Técnicas de ataque a la seguridad (página 2)

• Un vendedor que investiga las costumbres y fanatismos de un cliente para poder vender con una mayor facilidad sus productos o servicios.

• La persona en la puerta de una farmacia durante 4 meses con una misma "receta médica" de algún medicamento, pidiendo dinero para poder comprarlo.

• La tarjeta trabada en el cajero automático y que frente a la desesperación del dueño, una persona amable se ofrece a ayudar a recuperarla, hasta finalmente lograr que su víctima digite su código secreto.

Así como estos, son miles lo casos en los que nos vemos amenazados a diario por la astucia y mala intención de estos "Ingenieros Sociales".

Las cualidades que tiene que tener el atacante para estas actividades pueden ser varias, como sus relaciones personales, ambición, conocimiento, apariencia de inocencia, credibilidad, curiosidad, etc. No es racional que pidiendo a una persona que nos brinde la información que nos interesa, la obtengamos de manera tan simple; sin embargo, esta habilidad es desarrollada y utilizada por personas normales, hackers, ladrones, y estafadores para lograr que otra persona ejecute una acción que generalmente repercute en un beneficio para el atacante.

Desde el punto de vista de la psicología, hay determinados procesos que son automáticos tanto en el ser humano como en los animales en virtud de las relaciones con los demás.

Depende de quién lo analice puede ser una ventaja o una desventaja. Estos procesos son comúnmente utilizados en campañas de marketing y negocios para influenciar sobre la gente.

Una descripción de los procesos básicos de la influencia, sería esta:

• Reciprocidad ; una persona hace un favor a otra, entonces la otra tiene que devolverle el favor.

• Compromiso y Consistencia – una persona dijo que haría una acción y se ve obligada a hacerla, y debe ser consistente con su forma general de pensar.

• Pruebas Sociales – es más cómodo hacer lo mismo que hace la gente.

• Gustarse y ser Parecidos – le gusta cierta gente, o aquellos que son parecidos a él/ella, y tiende a ser influenciado/a por ellos.

• Autoridad – las personas reconocen ciertos tipos de autoridad real o aparente, y los respetan.

• Escasez – las personas se sienten atraídas por lo que es escaso.

Ejemplos como Gillette, Coca-Cola, Mc Donald"s, y otros grandes del marketing son una clara muestra del alcance de los procesos de la influencia, ya que han logrado introducir en la gente el uso verbal de sus productos como si fueran el molde del producto en si. Alguien se refiere a un "Tupper" cuando en realidad esta refiriéndose a un envase o bol, lo mismo pasa al referirse a una "Gillette" cuando en realidad lo que se quiere es una hoja de afeitar. Todo esto, es posible con una adecuada utilización del marketing y procesos de Influencia antes mencionados.

Ingeniería Social. ¡Un nuevo ataque a la seguridad Informática!

En materia de seguridad informática, estas técnicas son utilizadas para muchos fines específicos, algunos ejemplos sencillos son:

• El usuario recibe un correo con un título que atrae su atención, o la dirección del destinatario le suena familiar, y esto lo lleva a abrir el archivo adjunto del correo, el cual podría tratarse de un gusano, troyano o algún malware no identificado por su antivirus actualizado, ni por la heurística empleada por el mismo.

• El usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos. Este es el caso del phishing, cuando el usuario entrega información al delincuente creyendo que lo hace a una entidad de confianza.

• El usuario es atraído por un falso anuncio de infección en un sitio web de seguridad informática, donde se aconseja descargar una aplicación antispyware que detecta un supuesto malware, para el que sólo ofrece solución si se compra una licencia.

• Los formularios que un usuario tiene que completar al momento de crear una nueva casilla de correo, con valiosa información tales como ingresos anuales promedio, gustos y hobby, edad y otros datos personales con los que fácilmente luego pueden hacerles "ofertas a medida".

• La voz agradable de una mujer o en caso contrario la voz de un hombre, que pertenece al soporte técnico de la empresa del usuario, que le solicita telefónicamente información para resolver un inconveniente detectado en la red.

Objetivos de la Ingeniería Social

Estos pueden ser varios. Entre ellos:

• Conseguir beneficios económicos para los creadores de malware y estafadores debido al ínfimo costo de implementación y el alto beneficio obtenido.

• Realizar compras telefónicamente o por Internet con medios de terceros, conociendo bastante sobre ellos (datos personales, tarjeta de crédito, dirección, etc).

• Acceder gratuitamente a Internet si lo que se buscaba era nombre de usuario contraseña de algún cliente que abone algún servicio de Banda Ancha.

Un Ejemplo Verídico

Aún las más grandes empresas que invierten millones de dólares al año en la seguridad de sus datos, fueron víctimas de estos ataques de Ingeniería Social.

De una forma más específica, un excelente ejemplo donde se muestra la imaginación de los

"Ingenieros Sociales", es la auditoria a la que fue sometida en junio de este año, una empresa estadounidense que se dedica a conceder créditos, siendo el objetivo el de mostrar la inseguridad de las memorias USB.

La empresa tomó 20 memorias USB de muestra, les pusieron archivos de varios tipos, incluyendo un troyano que una vez ejecutado en cualquier computadora comenzaría a enviar información a los servidores de la empresa auditora, y los fueron dejando «olvidados» en el estacionamiento, zonas de fumadores y otros sitios de la empresa bajo auditoria.

De las veinte memorias, quince fueron encontrados por empleados de la empresa en cuestión, y las quince terminaron por ser enchufadas en computadoras conectados a la red de la compañía, que en seguida empezaron a enviar datos a la empresa Auditora que les permitieron entrar en sus sistemas sin ningún problema.

Con todo esto, es fácil deducir que aún con la mejor tecnología, los mejores profesionales a cargo de los datos de su empresa, no hay forma alguna de protegerse contra la Ingeniería Social, ya que tampoco hay usuarios ni expertos a salvo de estos ataques. La Ingeniería Social, siempre existió, nunca pasa de moda, día a día se perfecciona, no va a morir nunca, y tiene un limite…. la Imaginación Humana.

"La Seguridad muchas veces es una mera Ilusión. Una compañía puede tener la mejor tecnología, firewalls, sistemas de detección de intrusos, dispositivos de autentificación avanzados como tarjetas biométricas, etc. y creen que están asegurados 100%. Viven una Ilusión. Sólo se necesita un llamado telefónico y listo. Ya son vulnerables a un ataque. La Seguridad no es un producto, es un Proceso".

Hay una única "salvación" y es la Educación. En realidad es una forma efectiva de estar protegido contra la Ingeniería Social.

La gente por no querer quedar mal o armar un escándalo, brinda a cualquiera que le solicita, "información sensible", y ahí es donde juega un papel importante la educación, el enseñarle a los empleados a decir no.

En este caso no se trata de una educación estrictamente técnica, sino más bien una capacitación social que alerte a la persona cuando está por ser blanco de este tipo de ataque. Si el Ingeniero Social tiene la experiencia suficiente, puede engañar fácilmente a un usuario en beneficio propio, pero si este usuario conoce estas tretas no podrá ser engañado. Además, la educación de los usuarios suele ser una importante técnica de disuasión.

Con todo lo dicho hasta ahora hay una conclusión que salta a los ojos de cualquier lector, y es que el ser humano es el eslabón más débil de cualquier sistema. Los encargados del mismo pueden haber tenido en cuenta hasta los más ínfimos detalles en el armado de la red (hablando en materia de seguridad informática) y aún así siempre es un usuario quien está frente a una computadora, tomando decisiones y haciendo uso del sistema. Los diseñadores pueden haber tenido en cuenta todos los patrones de seguridad al momento de diseñar el sistema y aún así será siempre un humano quien manipule en algún momento los datos.

Por ende, es el ser humano el objetivo y el medio para acceder al sistema, entonces es de alta importancia la capacitación para cada usuario con acceso al sistema, y que internalicen que todos somos un eslabón más en la cadena de la seguridad de los datos de la empresa.

Formas de Ataque

Las formas de ataque son muy variadas, y dependen única y exclusivamente del ingenio del atacante, pero las más comunes hoy son utilizando el teléfono, vía e-mail, incluso el mismo correo postal, los celulares a través de mensajes de texto cortos (sms) y los ataques personales valiéndose de la ingenuidad de la gente o la falta de capacitación.

Ataques Telefónicos

Es uno de los más eficientes, debido a que las expresiones del rostro no son reveladas y el atacante puede utilizar todo su potencial de persuasión.

A continuación se cita un claro ejemplo de su funcionamiento:

Janie Acton llevaba trabajando más de tres años para una empresa en Washington, D.C., como representante de servicios al cliente. Era considerada una de las mejores en su rubro. Todo iba bastante bien cuando esta llamada tomó curso. Desde el otro lado del teléfono se oyó:

"Soy Eduardo del Sector de Facturación. Tengo a una mujer esperando en el teléfono, me está preguntando por cierta información y no puedo utilizar mi computadora por que al parecer está infectada con algún virus. De cualquier forma,

¿Podrías buscar cierta información de clientes para mí por favor?

J- "Por supuesto" contestó Janie.

J- "¿En que te puedo ayudar?" Preguntó Janie

Aquí el atacante buscó información que había recopilado con su investigación para sonar creíble y auténtico. Aprendió que la información que buscaba estaba almacenada en algo llamado "Sistema de Información sobre Facturación de Clientes", y también se dio cuenta como los empleados se referían al sistema. Entonces él preguntó:

E- "¿Me podrías buscar una cuenta del SIFC?"

J- "Sí claro, ¿cuál es el número de cuenta?"

E- "No tengo el número; Necesito que lo busques por el nombre del cliente."

J- "Bueno, ¿Cuál es el nombre entonces?"

E- "Es Heather Marning." Deletreó el nombre, y Janie lo escribió…

J- "Perfecto, aquí lo tengo."

E- "Genial. ¿La cuenta sigue vigente?"

J- "Sí, está vigente."

E-"¿Cuál es el número de cuenta, dirección y teléfono?"

J- "Número de Cuenta BAZ6573NR27Q." y así Janie le suministró el resto de los datos que el atacante había solicitado.

Ataques Vía Web

Hoy, sólo hacen falta pocas cosas para causar pánico, una conexión a Internet y malas intenciones.

Es en este tipo de ataque, cuando el Ingeniero Social juega con la desinformación y sentimientos de las personas, ya que pone en marcha un plan estratégico, que sólo los análisis estadísticos pueden mostrar la eficiencia y eficacia que obtienen al realizarlos.

No se trata de otra cosa que un simple correo electrónico del cual no se sospecha y puede venir disfrazado de muchas formas, ya sea que la dirección de correo electrónico resulte familiar o el asunto del e-mail de cierta forma "ataque" los sentimientos como la curiosidad, la avaricia, el sexo, la compasión o el miedo y es donde el usuario se vuelve susceptible a abrirlo… ¡ERROR! Fue la peor decisión que se podría haber tomado, pero por otro lado la que en ese momento predominó.

En este punto, podrían aplicarse varias estrategias como medios de ataque, estas son algunas:

• 1. Se trata de algún código malicioso en un archivo adjunto (virus, troyano, etc.) de un e-mail que algún conocido ha enviado.

• 2. Una cadena reenviada (muchos usuarios no piensan que es malo), pero tampoco es cierto nada de lo ahí descrito. Ni Hotmail va a cerrar, ni la persona que amas va a llamarte si envías ese correo a mil amigos, mucho menos Microsoft va a donar a niños de África U$S 1.00 por cada e-mail que envíes. Sólo logran que pierdas tiempo, crear bases de datos de correos electrónicos para luego venderlas a empresas que te llenaran la casilla de "basura", conocidos como Hoax.

• 3. Una llamada telefónica o mensaje de texto (SMS) de un banco, informando que han cerrado o suspendido tu cuenta por falta de pago o cualquier excusa, no es otra cosa que vishing (phishing a través del teléfono) y esta vez lo hacen utilizando voz sobre IP (VoIP), telefonía móvil y telefonía terrestre.

Para hacerlo mas claro, se plantea un ejemplo a continuación:

Ataques Vía Correo Postal

De esta manera se obtiene de forma precisa datos de la persona a quien se desea atacar.

En Estados Unidos uno puede contratar una casilla postal donde se recibe y desde donde se envía toda la correspondencia.

Se toma como patrón a alguna suscripción de revista o cupones de descuento de la zona donde vive la víctima e imita los formularios correspondientes (lo más similar posible) modificando sólo la dirección original por la reciente creada casilla de correo. Se crea una propuesta muy atractiva para al menos detonar curiosidad en la víctima. El atacante solicita una clave en el formulario donde aclara que esta le servirá para reclamar su premio (ya que esta comprobado que el usuario promedio utiliza la misma clave para múltiples usos)

En el siguiente paso, la victima completará los formularios y los enviará a la casilla de correo del atacante. Teniendo este último, los datos de la víctima, ya está en condiciones de llevar a cabo el verdadero ataque.

Ataques Vía SMS

Estos son, quizá los más novedosos por que la gente piensa que está más protegida, piensa que es un medio de alta seguridad, y es por eso que los hace más vulnerables, los ataques son muy parecidos a los de otros medios. Por lo general, felicitando por haber ganado mensajes de texto (sms) gratis de tu empresa prestadora de teléfono, o haberte ganado algún premio en un sorteo o alguien que te enseña como hacer para que tu línea tenga más crédito. Con sólo mandar un simple mensaje obtendrás este regalo.

No se trata de ningún regalo en absoluto, sino que estás transfiriendo parte del saldo de tu línea a la persona que te envió el mensaje. Es un servicio que brindan las compañías de telefonía celular a sus clientes para transferir crédito a otra persona.

Para verlo más claro, aquí va un ejemplo:

En este mensaje, se está enviando al celular con característica de Buenos Aires (011) y número 15x-xxxxx52 la suma de $18. Los cuales serán restados del saldo de quien envía el mensaje por la codicia de recibir crédito gratis.

Ataques Cara a Cara

Estos son los mas eficientes, pero los mas difíciles de realizar, la víctima ha de ser alguien con un alto nivel de desinformación y de conocimientos, también son susceptibles aquellos en los que su mente no está preparada para tal maldad (ancianos, niños, personas insanas).

Caso 1:

Los niños son muy susceptibles a aceptar casi cualquier cosa que un adulto le diga como verdad y por el mismo camino responden ante cualquier pregunta que un extraño le pueda hacer. Imagine a un chico en la escuela, que confía en sus maestros, la potencial víctima que es al contestar preguntas referentes a sus padres (horarios de trabajo, posición económica, orientaciones religiosas, políticas, lugar dónde guardan su dinero, etc.) Si bien esas preguntas son muy puntuales, si el chico conoce las respuestas y quien se lo pregunta le inspira confianza, es muy probable que el chico le otorgue esa valiosa información.

Por otro lado es muy fácil ganarse la confianza de un niño. Todo el mundo conoce por ejemplo la debilidad de ellos por las golosinas y los juegos.

Caso 2:

Una persona insana puede poseer información valiosa, ya sea almacenada en su cabeza como en otro sitio, y tras un trabajo de persuasión adecuada podría llegar a revelarla a un desconocido, debido a que probablemente no se encuentre en un estado conciente de sus actos.

Caso 3:

Una persona que trabaja como secretaria/o de una empresa maneja y dispone de información sensible, pero que quizá desconozca tal importancia, entonces se le presenta un Ingeniero Social haciéndose pasar por alguien que trabaja dentro del área de cómputos de la empresa, y le solicita su nombre de usuario y contraseña para realizar un control rutinario de seguridad, al que otros empleados colaboraron. Y con amabilidad y firmeza logra obtener la confianza del empleado/a obteniendo la información deseada.

Introducción al Malware

El Malware (termino formado a partir de combinar las palabras Software Malicioso) es un programa diseñado para hacer algún daño a un sistema. Puede presentarse en forma de virus, gusanos, caballos de Troya, etc., y se ejecuta automáticamente sin consentimiento ni conocimiento por parte de la víctima.

Este malware puede parecer totalmente indefenso, incluso presentarse como un archivo .doc o .xls o cualquier otro programa que tenga funcionalidad de macros, por ejemplo.

Unos de los más difundidos son los virus y gusanos, no por eso hay que despreocuparse del resto (rootkits, troyanos, spyware, exploits). Los virus y gusanos tienen como semejanza la capacidad de que se auto-replican y pueden (en efecto lo hacen) copiarse e infectar una red completa. Sin embargo, la diferencia consiste en que el virus necesita un portador para replicarse, o sea algún archivo en el que incluirse, en cambio los gusanos no necesitan de un portador.

Los portadores mas comunes que utilizan los virus son varios, entre ellos los archivos ejecutables que incorporan las aplicaciones, los antiguos discos de 3 ¼ (en el sector de booteo), las memorias USB, y los archivos que contengan macros. En el caso de los archivos ejecutables, cuando el usuario corre la aplicación se ejecuta el código del virus, y por lo general la aplicación portadora funciona correctamente.

Los gusanos (worms) son muy parecidos a los virus, pero estos no dependen de un archivo portador para funcionar. Muchas veces se basan en las flaquezas del objetivo o utilizan Ingeniería Social para lograr que los ejecuten los usuarios.

Un Troyano (Trojan Horse) es un programa dañino, utilizado normalmente como herramienta para espiar, que suele presentarse disfrazado de otro programa o como pequeña parte de un archivo que parece indefenso como ser un archivo multimedia, un documento, una planilla de calculo, etc.

Estos no tienen la capacidad de auto-replicarse, pero pueden ser adheridos a cualquier tipo de software. El problema muchas veces es que a la vista del usuario el archivo o programa funciona correctamente, el problema está en lo que no se ve. Lo que ocurre a escondidas del usuario.

Por ejemplo, un archivo adjunto recibido en un correo que dicen ser ofertas de un comercio de la zona especializado en electrónicos. Al abrir la imagen que contiene las ofertas, este es abierto correctamente y efectivamente muestra las ofertas pero a su vez se ejecuta un programa que el usuario no conoce, el cual busca información almacenada en la computadora, como ser números y claves de tarjetas de crédito.

Un spyware es un software que tras recopilar información de usuarios la envía al servidor de la empresa a la cual le interesa conocer información de usuarios. Muy utilizado para que las corporaciones conozcan los hábitos de las personas, como ser las páginas que visitan, la información que buscan, el tipo de productos que le interesa comprar por Internet, etc. Con ello podrán luego ofrecerles publicidades a medida o vender esa información a otras empresas.

Un keylogger es un programa malicioso que registra cada vez que se pulsa una tecla en el teclado y se almacenan en un archivo de texto. Estos programas están pensados para robar información privada de una persona, como por ejemplo números de identificación personal (DNI, CI, LC, LE), nombres de usuarios y contraseñas, números de tarjetas de crédito con sus respectivas claves o PIN.

Estos pueden ser detectados por un antivirus actualizado, algún anti-spyware o en el mejor de los casos un anti-keylogger.

Para el usuario que no posee una computadora aún, y tiene que hacer uso de las mismas en un cibercafé (usuario nómade) es un problema de gran preocupación, debido a que estos poseen un escaso mecanismo de seguridad (muchos no tienen un antivirus instalado en sus PCs siquiera)

Esto resulta una gran amenaza a la privacidad de los usuarios, y más aún, una amenaza hacia la sociedad por un problema tan elemental como la carencia de educación y respeto hacia el resto.

Un exploit es un software que aprovecha alguna debilidad de un sistema operativo. Los exploits no necesariamente son maliciosos. Generalmente los crean expertos para demostrar que existe un fallo en la seguridad del sistema.

Un rootkit, es un programa que utiliza un atacante luego de andar ilegalmente por un sistema, para ocultar su presencia y a su vez dejarle garantizado el ingreso nuevamente en un futuro. Por otro lado también permiten esconder procesos activos, archivos en uso y modificaciones al sistema.

"Herramientas que brindan ayuda a la Ingeniería Social"

Quiénes y con qué objetivo las crean

Hay diferentes "herramientas y técnicas" que se crearon no hace mucho y se siguen creando por Ingenieros Sociales, programadores de malware, estafadores, etc. Algunos con el fin de atraer usuarios a determinadas paginas donde se les ofrece algún producto lícitamente, otros con el fin de llevarlos engañados a una página web "idéntica" a la de algún banco, o entidad que permita hacer pagos por Internet como PayPal, donde se le solicita al usuario el ingreso de sus datos personales para luego utilizarlos de manera ilegal. Otros recopilan información del usuario sin que este se de cuenta, etc.

Estas herramientas son algunas de las nuevas amenazas que hoy están "disponibles". Estas no siempre van a ser malas, puede haber ocasiones en los que exista una herramienta que sirva para recopilar información de sospechosos o delincuentes.

Algunas Herramientas:

Phishing

El phishing es un engaño tan dañino y eficaz como se pueda imaginar, utilizado siempre para fines delictivos. Básicamente consiste en algún e-mail que procede al parecer de un negocio o empresa legítima y digna de confianza (un banco o compañía de crédito) solicitando "verificación" de los datos y advirtiendo sobre consecuencias que traerían si no se hiciera dicha verificación.

El mensaje y/o notificación por lo general tiene un enlace que conduce a un sitio web fraudulento que a simple vista es idéntico al legítimo, incluso con todos los logotipos propios de la empresa, contenido imágenes, y un formulario que solicita muchos datos (que van desde la dirección hasta la contraseña de acceso de la tarjeta de crédito o débito) que una vez ingresados estos datos por el usuario, van directo a las manos del falsificador.

El phishing tiene como gran aliado al spam, ya que este e-mail fraudulento se envía indiscriminadamente a miles de usuarios tomados de bases de datos, donde siempre alguno (un poco crédulo) ingresará sus datos en esta falsa página web y probablemente los daños que sufrirá serán de un alto impacto. Podría perder todo el dinero de su cuenta bancaria o tarjeta de crédito.

Virus, gusanos y caballos de Troya

Virus, Gusanos y Troyanos

Los virus, gusanos y troyanos son programas malintencionados que pueden provocar daños en el equipo y en la información del mismo. También pueden hacer más lento Internet e, incluso, pueden utilizar su equipo para difundirse a amigos, familiares, colaboradores y el resto de la Web. La buena noticia es que con un poco de prevención y algo de sentido común, es menos probable ser víctima de estas amenazas.

Siga leyendo para obtener información acerca de las características y las diferencias de virus, gusanos y troyanos.

¿Qué es un virus?

Un virus es código informático que se adjunta a sí mismo a un programa o archivo para propagarse de un equipo a otro. Infecta a medida que se transmite. Los virus pueden dañar el software, el hardware y los archivos.

Virus Código escrito con la intención expresa de replicarse. Un virus se adjunta a sí mismo a un programa host y, a continuación, intenta propagarse de un equipo a otro. Puede dañar el hardware, el software o la información.

Al igual que los virus humanos tienen una gravedad variable, desde el virus Ébola hasta la gripe de 24 horas, los virus informáticos van desde molestias moderadas hasta llegar a ser destructivos. La buena noticia es que un verdadero virus no se difunde sin la intervención humana. Alguien debe compartir un archivo o enviar un mensaje de correo electrónico para propagarlo.

¿Qué es un gusano?

Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace automáticamente. En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano esté en su sistema, puede viajar solo. El gran peligro de los gusanos es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer más lentas las redes empresariales e Internet en su totalidad. Cuando se lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas Web en Internet.

Gusano Subclase de virus. Por lo general, los gusanos se propagan sin la intervención del usuario y distribuye copias completas (posiblemente modificadas) de sí mismo por las redes. Un gusano puede consumir memoria o ancho de banda de red, lo que puede provocar que un equipo se bloquee.

Debido a que los gusanos no tienen que viajar mediante un programa o archivo "host", también pueden crear un túnel en el sistema y permitir que otro usuario tome el control del equipo de forma remota. Entre los ejemplos recientes de gusanos se incluyen: Sasser y Blaster.

¿Qué es un troyano?

Del mismo modo que el caballo de Troya mitológico parecía ser un regalo pero contenía soldados griegos que dominaron la ciudad de Troya, los troyanos de hoy en día son programas informáticos que parecen ser software útil pero que ponen en peligro la seguridad y provocan muchos daños. Un troyano reciente apareció como un mensaje de correo electrónico que incluye archivos adjuntos que aparentaban ser actualizaciones de seguridad de Microsoft, pero que resultaron ser virus que intentaban deshabilitar el software antivirus y de servidor de seguridad.

Troyano Programa informático que parece ser útil pero que realmente provoca daños.

Los troyanos se difunden cuando a los usuarios se les engaña para abrir un programa porque creen que procede de un origen legítimo. Para proteger mejor a los usuarios, Microsoft suele enviar boletines de seguridad por correo electrónico, pero nunca contienen archivos adjuntos. También publicamos todas nuestras alertas de seguridad en nuestro sitio Web de seguridad antes de enviarlas por correo electrónico a nuestros clientes.

Los troyanos también se pueden incluir en software que se descarga gratuitamente. Nunca descargue software de un origen en el que no confíe. Descargue siempre las actualizaciones y revisiones de Microsoft de los sitios Microsoft Windows Update o Microsoft Office Update.

¿Cómo se transmiten los gusanos y otros virus?

Prácticamente todos los virus y muchos gusanos no se pueden transmitir a menos que se abra o se ejecute un programa infectado.

Muchos de los virus más peligrosos se difundían principalmente mediante archivos adjuntos de correo electrónico, los archivos que se envían junto con un mensaje de correo electrónico. Normalmente se puede saber que el correo electrónico incluye un archivo adjunto porque se muestra el icono de un clip que representa el archivo adjunto e incluye su nombre. Algunos tipos de archivos que se pueden recibir por correo electrónico habitualmente son fotos, cartas escritas en Microsoft Word e, incluso, hojas de cálculo de Excel. Un virus se inicia al abrir un archivo adjunto infectado (normalmente se hace clic en el icono de archivo adjunto para abrirlo).

¿Cómo puedo saber si tengo un gusano u otro virus?

Al abrir y ejecutar un programa infectado, es posible que no sepa que ha contraído un virus. Su equipo puede hacerse más lento o bloquearse y reiniciarse cada pocos minutos. En ocasiones, un virus ataca los archivos que necesita para iniciar un equipo. En este caso, puede presionar el botón de encendido y estar mirando una pantalla vacía.

Todos estos síntomas son signos habituales de que el equipo tiene un virus, aunque se pueden deber a problemas de hardware o software que nada tengan que ver con un virus.

Preste atención a los mensajes que indiquen que ha enviado correo electrónico con virus. Puede significar que el virus ha incluido su dirección de correo como el remitente de un correo electrónico infectado. Esto no significa necesariamente que tenga un virus. Algunos virus tienen la capacidad de falsificar las direcciones de correo electrónico.

A menos que tenga instalado software antivirus actualizado en el equipo, no existe un modo seguro de saber si tiene un virus. Si no dispone de software antivirus actual o si desea instalar otra marca de software antivirus, visite nuestra página de descargas de software de seguridad.

Conclusiones

Resumiendo todo lo visto hasta ahora, se puede inferir que los programadores de amenazas han elegido la Ingeniería Social como técnica de infección principal. Valiéndose de la inocencia de las personas, consiguen sembrar caos por todas partes.

Si bien es de vital importancia la correcta conservación y cuidado de los datos de una empresa, dentro de ella debe considerarse como factor muy importante al hombre, que es el eslabón más débil en la cadena de seguridad.

Es increíble que estas cosas sucedan hoy… que nos hemos dedicado con tanto énfasis a avanzar en la tecnología, y no podamos resolver este eslabón previo: ¡la debilidad del ser humano! Primero habría que capacitar a quienes estén frente a cualquier sistema o dispositivo electrónico tanto para poder operarlo como para que valore que la información que ahí se almacena o gestiona, es de vital importancia para la empresa. Claro está que no somos maquinas, somos seres racionales, y con muchos sentimientos, y es ahí justamente donde hay que poner énfasis, en preparar al personal de manera que NO REVELEN ninguna información a nadie por mas que sientan la necesidad de ayudar. Esta gente (Ingenieros Sociales) son capaces de cualquier cosa, y van a usar lo que este a su alcance para hacerles creer algo que no es, como hacerse pasar por personal de sistemas, o un empleado que perdió su clave y necesita que sea reestablecida, etc.

"La verdad es que no hay tecnología en el mundo capaz de prevenir un ataque de Ingeniería Social".

Hoy, según análisis revelados por un estudio sobre amenazas de seguridad de la información, se infiere que de 574 organizaciones encuestadas, el 59% de ellas indicó que su última grieta de seguridad fue por un error humano.

Existen un sinfín de consejos para disminuir estas amenazas. Va a depender de las necesidades y lo que este dispuesta a invertir una empresa en seguridad. Algunos son:

• A la hora de contratar un nuevo empleado, buscar preferentemente el que tenga conocimientos de seguridad informática, o en su defecto invertir para capacitar y concientizar al mismo.

• Asegurarse de concientizar y capacitar también a los empleados antiguos sobre las nuevas amenazas, los métodos de acceso inseguros a sus computadoras, y también por supuesto en políticas y procedimientos de seguridad.

• Lograr que los empleados asimilen de que manera son susceptibles ante los métodos de engaño de los Ingenieros Sociales y mostrarles con ejemplos reales (cuya repercusión haya sido muy grande) de manera que logren medir el peligro de brindar cualquier información a un extraño. De esta manera estarán mucho mas preparados ante cualquier intento de manipulación.

• Usar la tecnología apropiada de seguridad y combinarla con políticas bien definidas sobre pautas de comportamiento de los empleados. Algunas políticas pueden ser:

• No ejecutar ningún programa sin conocer su origen y sin previa autorización de un superior.

• No informar a nadie por teléfono o correo electrónico, sobre características de la red, ubicación de las mismas, datos del encargado de la red, etc. Antes corroborar que esa persona es realmente quién dice ser.

• No tirar información técnica a la basura, sino utilizar los trituradores de papel correspondientes o destruirlos con cualquier medio.

• No crear contraseñas fáciles de intuir conociendo a la victima. Ej.: nombre de la esposa o hijos, número de DNI, fechas importantes, etc. Sino contraseñas combinadas alfanuméricamente, incluso con caracteres especiales. Y a su vez acostumbrarlos a modificar dicha clave periódicamente.

Es de esperar que en poco tiempo contemos con la legislación que respalden y protejan las medidas de seguridad informática antes sugeridas y que garanticen la confidencialidad de los datos. La aplicación de las sanciones desalentaría a jóvenes deseosos de demostrar su supuesta habilidad y conocimientos técnicos.

Bibliografía

Sitios web consultados:

• La Seguridad Total

• Amenazas Deliberadas a la Seguridad de la Información

http://www.iec.csic.es/criptonomicon/amenazas.html

• La Seguridad Informática en las Redes

www.geocities.com/SiliconValley/Bit/7123/la.htm

• The Teacher, Lester (2002) "Curso de Ingeniería Social", http://lestertheteacher.cjb.net

• Caruana, Pablo M. (2001) "Breves Conceptos sobre la Ingeniería Social", http://virusattack.xnetwork.com.ar/articulos/VerArticulo.php3?idarticulo=4

• Fernández Gómez, Jaime (2000) "Ingeniería Social",

http://www.iec.csic.es/criptonomicon/articulos/expertos72.html

• www.utp.ac.pa/seccion/topicos/seguridad/seguridad.html

• www.fciencias.unam.mx/revista/soluciones/30s/No33/seg-red.html

• www.geocities.com/SiliconValley/Drive/3491/_seguridad.html

Autor:

Daniel Salazar Lluén

Facultad de ingeniería, arquitectura y urbanismo

Escuela de ingeniería de sistemas

Chiclayo, Abril del 2009