En estos casos, el ingeniero social se hace pasar por un ejecutivo de alto rango que requiere de la ayuda de alguien que trabaja en un puesto jerárquicamente inferior. Normalmente necesitará que le envíe cierta documentación urgente para continuar con una negociación que tiene entre manos, o que realice una transferencia rápidamente para evitar una subida de precios de una compra que tiene pendiente. Cualquier excusa es válida, siempre que el contexto implique urgencia y dificultad para verificar la orden por conducto reglamentario. Para esto, el atacante puede recurrir a contactar fuera de horario o en momentos en los que sabe que el inmediato superior de la víctima no está disponible. Igual que en otros casos, el atacante intentará generar ansiedad en su víctima por la urgencia de que le ayude, mientras que por otro lado le recordará que su servicio es tan importante que seguro que los jefes lo tendrán en cuenta positivamente por haber actuado con iniciativa propia. Volviendo al refranero, las prisas no son buenas consejeras, nada es tan urgente. De nuestra empresa de calzados o nuestro negocio de diseño de páginas web no va a depender el futuro de la humanidad. Así que podemos tomarnos cinco o diez minutos, antes de tomar cualquier decisión de la que nos podamos arrepentir. Debemos tener siempre en cuenta que cada puesto de trabajo tiene, o debería tener, unas responsabilidades asignadas. Cualquier cosa que se nos exija y que no esté incluida en ese listado de tareas o decisiones de los que la empresa nos hace responsables debe ser trasladado a quien corresponda según el organigrama empresarial. No se trata de escurrir el bulto o de estar poco comprometido, se trata de que cada trabajador, desde los subcontratados hasta los directivos de la empresa, estén verdaderamente implicados en sus áreas de responsabilidad. No significa que no se pueda ayudar a otros compañeros o departamentos, pero no debemos tomar decisiones sobre cuestiones cuyo contexto desconocemos, porque nuestra información estará sesgada por la falta de perspectiva y manipulada en el caso de ataque de un ingeniero social. Así que cuando algo es importante además de urgente, mejor que lo gestione el responsable del área al que afecta para que su decisión sea lo más óptima posible para el bien de la empresa.

Ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.