miércoles, julio 14, 2010

Como defenderse de la Ingeniería Social?


Esta es la segunda entrega sobre la Ingeniería Social, y en la primera se le definió como la manipulación de la tendencia humana a confiar en los demás con el propósito de obtener información que otorgue el acceso a información valiosa.

Por donde empezar? Definición de Políticas de Seguridad

Los ataques de ingeniería social pueden tener dos aspectos diferentes: el físico o el sitio donde se realiza el ataque, como los puestos de trabajo, en línea, al atender el teléfono, el Dumpster diving o búsqueda en la basura, la suplantación, y la amistad; así que para combatir la ingeniería social hay que fortalecer ambas debilidades, teniendo como uno de sus mayores componentes el entrenamiento a los empleados. La base de una buena defensa esta cimentada en la correcta definición de unas políticas y procedimientos de seguridad El error mas común de las organizaciones es planear únicamente como defenderse en el sitio de trabajo, lo cual deja abierta una brecha enorme que aprovechan los atacantes con la ingeniería social. Así las cosas, para empezar hay que entender desde la Gerencia o Dirección de la Organización que todo el dinero que se invierta en parches de seguridad, hardware de seguridad, auditorias, etc, serán una pérdida de dinero sino se acompaña de las mencionadas políticas y procedimientos de seguridad para proteger a la Organización. Una de las ventajas de establecer políticas de seguridad es eliminar responsabilidades de los usuarios para eventualmente atender una solicitud de un atacante. Si la acción solicitada por el atacante esta prohibida dentro de una política, el empleado no tiene alternativa diferente a ignorar tal solicitud.

Políticas adecuadas pueden ser generales o especificas, pero es ideal manejar un término medio, dando una flexibilidad para un adecuado desempeño de las actividades pero aun asi, buscando evitar que los empleados se relajen con las prácticas de seguridad que deben ejecutar diariamente. Las políticas de seguridad deben involucrar controles de acceso a la información, creación de cuentas de usuario, permisos de acceso, y cambios de contraseñas entre otras. Puertas aseguradas, utilización de carnets de la empresa y un destructor de papeles (inclusive de CDs y DVDs) tienen que ser implementados y utilizados. Cualquier violación que se presente de las políticas debe ser estudiada, publicada y eliminada.

Previniendo vulnerabilidades de Seguridad Física

En teoría la seguridad física debería impedir cualquier fuga de información, pero tratando de cumplir con dicho cometido, hay que tomar precauciones adicionales. Toda persona que ingrese a las instalaciones debe portar en un lugar visible su carnet de funcionario o de visitante SIN EXCEPCIONES. Todos los documentos que contengan información sensible deben ser almacenados bajo llave, y sus llaves deben ser también almacenadas en lugares seguros. Los documentos que contengan información sensible y que deban ser desechados deben ser procesados en una trituradora de papel. Todos los medios de almacenamiento digital que se vayan a desechar deben ser desechados quizás contratando una empresa que los destruya (claro esta, suscribiendo un acuerdo de confidencialidad). Las canecas de basura deben mantenerse bajo llave en aéreas que estén monitoreadas por los servicios de seguridad con que cuente la Organización.

Hablando sobre los equipos dentro de la Organización (incluyendo equipos remotos) necesitan estar protegidos con salvapantallas protegidos con contraseñas (Futura entrada del blog), y no esta de mas contar con programas de encriptación de datos para una teórica máxima protección.

Teléfonos y Conmutadores

Una estafa común es hacer llamadas a través de los teléfonos o conmutadores (PBX) de una organización. Los atacantes pueden realizar una llamada haciéndose pasar por un funcionario, pedir que sea transferido a una línea externa y desde esta hacer llamadas a todo el mundo las cuales tendrá que pagar la Organización que fue víctima del engaño. Esto puede ser prevenido con la implementación de políticas que prohíban la transferencia de llamadas, restringiendo las llamadas de larga distancia y rastreando llamadas sospechosas. Si se llega a recibir una llamada de una persona argumentando ser empleado de la empresa de teléfonos y que además solicita algún password para obtener acceso a la red de la Organización, CUIDADO, está mintiendo!!! Todos los empleados deben ser informados de esta modalidad de estafa para evitar ser víctimas de esta táctica.

Como se menciono en la entrada previa de Ingeniería Social, los Help Desk son las presas favoritas de los atacantes principalmente por que su trabajo es divulgar información de utilidad para los usuarios. La mejor manera de proteger un Help Desk es el entrenamiento. Los empleados de un Help Desk siempre deben rechazar cualquier solicitud de entregar un password por teléfono o email, únicamente en persona a las personas autorizadas. La devolución de llamadas, el uso de tokens de seguridad y el uso de passwords son recomendaciones que incrementaran los niveles de seguridad. Cuando se presenten dudas, a los empleados de los Help desk se les alienta a pedir apoyo, o también a decir simplemente "no".


Entrenar, Entrenar y Re-entrenar

La importancia de entrenar a los empleados no solo recae en el Help Desk sino en toda la organización. Los empleados tienen que ser entrenados en como identificar información que se deba considerar como confidencial, y entender por completo sus responsabilidades para protegerla. Una organización para ser exitosa debe involucrar la seguridad en todos los puestos de trabajo que genere. Todos los empleados de la Organización deben entender por que es crucial clasificar la información como confidencial, como esto beneficia a la Organización, y les da sentido de responsabilidad en la seguridad de la organización.

Todos los empleados deben ser entrenados en cómo mantener la información segura. Hay que involucrarlos en el alcance de la política de seguridad. Se debe exigir que todos los empleados nuevos asistan a una capacitación en seguridad. Actualizaciones anuales refrescan conocimientos y suministran actualizaciones en temas de seguridad. Otra manera de involucrar a los empleados es mediante la realización de boletines mensuales con reportes de los incidentes de seguridad que se puedan presentar, que hayan ocurrido o que se hayan evitado. Esto mantiene a los empleados informados sobre los peligros que representa bajar la guardia en la gestión de la seguridad. Una mezcla ideal de entrenamiento combina la realización de videos, boletines, afiches, señales, fondos de pantalla, pad mouse, emails, calcomanias e inclusive camisetas; pero hay algo importante al respecto: todo esto debe ser cambiado con cierta regularidad o de lo contrario dejara de tener valor para los empleados.

Detectar ataques de Ingeniería Social

Para frustrar un ataque de Ingeniería Social, es muy útil poder reconocer uno de ellos. Síntomas de que se está potencialmente siendo víctima de uno de estos ataques es rehusarse a dar información de contacto, pedir ser atendidos con la mayor rapidez posible, mencionar el nombre de algún funcionario de alto rango dentro de la organización, intimidación, pequeños errores de ortografía, preguntas inapropiadas, y claro está, pedir información confidencial. Hay que estar atento a situaciones que estén fuera de lugar, hay que intentar pensar como el atacante: para entender al enemigo, hay que pensar como el.

Las organizaciones pueden ayudar a incrementar la seguridad realizando programas de prevención, utilizando medios como la intranet para enviar emails informativos, juegos de entrenamiento en seguridad (sopa de letras, crucigramas, etc) y requerimientos obligatorios de cambios de contraseñas cada cierto periodo de tiempo. El mayor riesgo en seguridad es que los empleados se vuelvan complacientes en el tema y dejen de lado las prácticas de seguridad.

Defenderse de ataques de Ingeniería Social

En el evento de que un empleado detecte algo extraño, el o ella necesitara conocer los procedimientos para reportar el incidente. Es necesario que exista una persona que se responsabilice por la gestión de tales incidentes, por ejemplo un Oficial de Seguridad de la Información si la Organización cuenta con uno de ellos. También es importante que el empleado que detecte la situación la comunique a todos los demás empleados que tengan sus mismas funciones pues también podrían ser víctimas de ese ataque. De alli en adelante, el encargado de la seguridad de la información coordinara la respuesta adecuada al incidente detectado.

A continuación, un listado de los ataques más comunes y algunas estrategias para prevenirlos:
  • Al teléfono: Suplantación de Identidad, para impedirla hay que entrenar a los empleados para que nunca entreguen información confidencial por teléfono.
  • Acceso a las instalaciones: Acceso no autorizado, para prevenirlo hay que disponer de un equipo de vigilantes mezclado con entrenamiento en seguridad para todos los empleados
  • En la oficina: Shoulder surfing, Se evita teniendo precaución al escribir usuarios y/o contraseñas cuando alguien este observando, o si hay que hacerlo, que sea muy rápido!!!
  • En los Help Desk: Suplantación de identidad, para minimizar este riesgo hay que asignarle a cada empleado un PIN o token de seguridad que pueda utilizarse para comprobar la identidad de la persona que llama.
  • En las instalaciones de la oficina: Visitantes sin acompañamiento de ningún funcionario, para evitar problemas se debe exigir acompañamiento en todo momento a los visitantes cuando estén en las instalaciones de la Organización.
  • Centros de Cómputo: Intentos de acceso, de extraer equipos o de ingresar elementos que puedan capturar información confidencial. Se recomienda contar con un centro de cómputo bajo llave permanentemente, de preferencia con controles de acceso biométricos, y tener un inventario actualizado de todos los equipos que se encuentren allí almacenados.
  • Canecas de basura: Se debe tener la basura en cuartos con llave, monitoreadas por las fuerzas de seguridad de la organización, se debe contar con trituradoras de papel, y de procedimientos de borrado de información adecuados.
  • Intranet/Internet: Inserción de keyloggers para obtener nombres de usuario y contraseñas, para evitarlo hay que hacer rutinas de mantenimiento de las redes, así como dar entrenamientos a los empleados en la creación de contraseñas.
Prevención Realista

Como es de suponer, la prevención real es una tarea de enormes proporciones, y una gran cantidad de organizaciones no disponen de los recursos humanos o financieros para poseer todas las medidas de control mencionadas previamente. La amenaza es real, así que lo más recomendable es aprovechar los recursos con los que se cuente, manteniendo la moral alta y un buen ambiente de trabajo sin sacrificar la seguridad. Cambiando levemente las reglas del juego, los intrusos no podrán cumplir con su cometido.

4 comentarios:

Jean Carlo T. dijo...

¡Muy bien artículo! Gracias por la información.

Jorge Fernando Rodriguez dijo...

exelente blog me gustaria saber si hay diplomados o algo por el estilo para estudiar mas a fondo el tema te lo agradeceria muchisimo jorgesistemas@hotmail.com

Leonardo Camelo dijo...

Para iniciar estudios en el tema, te recomiendo este curso: http://seguridadinformacioncolombia.blogspot.com/2010/02/inteco-instituto-nacional-de.html

Ahora, para diplomados se que SGS ya tiene dentro de su agenda cursos de auditor interno y/o auditor lider en ISO 27001.

Suerte en tus estudios!!!

Rosita dijo...

Excelentes artículos escritos en su blog. Me están ayudando mucho en la elaboración de mi tesis.