Ataques de Ingeniería Social
¿Qué es la Ingeniería Social?
¿QUÉ ES LA INGENIERÍA SOCIAL?
La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información que les permitan realizar daños a la persona u organismo comprometidos. El principio que sustenta la ingeniería social es el de que, en cualquier sistema, los usuarios son el «eslabón débil».
¿CÓMO EVITAR LA INGENIERÍA SOCIAL EN LA EMPRESA?
En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar sus credenciales de acceso o información sensible, confidencial o crítica.
Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
• La ingeniería Social está definida como un ataque basado en engañar a un usuario o administrador de un sitio en la internet, para poder ver la información que ellos quieren.
• Se hace para obtener acceso a sistemas o información útil.
• Los objetivos de la ingeniería social son fraude, intrusión de una red.
¿CÓMO FUNCIONA LA INGENIERÍA SOCIAL?
El pretexto es la creación de un escenario inventado para llevar a la víctima a revelar información personal o a actuar de una forma que sería poco común en circunstancias normales. Una mentira elaborada implica a menudo una investigación previa de la víctima para conseguir la información necesaria, y así llevar a cabo la suplantación (por ejemplo, la fecha de nacimiento, el número de la Seguridad Social, datos bancarios, etc.) y hacerle creer que es legítimo.
El pretexto también se puede utilizar para suplantar a compañeros de trabajo, a la policía, al banco, a autoridades fiscales o cualquier otra persona que podría haber percibido el derecho a la información en la mente de la víctima. El «Atacante» simplemente debe preparar respuestas a preguntas que se puede plantear la víctima. En algunos casos, todo lo que necesita es una voz que inspire autoridad, un tono serio y la capacidad de improvisar para crear un escenario pretextual.
BENEFICIOS DE EVITAR ATAQUES DE INGENIERÍA SOCIAL
Gracias a este tipo previsiones evitamos ataques de ingeniería social sobre todo de cara a los propios usuarios que son considerados el eslabón débil en un sistema de seguridad informática. Para ello realizamos simulaciones controladas para concienciarles en materia de ciberseguridad y ver la efectividad de los usuarios de cara a futuros ataques de ingeniería social.
Auditoría Perimetral
Se realiza desde el exterior del perímetro de seguridad para descubrir vulnerabilidades que pueden ser explotadas remotamente.
Auditoría Seguridad Web
La auditoría web es una auditoría externa, ya que la evaluación será únicamente de la página o App web que posea la organización.
Adaptación de la Empresa al RGPD
Para aquéllos que estén obligados y no la tengan implantada puede ser un buen momento para adaptarse al nuevo RGPD.
Ataques de Ingeniería Social
La Ingeniería Social es una técnica que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información para realizar daños a la persona u organismo comprometidos.
Auditoría Interna
Se realiza desde dentro de la organización, partiendo de la propia red local o corporativa del cliente para contrastar su nivel de seguridad.
Auditoría Dispositivos Móviles
El objetivo es evaluar el nivel de riesgo en la seguridad de los dispositivos móviles de la organización.
Delegado de Protección de Datos
Será obligatorio en actividades del responsable que consistan en operaciones que requieran un tratamiento sistemático y a gran escala.
Auditorías de Protección de Datos RGPD
Realizar un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Auditoría WIFI
Se realiza a una red inalámbrica, tanto dentro como fuera de la organización del cliente para detectar vulnerabilidades.
Análisis Informático Forense
Nuestros informes periciales buscan recopilar aquellas evidencias digitales válidas que puedan ser tenidas en cuenta en un proceso judicial.
Diseño Web y Adaptación al RGPD y LSSI
Tener una página web o tienda online es necesario cumplir una serie de requisitos legales que hay que adaptar al RGPD y LSSI para estar en Internet.