Está en la página 1de 34

SANS Institute

Información de la habitación de lectura de Seguridad

Los métodos para comprender y reducir


los ataques de ingeniería social

______________________________

Michael Alexander

Los derechos de autor SANS Institute 2020. Autor conserva todos sus derechos.

Este papel es del sitio SANS Institute Sala de Lectura. El traspaso no está permitido hacerlo sin el permiso expreso por escrito.
Comprender y reducir los ataques de ingeniería social 1

Los métodos para comprender y reducir Social


Los ataques de ingeniería

GIAC (CGCE) Certificación Oro

Autor: Michael Alexander, michael6933 @ Yaho o.com


Asesor: Rick Wanner Aceptado: 30
de abril el año 2016

Resumen

La ingeniería social es ampliamente reconocida por los delincuentes cibernéticos como uno de los métodos más eficaces para penetrar
en la infraestructura de una organización. profesionales de la seguridad de la información están al tanto de esto como una amenaza, pero
hasta la fecha nunca se han parecido a concentrar sus esfuerzos en estudiar y comprender en profundidad cómo y por qué los delincuentes
cibernéticos están usando esto como un arma. Los medios electrónicos de penetración son mucho más fácil centrarse en porque son
sencillos en sus técnicas y por lo tanto su prevención. Pero la piratería de la “wetware” tiende a ser visto como mucho más difícil de prevenir
debido al número aparentemente ilimitado de variables de los humanos actuales. Mientras que la prevención es casi imposible, más
investigación y mejores métodos para la comprensión de cómo y por qué los representantes de una organización son un blanco fácil sería
recorrer un largo camino para reducir

el éxito de estos esfuerzos de penetración.

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   2

1. Introducción

“La mayor amenaza para la seguridad de una empresa no es un virus informático, un agujero sin parche en

un programa clave o un firewall instalado mal. De hecho, la mayor amenaza podría ser usted “.

- Kevin Mitnick

La ingeniería social es sin duda la forma más fácil para un atacante para penetrar las defensas de una organización. Como parte de

la protección de una organización, la mayoría de los expertos están de acuerdo en que la formación de los usuarios de punto final a tener en

cuenta los tipos de amenazas que pueden encontrar es esencial para una estrategia de seguridad eficaz de la información (Mitnick y Simon,

2002).

Pero la mayoría del entrenamiento para los usuarios de punto final se centra en las amenazas electrónicas tales como la

forma de detectar un ataque de suplantación de identidad o phishing de lanza o cómo evitar la descarga e instalación de software

malicioso. Mientras que estas amenazas se siguen considerando la ingeniería social debido a su elemento engañosa, tal vez una

llamada telefónica aparentemente benigno de una presunta técnico interno que afirma el acceso necesario para que puedan

verificar un problema es más una amenaza. la ingeniería social basados ​en la electrónica es potencialmente más fácil de tren

para que esto ocurre con más regularidad y los usuarios pueden ser enseñado a no abrir correos electrónicos de cualquier

persona que no reconocen. Pero humana basada en la ingeniería social, por ejemplo, una llamada telefónica de una persona

aparentemente digno de confianza o incluso dejar una puerta trasera extraño en la oficina simplemente porque no tienen en lo

que parece ser un uniforme oficial puede ser una amenaza mucho más grave.

Por el contrario, los ataques de ingeniería social basados ​en humanos, es decir, ataques, ya sea por teléfono o en

persona, son mucho más sutiles y más difíciles de detectar porque implican los escenarios muy complejos y aparentemente

ilimitadas que surgen de la interacción del día a día con otros seres humanos. Estas complejidades son explotados por el deseo

innato de los seres humanos para ser confiada, servicial y en general una “buena persona” (Peltier, 2006). Los atacantes utilizan

estos rasgos deseables en las personas y aprovechar para sus propios fines.

La causa principal de este problema radica en el tipo de formación que la mayoría de las organizaciones proporcionan a

sus empleados (Johnston, Warkentin, McBride, y Carter, 2016). Como una regla,

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   3

organizaciones están interesadas principalmente en la forma de generar más ventas. Además, cualquier problema encontrado que se

convierte en un perjuicio para ese objetivo también se convierte en una prioridad. En el 21 S t economía del siglo, los posibles clientes en un

mercado de negocio a negocio a menudo utilizan cuestionarios de seguridad para determinar si un proveedor potencial es lo suficientemente

seguro como para formar una asociación (Señor,

2016). Una de las preguntas de este cuestionario que debe responderse afirmativamente a la asociación de proceder es, “¿Se requiere la

formación de conciencia de seguridad para todos los empleados por lo menos anualmente?”. La mayoría de los expertos coinciden en que ser

capaz de responder con la verdad “Sí” a esta pregunta es la principal motivación para tener cualquier tipo de formación de conciencia de

seguridad en absoluto. Y en esto pone el problema. Las organizaciones están más interesados ​en “marcando la casilla” para poder responder

a esta pregunta con sinceridad de lo que son en realidad en la prevención de las infracciones que podrían resultar en la pérdida de datos

(Winkler y Manke, 2013).

2. ¿Qué es la Ingeniería Social?


La mayoría de los profesionales de la industria están muy familiarizados con la ingeniería social y sus peligros. Pero debe

tenerse en cuenta que la ingeniería social tiene muchas definiciones dependiendo de una experiencia y cómo se pudo haber

manifestado en el pasado. Si hubiera que realizar una búsqueda en Internet sobre “ ¿Qué es la Ingeniería Social en la Seguridad de

la Información? ”, uno puede ser presentado con una buena definición concisa como este de Whatis.com:

“ La ingeniería social es un vector de ataque que depende en gran medida de la interacción humana e implica a menudo

engañar a la gente romper los procedimientos de seguridad normales “.

Mientras todo esto es cierto, se presenta una visión muy simplista de un problema mucho más complejo. Ese

problema, al menos en parte, implica la formación de los empleados a reconocer y entender un ataque de ingeniería

social, cuándo, dónde y cómo lo ven.

Sin embargo la ingeniería social se define que es importante tener en cuenta el ingrediente clave para cualquier

ataque de ingeniería social es el engaño (Mitnick y Simon, 2002). El atacante debe engañar ya sea al presentarse como

alguien que puede y debe ser de confianza o, en el caso de un ataque de phishing por ejemplo, engañando al usuario a

creer que una correspondencia tiene un propósito benigno o incluso útil cuando se pretende a lo largo de acceder a

información sensible (Peltier, 2006).

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   4

3. Ejemplos de la práctica de exitosos ataques de ingeniería social

ataques de ingeniería social son mucho más antigua que la de Internet, la era electrónica o incluso la revolución

industrial. Los generales y líderes militares han estado usando algún tipo de engaño en la guerra casi desde el comienzo de la

guerra en sí. Probablemente el más famoso de ellos, tal como se representa en muchos libros y películas, es la instancia de la

guerra griego-Trojan (Bryce, 2005). La mayoría están familiarizados con la historia de la larga campaña de diez años entre las

dos naciones. Los griegos parecen haber sido derrotado y, como regalo de despedida, construido un gran caballo de madera y lo

dejó en la puerta de Troya y luego parecía haber retrocedido. Los troyanos, pensando que eran los vencedores, trajeron el

caballo a la ciudad y comenzaron su celebración de la victoria (Peters, 2015). Sin el conocimiento de los troyanos, los griegos

habían escondido una pequeña unidad militar de unos pocos soldados dentro del caballo. Después de que terminó la celebración

y mientras dormían los troyanos, los soldados griegos simplemente salió de su escondite y abrió las puertas para el ejército

griego que había regresado a la espera de un engaño éxito. La batalla que siguió fue muy corto y terminó en la resonante derrota

de los troyanos. Si esto es verdad o ficción, la historia ha hecho tal impresión en la comunidad de seguridad de la información

que una forma particular de malware ahora lleva el nombre de “caballo de Troya” (Peters 2015).

Mientras que la historia es un cuento con moraleja profunda, hay al menos dos ejemplos recientes de ataques que sólo puede ser

descrito como irónico. Uno ocurrió en el año 2011 a la empresa de seguridad RSA. RSA tenía un producto de autenticación de dos factores que

venden bajo el nombre de SecurID. El atacante envía dos mensajes de correo electrónico de phishing diferentes durante un período de dos

días. Los dos correos electrónicos fueron enviados a dos pequeños grupos de empleados. Estos usuarios no eran de alto perfil o de objetivos

de alto valor. La línea de asunto del correo electrónico lee "2011 Plan de Reclutamiento" (Heyden, 2011).

El correo electrónico fue elaborado suficientemente bien como para una entice de los empleados para abrir el archivo

adjunto de Excel. Era una hoja de cálculo titulada "2011 Reclutamiento plan.xls" que contiene un Adobe Flash explotar. Una vez

dentro de la red, el atacante realiza ataques de escalada de privilegios para acceder a las cuentas de administrador de mayor

valor. Este tipo de ataques trampolín permiten a los hackers aumentan el acceso a una cuenta comprometida bajo valor en las

cuentas con privilegios administrationlevel antes de llevar a cabo el propósito final que es a menudo la extracción de información

comercial o financiera sensible. Según los informes, RSA ha detectado el

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   5

atacan en progreso, pero los atacantes se las arregló para extraer datos sensibles (Schwartz, 2011). Los datos exactos

que se extrajo es desconocida, pero lo que sí se sabe es que hubo un número de serie del producto llave SecurID que

permitirían al atacante obtener acceso a cualquier sistema que el usuario autorizado se intenta autenticarse contra el uso

de esa señal.

Un segundo caso de la ironía era la brecha en la seguridad de información de empresa lista blanca Bit9. En 2013, el grupo

ciberespionaje "Hidden Lynx" en China usa ataques-embocar agua a los certificados de firma de código digitales firme compromiso de

seguridad de Bit9, que más tarde se utilizaron para apuntar a algunos clientes Bit9 (Krebs, 2013).

pozos de agua son mucho más sutiles que los ataques de phishing. El malware se inyecta en un sitio Web legítimo

que las organizaciones de la industria de destino es probable que visita. El engaño, y lo que califica esto como un ataque

de ingeniería social, es que los usuarios trabajan en la industria de destino se sabe que frecuentan el sitio de destino y lo

han hecho muchas veces sin incidente, lo que las hace sin sospechar nada nefasto.

Los atacantes acceder a la infraestructura de archivos de la firma de Bit9 con el fin de firmar el malware y hacen que

parezca legítimo. A continuación, utilizaron a sí Bit9 atacado, al menos tres de sus clientes, y las organizaciones de base

industrial de defensa que tres eran clientes de Symantec (Peters, 2015).

Y, por último, los ataques de ingeniería social no se limita sólo a las compañías de seguridad antiguas de guerra o de

información. Las consecuencias de un fallo de seguridad éxito generado por un ataque de ingeniería social pueden ser masivas a

una organización. Un ejemplo: el gigante minorista Target.

En diciembre de 2013, en medio de una temporada de compras navideñas muy ocupada, Target experimentó una brecha en su

sistema de punto de venta que les permite a los atacantes roban unos 40 millones de números de tarjetas de crédito (Olavsrud, 2014).

Forenses evidencia muestra que el sistema de punto de venta no era el objetivo original, pero debido a Target era compatible con PCI,

no se almacenan números de tarjetas de crédito en su base de datos. Así, mientras que los atacantes fueron capaces de acceder a la

base de datos y así extraer millones de datos personales del cliente, que se vieron frustrados en sus esfuerzos para extraer su objetivo

final; los números de tarjetas de crédito de millones de clientes objetivo.

Todo esto no se inició con una brecha en la tienda al principio, pero por el incumplimiento de un proveedor de climatización

que Target estaba usando en ese momento. El compromiso inicial se produjo a través de un phishing

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   6

atacar por el vendedor. El ataque permitió a los atacantes el acceso a un servicio web que Target había establecido que los

proveedores presenten las facturas (Olavsrud, 2014).

4. Métodos utilizados por los ingenieros sociales para tener acceso a información

sensible

4.1 Acceso electrónico

Como se mencionó anteriormente, los ingenieros sociales utilizan miles de formas de acceder a información sensible. Pero el

único elemento común en todas las técnicas es el engaño. Ya sea que están tratando de engañar mediante el envío de un correo

electrónico de phishing o haciéndose pasar por un técnico por teléfono o poniéndose de pie fuera de la puerta de la oficina que llevaba

un uniforme de aspecto oficial armado con el conocimiento de que parece indicar familiaridad, todo se trata de engañar a un objetivo en

dándoles información sensible (Ashford, 2016).

La mayoría de las personas sienten que son inmunes a tales engaños, ya que de alguna manera son más inteligentes o más

conscientes que otros. El hecho es que casi todo el mundo será víctima de alguna forma de ingeniería social en su vida. Puede que

no dar lugar a una fuga de datos masiva. Podría ser tan simple como un niño usando una sonrisa o un cumplido en una matriz de

manipularlos para que permita que el niño permanezca sólo un poco más largo. El complemento puede haber sido sincera y

genuina, pero si el propósito de dar el cumplido es otro que el de hacer sentir al receptor mejor sobre sí mismos nada, que es la

manipulación, el engaño y, por lo tanto, la ingeniería social. El hecho es que cualquier forma de engaño para obtener beneficios

personales cae en la categoría de ingeniería social.

Las técnicas utilizadas por los ingenieros sociales se dividen en las siguientes categorías básicas. Hay potencialmente

otros, pero estos parecen ser los más comunes.

4.1.1. Suplantación de identidad

Fraudes electrónicos podrían ser los tipos más comunes de ataques de ingeniería social utilizadas hoy en día. La mayoría de

los fraudes electrónicos tienden a tener las características siguientes (Bisson, 2015):

• Buscan obtener información de identificación personal (PII), tales como nombres, direcciones y números de la seguridad

social.

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   7

• Ellos tienden a utilizar las URL acortadas o enlaces embed que los usuarios de redirección a sitios que aparecen legítimo.

• Por lo general, tratan de inculcar un sentido de urgencia en el usuario mediante el uso de algún tipo de táctica de miedo o una

amenaza en un intento de conseguir que el usuario actúe de inmediato. Algunos correos electrónicos de phishing son más pobremente

elaborados que otros en la medida en que sus mensajes muchas veces los presentan errores ortográficos y gramaticales, pero estos

correos electrónicos no son menos orientado a dirigir las víctimas a un sitio web falso o la forma en la que pueden robar las credenciales

de inicio de sesión de usuario y otra información personal (Trabajador , 2008).

Una estafa reciente envía correos electrónicos de phishing a los usuarios después se instalaron agrietados archivos APK desde

Google Play Books que fueron pre-cargado con software malicioso. Esta campaña específica phishing demuestra cómo los atacantes

comúnmente se emparejan con los ataques de phishing de malware en un intento de robar información de los usuarios (Whitwam, 2015).

4.1.2. lanza Sitio de caza

spear phishing es muy similar a los ataques de phishing con una diferencia importante. Mientras que los ataques de phishing tienden a

ser muy dispersada por la naturaleza; que es un correo electrónico de phishing se puede enviar a miles de dominios, spear phishing es mucho

más específico. Por lo general, una lanza ataque de phishing se centrará en una sola organización, un grupo de individuos dentro de una

organización o incluso un solo individuo (Zitter, 2015). La intención es la misma de una suplantación de identidad, pero la tasa de éxito es a

menudo más altos debido a que el atacante menudo investigará la organización o individuo durante semanas o meses para encontrar

cualquier vulnerabilidad que pueden explotar. Por ejemplo, si un atacante aprende a través de medios de comunicación social que cierta CEO

tiene una debilidad por un cierto caridad, que pueden fabricar un correo electrónico que va a explotar eso y tal vez incluso engañar al director

general para que revelen información personal o sensible de la organización.

En una lanza real phishing intento de ataque, KnowBe4, una conciencia de la seguridad Formación y Simulación de phishing

compañía de plataforma en el área de Tampa, FL, recibió una lanza phishing de correo electrónico en septiembre de 2015. Fue recibido

por el controlador de KnowBe4 supuestamente desde el “CTO” solicitando un alambre transferir. Desde el controlador, estaba bien

entrenado en lo que debe buscar, ella inmediatamente se dirigió al director general. El CEO decidió activar el atacante y parece cumplir

con la solicitud. El atacante aparentemente había llevado a cabo una investigación somera sobre la

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   8

compañía y fue capaz de identificar el controlador y CTO, pero claramente no es suficiente investigación para saber que se trataba de

expertos en las técnicas de phishing de lanza (comunicado de prensa KnowBe4,

2015).

“Desde que envían millones de correos electrónicos de phishing simuladas a nuestros más de 2.000 clientes empresariales cada año,

decidimos tener un buen rato con estos estafadores”, dijo el CEO de KnowBe4 Stu Sjouwerman. el atacante había pasado un poco más de

tiempo para ver lo que realmente hacemos, podría haber cambiado de opinión desde su intento de fraude electrónico “.

correo electrónico real Figura 1. Imagen pf enviado a KnowBe4 en un intento de tener alambre fondos transferidos.

KnowBe4 analizó el correo electrónico atacantes. Los encabezados de correo electrónico revelaron que el atacante crea una cuenta

de alojamiento con GoDaddy para obtener acceso a un sistema de entrega de correo electrónico. El atacante utiliza un cliente de correo de

código abierto para encabezados de correo electrónico falsos y recoger el respondió a mensajes de correo electrónico en una cuenta de AOL.

El director general tenía el controlador de contestar de nuevo y para el atacante y simplemente preguntar "¿Cuánto y dónde?"

posterior respuesta del atacante contenía la información bancaria con la información bancaria real, sino un nombre de la empresa y la

dirección falsa. KnowBe4 decidió phishing volver al atacante y ha creado una cuenta de correo electrónico AOL falsa que se cobró la

cuenta del atacante estaba cerrada. El atacante cometió un error fatal y hace clic en el enlace que permitió KnowBe4 para obtener su

dirección IP. Estos datos se envió luego a equipo de seguridad de AOL y Internet Crime Complaint Center del FBI (comunicado de

prensa KnowBe4, 2015).

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   9

Figura 2. correo electrónico real enviada desde la parte posterior KnowBe4 al atacante. Cuando el atacante hace clic en el enlace, KnowBe4 capturado su
dirección IP que se reenvían al FBI a investigar.

4.1.3. Molestar

Cebo es en muchos aspectos similar a los ataques de phishing. Sin embargo, lo que distingue cebo de otros tipos de ingeniería

social es la promesa de un artículo o bien que los hackers utilizan a las víctimas tiente. Baiters pueden ofrecer a los usuarios descargas de

música o de películas gratuitos si proporcionan sus credenciales de acceso a una determinada aplicación o sitio web (DeWolf, 2013).

ataques de cebo no se restringen a los esquemas en línea, ya sea. Los atacantes también pueden centrarse en la explotación de la

curiosidad humana a través del uso de medios físicos.

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   10

Uno de estos ataques fue documentado por Steve Stasiukonis, vicepresidente y fundador de Secure Network Technologies,

Inc., en 2006. Para evaluar la seguridad de un cliente financiero, Steve y su equipo infectado a decenas de puertos USB con un

virus troyano y los dispersó alrededor de la estacionamiento de organización. Curioso, muchos de los empleados del cliente recogió

las memorias USB y los enchufados en sus ordenadores, que activan un capturador de teclado y dieron Steve acceso a una serie de

credenciales de acceso de los empleados (Johansson, 2008).

4.2. Acceso físico

4.2.1. pretexting

Pretexting es otra forma de ingeniería social, donde los atacantes se centran en la creación de un buen pretexto, o un

escenario fabricada, que pueden utilizar para tratar de robar información personal de sus víctimas. Estos tipos de ataques

comúnmente toman la forma de un estafador que se hace pasar que necesitan ciertos bits de información de su objetivo con el fin

de confirmar su identidad (Henry, 2014).

Más ataques avanzados también tratarán de manipular sus objetivos en la realización de una acción que les permite

explotar las debilidades estructurales de una organización o empresa. Un buen ejemplo de esto sería un atacante que se hace

pasar por un auditor externo y los servicios de TI manipula personal de seguridad física de una empresa para que les permitan

entrar en el edificio (Ashford,

2016).

A diferencia de los correos electrónicos de phishing, que utilizan el miedo y la urgencia en su beneficio, los ataques de

pretextos se basan en la construcción de un falso sentido de confianza con la víctima. Esto requiere que el atacante para construir una

historia creíble que deja poco espacio para la duda por parte de su objetivo (Bisson,

2015).

Pretexting ataques son comúnmente utilizados para obtener tanto información sensible y no sensible. En uno de

esos casos, un grupo de estafadores se hizo pasar por representantes de agencias de modelos y servicios de escolta,

historias de fondo falsas inventadas y preguntas de la entrevista con el fin de tener las mujeres, incluidas las adolescentes,

enviarles fotos de desnudos de sí mismos (Workman, 2008).

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   11

4.2.2. chupar rueda

Otro tipo de ataque de ingeniería social se conoce como al aire libre o “a cuestas” (Bisson, 2015).

Este tipo de ataque implica un individuo no autorizado después de un empleado u otra persona autorizada

en un área restringida.

En un tipo común de chupar rueda ataque, el atacante se hace pasar por un servicio de mensajería y espera fuera de un edificio.

Cuando aprobación y de la seguridad de un empleado gana abre la puerta a su zona de oficinas, el atacante pide que la retención de los

empleados de la puerta, obteniendo con ello el acceso fuera de alguien que está autorizado a entrar en la empresa.

Chupar rueda no funciona en todos los entornos corporativos, como en las compañías más grandes donde se requieren todas las

personas que entran en un edificio para pasar una. Sin embargo, en las empresas de tamaño medio, los atacantes pueden entablar

conversaciones con los empleados y el uso de este espectáculo de familiaridad de conseguir con éxito más allá de cualquier seguridad

basada en la insignia en su sitio (Peltier, 2006).

4.3.3. Quid pro quo

Del mismo modo, quid pro quo ataques prometen un beneficio a cambio de información. Este beneficio por lo general

toma la forma de un servicio, mientras cebo toma frecuentemente la forma de un bien.

Uno de los tipos más comunes de contrapartida ataques implican atacantes que se hacen pasar por gente de TI y de

servicios que se llaman “vish” tantos números directos que pertenecen a una empresa, ya que pueden adquirir. Estos atacantes lo

ofrecen asistencia a todas y cada una de sus víctimas. Ellos prometen una solución rápida a cambio de que el empleado

deshabilitar su programa de AV y de instalación de malware en sus equipos aparentemente como una actualización de software

(Bisson, 2015).

Es importante señalar, sin embargo, que los atacantes pueden utilizar mucho menos sofisticado contrapartida ofertas de lo que fija.

Como ejemplos del mundo real han demostrado, los trabajadores de oficina están más que dispuestos a regalar sus contraseñas para un

bolígrafo barato o incluso una barra de chocolate.

De hecho, Colin Greenless, un consultor de seguridad de Siemens Enterprise Communications, utiliza estas mismas tácticas para

obtener acceso a varias plantas diferentes, así como la sala de datos en una empresa financiera que cotiza en el FTSE. Incluso fue capaz

de basar el propio en un tercer piso de la sala de reuniones, de las cuales trabajó durante varios días (Bisson, 2015).

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   12

Permitiendo el acceso físico a una sala de servidores o incluso un punto final es extremadamente peligroso desde una perspectiva de

seguridad de la información. Una vez que un mal actor tiene este nivel de acceso que puedan instalar fácilmente los dispositivos USB, como

una tortuga WAN o una goma patito de que, o bien permitirles el acceso a través de una concha o pueden ejecutarse automáticamente

secuencias de comandos simples que pueden infectar un punto final y dar a un atacante acceder de donde sea.

4.3. Medios de comunicación social

Y, por último, más allá de los medios electrónicos y físicos de la ingeniería social, hay una tercera categoría. Se

puede considerar el acceso “electrónico”, pero es realmente más de un híbrido entre el acceso electrónico y físico / virtual, ya

que requiere la electrónica para acceder a la información de un individuo, sino utilizar esa información en beneficio de un

atacante puede incluir algún tipo de es decir, la interacción “virtual” un mensaje en Facebook o un comentario en un puesto de

Instagram (Algarni, Xu, Chan, y Tian, ​2014).

Muchas personas hoy en línea tienden a ser demasiado libre en el intercambio de lo que ven como información

inofensiva o benigno. Pero los hackers ver esta información de manera muy diferente; especialmente aquellos cuya preferida

ataque vector es el robo de identidad. Y para agravar la situación, el intercambio de información personal por lo general se

siente alentado por los sitios de medios sociales propios. Esa es su manera de saber cómo dirigirse a un individuo para la

publicidad. Cuanto más una red social sabe acerca de los intereses y hábitos de una persona, más probable es que se presente

la publicidad que será atractivo y eficaz y, en última instancia, más ingresos que generará. Los anunciantes quieren publicidad

más específica porque la publicidad dirigida equivale a más ingresos por publicidad dólar gastado.

A continuación se presentan algunos tipos de información para evitar compartir en las redes sociales, ya que tienden a ser

utilizado como respuestas a las preguntas de seguridad y, a menudo tienden a ser incluidos en las contraseñas (Lewis,

2014).

• Nombre completo (nombre especialmente en medio)

• Fecha de nacimiento

• Nombre de mascota

• Pueblo natal

• lugares y fechas de graduación de la escuela

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   13

• Otras afiliaciones, intereses y aficiones

Pero la ingeniería social en los medios sociales no es sobre la orientación de información sobre los usuarios. También se puede

utilizar para crear perfiles falsos que aparecen legítima a los efectos de que se ha ganado la confianza y conexiones (Algarni, Xu, Chan, y

Tian, ​2014).

En 2015, los investigadores de seguridad descubrieron más de dos docenas de falsos perfiles de LinkedIn que

aparentemente se crearon con la intención de poner en peligro la seguridad de las organizaciones que participan en diversas

industrias, incluyendo telecomunicaciones, servicios públicos, defensa y gobierno (Paganini, 2015).

Los ocho perfiles centrales del grupo afirmaron ser empleados de empresas como Northrop Grumman, Airbus,

Teledyne y Corea del Sur mantiene firme Doosan. El resto de los perfiles falsos fueron creados para llenar la red y

crea los perfiles básicos parecen más legítimo.

De acuerdo con InfoWorld, cinco de los ocho perfiles básicos que se considere que las empresas de selección, un papel que

justificaría objetivos potenciales de contacto con el frío del pirateo. Podría hacer esos objetivos más probables para creer los perfiles y

posibles ofertas de trabajo eran auténticos.

Los investigadores de seguridad fueron capaces de identificar los perfiles falsos a través de un examen minucioso de los detalles del

perfil. Por ejemplo, algunas de las fotos de perfil resultó en otro lugar en la web, a menudo en sitios para adultos, mientras que las

descripciones de trabajo utilizan el texto de anuncios de trabajo (Robinson, 2015).

En el momento en la red fraudulenta fue expuesto y llevado hacia abajo, se había desarrollado conexiones a más de

500 individuos reales, ubicados principalmente en el Oriente Medio, África del Norte y Asia del Sur.

El reto para las empresas y sus empleados es que el tipo de escrutinio que expuso este esfuerzo piratería es

tedioso, lento y generalmente fuera del alcance de muchas personas o incluso organizaciones enteras (Robinson,

2015).

5. La psicología de la ingeniería social


Ahora que la ingeniería social ha sido definida y las herramientas y técnicas de ingenieros sociales utilizar para explotar el

“wetware”, el siguiente paso es entender por qué los seres humanos son víctimas de esas herramientas y técnicas. Las preguntas de

esta sección trata de abordar son los siguientes:

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   14

1) ¿Todos los seres humanos son víctimas en algún momento a los ataques de ingeniería social?

2) ¿Son ciertas personas con ciertos tipos de personalidad u otras cualidades innatas más susceptibles a este

tipo de ataques?

3) ¿Son ciertas personas con ciertos tipos de personalidad u otras cualidades innatas más susceptibles a este

tipo de ataques?

5.1. Pregunta 1: ¿Todos los seres humanos son víctimas en algún momento a los ataques de ingeniería

social?

La primera pregunta tiene que ver con las tendencias generales comunes y la naturaleza humana. El hecho es que la

ingeniería social se basa en el engaño y todos los seres humanos son susceptibles de ser engañado. Hay algunas razones para

esto, pero la más relevante a este tema se deriva de la forma en la mayoría de los padres para estar en sociedad, los niños

enseñan de hoy en día, como los Boy Scouts estados lema, confianza, leal, servicial, amable, cortés, amable, obediente , alegre,

ahorrativo, valiente, limpio y reverente.

Tenga en cuenta que existen al menos cuatro características que la sociedad considera valorada en esa lista que son presa de los

ingenieros sociales (Peltier, 2006.) La primera es digno de confianza. Como parte de una sociedad civilizada, más se esfuerzan por ser

digno de confianza. Y al hacerlo, esperan que la mayoría de los demás están tratando de la misma manera. Por eso, cuando un ingeniero

social se aproxima a un individuo para ganar la entrada no autorizada en una oficina, lo que hace que la persona inocente es el hecho de

que ellos mismos intentan ser honesto y digno de confianza y tienden a suponer que de un total desconocido (Workman, 2007). Incluso

después de la finalización con éxito de un programa de formación de conciencia de seguridad que trata específicamente esto como una

amenaza, las enseñanzas arraigadas desde la infancia son a menudo demasiado para superar. El objetivo a menudo tienen dolores

iniciales de escepticismo y luego ceder después de sólo unos pocos segundos sin ninguna evidencia, además, que el atacante es legítimo.

Cuando se le preguntó más tarde sobre por qué se les permite al atacante obtener acceso, la respuesta es a menudo “Parecían ser

legítimo” o “Tenían una cara honesta” (Hadnagy, 2011).

La característica segunda valorado que los ingenieros sociales aprovechan de es la lealtad. Esto puede parecer contradictorio

porque un empleado que va en contra de la formación de conciencia de seguridad patrocinada por la compañía está mostrando lo

contrario de lealtad. De hecho, el ser el comportamiento que se muestra parece traición. Pero la cuestión es uno de motivación. Que

percibe el objetivo de que por

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   15

permitiendo el acceso a las instalaciones a alguien que parece ser un proveedor o contratista, que están siendo un buen

empleado (Peltier, 2006). En su propia mente, que están siendo tan leal lealtad, la traición no es la motivación que está siendo

acosada por el ingeniero social a pesar de que el resultado final es, de hecho, una traición.

Valorada característica número tres, que a menudo es explotada por los ingenieros sociales es probablemente la más

acosada. Es la tendencia y deseo de la gente para querer ser útil (Peltier,

2006). La mayoría de la gente siente que es útil es un verdadero ganar-ganar. Ayudar a los demás proporciona un servicio que

está claramente deseada y necesaria en el momento, sino que también nos hace, como seres humanos, se sienten bien con

nosotros mismos. Desde el momento un padre pide un hijo para ayudar con los trabajos de jardinería para ayudar a llevar la

mamá en las tiendas de comestibles a sólo ser un empleado bueno, siendo muy útil está arraigado en el ADN de los seres

humanos. Los ingenieros sociales explotan ese deseo innato de ser un útil dando la impresión de estar en necesidad desesperada

de ayuda. Incluso si eso significa que un empleado se dobla un poco las reglas para proporcionar esa ayuda, parece que el “hacer

lo correcto” (DePaul, 2013). Un trabajo típico de un ingeniero social es la de permanecer fuera de una oficina de espera para un

empleado autorizado para entrar y luego declarar a ellos que son nuevos y han olvidado su tarjeta de identificación.

Y, por último, el deseo de los seres humanos a ser obediente es una característica a menudo explotados por los ingenieros

sociales (Henry, 2014). Esta es sin duda una característica aprendida, ya que no es intuitivo para cualquier niño a ser obediente.

Como individuos, la gente tiende a querer hacer lo que quieren hacer cuando quieren hacerlo sin ninguna consideración por los

deseos de los demás. Los padres tienen que luchar contra esta tendencia en los niños pequeños con el fin de contribuir a una

sociedad de orden. Si esto no se enseña, el resultado sería niños que crecen a hacer lo que quieran cuando quieran. Es fácil imaginar

que una sociedad llena de estas personas podría convertirse rápidamente en el caos.

Una vez aprendido y entendido, esta característica se convierte en más de un instinto. Esto es particularmente cierto

en un entorno profesional en el que el medio de vida de un individuo podría estar en juego si son insubordinados. Casi

siempre, la personalidad de adaptación de un individuo en un entorno profesional incluye la de ser obediente. Como

profesional, se asignan tareas y la expectativa de gestión es que esas tareas son para ser completado en el tiempo previsto.

Un ingeniero social que a menudo utiliza tendencia reforzada por el medio ambiente del lugar de trabajo y

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   dieciséis

junto con un engaño de algún tipo para manipular a un empleado (Huang, Ryan, Zabel, y Palmer, 2014). Un típico

hazaña sería un ingeniero social posando como alguien que tiene autoridad otorgada a ellos por el liderazgo. El

atacante parece legítimo en que saben algo acerca de los procesos y la cadena de mando. Haciéndose pasar por tener

órdenes directas de alguien conoce el objetivo de estar a cargo y aparentemente tener suficiente información sobre la

situación de aparecer creíble, el objetivo que se siente ser “obediente” a las demandas de que el atacante está en su

mejor interés profesional.

Hay pocas dudas de que la respuesta a la pregunta 1 es un rotundo sí; todos los seres humanos son susceptibles a la

ingeniería social ya que la ingeniería social se basa en el engaño y todos los seres humanos son susceptibles de ser engañado.

Es importante tener en cuenta que la ingeniería social en este contexto no necesariamente tiene que ser un ataque. Cualquier

forma de manipulación a través de engaño puede ser considerada la ingeniería social.

5.2. Pregunta 2: ¿Son algunas personas con ciertos tipos de personalidad u otras

cualidades innatas más susceptibles a este tipo de ataques?

5.2.1 Información general

Como se señaló anteriormente, ciertos factores experimentales o culturales pueden y de hecho contribuir a la probabilidad de un

exitoso ataque de ingeniería social. Estos se aprenden las respuestas o las respuestas como resultado de el propio entorno. Pero, ¿hay

factores innatos integrados en la personalidad de uno o tendencias de comportamiento que contribuyen a un ataque con éxito, así? Si es así,

pueden estas tendencias innatas pueden superar mediante una formación específica?

Los rasgos de personalidad y tendencias varían mucho de persona a persona. Por naturaleza, algunas personas están más

confiados en contraposición a más sospechoso (Johnston, Warkentin, McBride, y Carter, 2016). Algunas personas son más dando en

contraposición a más egoísta. A medida que esto se aplica a la ingeniería social, el atacante busca explotar los que, por su propia

naturaleza, tienden a ser más útiles y más confianza (Abraham y Chengalur-Smith, 2010). A diferencia de las respuestas aprendidas de

nuestro tema anterior, la comprensión de las tendencias posee un individuo requiere tiempo y esfuerzo. Un ingeniero social puede no

dirigirse a un individuo poco después de reunirse con ellos, pero medida que avanza la relación, el atacante puede ver una oportunidad

basada en la observación de que un individuo es más probable que sea susceptible al ataque basado en sus tendencias. Esto es

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   17

especialmente cierto después de una confianza ha formado a lo largo de un período de tiempo. De hecho, el “atacante” no puede haber tenido

la intención de convertirse en un atacante. En algún momento, sin embargo, sobre la base de meses de observación, vieron una oportunidad

de explotar una tendencia particular de un individuo y se aprovecharon.

Al igual que con las respuestas aprendidas, las tendencias innatas de los seres humanos pueden ser superados mediante la

formación y sensibilización (Johnston, Warkentin, McBride, y Carter, 2016). La persona que sale de su cartera abierta y sin vigilancia

debe ser entrenado que este hábito genera un riesgo. A menudo, esta formación es más eficaz en la forma de un susto al objetivo. Si

un colega honesto se da cuenta de la cartera que se deja abierto y sin vigilancia, podrían tener temporalmente una tarjeta de crédito

para entrenar al objetivo. Cuando el objetivo se da cuenta de que falta, el trauma de que hace una impresión indeleble que no se olvida

pronto. La próxima vez que empiezan a salir de la zona abierta con su cartera, que sin duda será recordado ese incidente y tomar las

medidas apropiadas para asegurar sus pertenencias.

5.2.2 Determinación de los tipos de personalidad científico

Como se discutió en la sección anterior, las tendencias de los individuos pueden ser observadas, documentadas y en

última instancia, explotados por las personas que así lo quieren. El problema con la determinación de las tendencias de un

individuo con este método es que es reactiva (Aitel, 2012). Sólo después de una explotación se ha producido será reconocida la

tendencia y corregido y, tal vez, ni siquiera entonces.

Para abordar el problema de ser reactiva, una organización debe ser proactivo. Si esas tendencias de riesgo se podrían

probar para, analizados y representaron con antelación de tal infracción, la brecha se podría evitar o al menos reducir al mínimo

(Johnston, Warkentin, McBride, y Carter, 2016). Una forma de hacer esto es evaluar científicamente los tipos de personalidad y

el comportamiento de los individuos. Muchas organizaciones ya hacen esto para otros fines, tales como la colocación del

empleado con la personalidad adecuada en un papel que es el más adecuado para su personalidad (Bariff y Lusk, 1977). O

para asegurar que se colocan en un equipo o equipos que va a crear un ambiente de trabajo sinérgico con otros miembros del

equipo, ya sea con personalidades similares o complementarios para evitar conflictos o incluso promover conflictos que a

menudo los combustibles creatividad y la competencia.

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   18

Hay varias herramientas y técnicas que se han creado durante los años que científicamente puede ayudar a determinar

los rasgos de personalidad de los recursos humanos de una organización. A los efectos de esta discusión, la atención se

centrará en el método descrito en la Tabla 1 a continuación. Se conoce como los cinco grandes o el océano. MAR es un

acrónimo de los cinco rasgos de personalidad principales: La apertura, la escrupulosidad, extraversión, agradabilidad y

neuroticismo (Zhuang, 2006).

Tabla 1. Los principales rasgos de la personalidad y sus descripciones.

La tabla siguiente es la tabla de referencias MAR anteriormente. Asimismo, señala cómo ciertos tipos de personalidad basado
en el conjunto de marcos del océano son más o menos propensos a violar la política de seguridad cibernética. Se tienen en cuenta
otros factores, así como la amenaza de severidad, Auto-Eficacia, Sanción Gravedad y el coste de respuesta. Esto demuestra
claramente la correlación entre los tipos de personalidad y su probabilidad de ser víctima de un ataque de ingeniería social (Johnston,
Warkentin, McBride, y Carter, 2016).

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   19

Tabla 2. El desglose de cómo son más o menos propensos a violar las políticas de seguridad de algunos tipos de personalidad basados ​en el océano.

5.3. Pregunta 3: ¿Puede un programa de formación de conciencia de seguridad

personalizarse en función del tipo de personalidad, rasgos comunes experimentales u

otros rasgos que reducirá la probabilidad de ataques con éxito?

Muchas organizaciones tienden a llevar a cabo la formación de conciencia de seguridad mediante el uso de un tercero de algún tipo.

Esto se logra típicamente través de un contrato una empresa de seguridad para llevar a cabo esta formación en vivo o mediante la compra de

una herramienta de formación de terceros, tales como software o vídeos. Esto, por supuesto, implica que el tercero ofrece una solución

“enlatados” que cubre los conceptos básicos en un nivel alto, pero no se toman el tiempo o esfuerzo para entender las necesidades de

formación detallados de la organización. Desde la perspectiva de la organización, esto es un mal necesario. A menudo, la organización se

acaba “marcando la casilla” así que cuando un cliente pregunta si tienen un programa de formación de conciencia de seguridad, la

organización puede responder con la verdad sí (Winkler y Manke, 2013).

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   20

A medida que los atacantes se vuelven más sofisticados y más específica en sus ataques con lanza como phishing o avanzar

amenazas persistentes, este enfoque es rápidamente se convierte en extremadamente inadecuado. En un futuro próximo, la formación de

conciencia de seguridad debe ser tan sofisticado como los ataques. De lo contrario, habrá poca utilidad en tener todo. Para ello, la formación

de conciencia de seguridad debe entrenar al mismo nivel en el que se producen los ataques. Por ejemplo, si un ataque se dirige a un individuo

en particular en función de su posición en la empresa o su acceso privilegiado, la formación de conciencia de seguridad debe formar a los

individuos por separado y con mayor detalle y específicamente para la forma en que son propensos a ser atacados. Un administrador del

sistema, por ejemplo, es probable que sea atacado debido a su acceso privilegiado de una manera muy diferente a un auxiliar administrativo.

Un empleado de cuentas por pagar puede ser atacado de manera diferente que un director financiero porque la persona AP tiene la

capacidad de crear e imprimir cheques o tiene cierta información de la cuenta bancaria sensibles fácilmente disponible mientras que esto no

suele ser el caso de un director financiero. la formación de conciencia de seguridad como una “marca la casilla” ejercicio no va a entrenar

adecuadamente a los individuos en una organización que tienen más probabilidades de ser objetivo sobre la base de su acceso a la

información sensible (Winkler y Manke, 2013) ..

las necesidades de formación de conciencia de seguridad a los usuarios finales, incluso a ser revisados ​para tener en cuenta las

características de la personalidad y tendencias innatas como se señaló anteriormente. Si un atacante ha comprometido a un usuario en

particular y el seguimiento de su comportamiento, el atacante puede notar que frecuentan un sitio web en particular que no está

relacionado con la empresa, sino que es un interés personal del empleado. En este escenario, sería razonable suponer que el atacante

podría realizar algún tipo de ataque man-in-the-middle que parodia el sitio y solicita cierta información sensible (Lewis, 2010). Entonces,

el usuario entra en su información sensible y lo somete a pensar que estaba segura manejada por un sitio de confianza. Lo que

realmente sucedió es que el usuario acaba de enviar su información confidencial al atacante. Los usuarios finales son casi nunca

entrenados para tener cuidado con los sitios web legítimos que frecuenta todo el mundo como Google o Amazon y cómo decir la

diferencia entre el sitio legítimo y uno falsificado. Sin embargo, un atacante puede falsificar casi cualquier sitio. Muy pocos usuarios son

conscientes de ello, aunque la mayoría de ellos pasan por “la formación de conciencia de seguridad” al año (Bullée, Montoya, Pieters,

Junger, y Hartel, 2015).

Este es sólo un ejemplo de cómo, a menos que la formación de conciencia de seguridad se vuelve más sofisticada, las

organizaciones seguirán siendo vulnerables a los atacantes especialmente a través sociales

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   21

Ingenieria. Hay literalmente cientos de otros escenarios de ingeniería social que no se mencionan. Y si bien puede impráctico para

capacitar a todos los empleados en cada amenaza potencial, es posible modularizar la formación en base a ciertos vectores de amenazas

tales como el nivel de acceso, el uso de Internet o incluso los tipos de personalidad.

6. La Solución
En última instancia, la solución es crear una en la casa, hecha a la medida de conciencia de seguridad y programa de

entrenamiento. Se debe tener en cuenta todos los factores que afectan a la organización, así como los factores conductuales y de

personalidad discutido previamente. Se debe planificarse, diseñado, implementado y medido. Hay que “al horno-in” para los

procesos cotidianos de la organización hasta que se convierte en parte de la cultura de la organización.

6.1. Planificar la formación

El primer paso en la planificación de la formación es establecer los objetivos de la formación. Los objetivos deben

realista, alcanzable y medible (Gupta, nd). Los objetivos reales pueden variar de una organización a pero algunos ejemplos

podrían incluir:

• Asegúrese de que todos los empleados a aprender las políticas y procedimientos de seguridad para el final de la Q2.

• Reducir el uso de Internet por razones personales en un 30%.

• Reducir el número de incidentes relacionados con la seguridad, debido a la ingeniería social en un 30% a finales de Q3.

El siguiente paso es planificar las pruebas de personalidad. Plan de tiempo para investigar y seleccionar la mejor prueba

de la personalidad de la organización. El método OCEAN mencionado anteriormente es sólo un ejemplo (Johnston, Warkentin,

McBride, y Carter, 2016). Otros incluyen Myers-Briggs, el perfil de pinza y el disco. Hay un sinnúmero de otros. Se debe tener

cuidado para seleccionar la mejor prueba para la organización.

Por último, el método de formato y la entrega de la formación debe ser determinado. Esto debe tomar en cuenta todos los

factores, tales como medios de formación, materiales de capacitación, ubicación de los empleados si la organización es, varios idiomas

globales. Un plan de proyecto debe ser presentado para determinar todas las tareas pertinentes, prevista para el inicio y finalización de

cada tarea, predecesores y proyectadas fecha completa de la formación.

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   22

6.2 Realizar la prueba de personalidad

Una vez que el proveedor de pruebas adecuado ha sido seleccionada, la prueba de la personalidad debe comenzar tan pronto

como sea posible. Esto se debe a que el diseño del programa en sí no puede comenzar hasta que la pruebas de personalidad es completa.

Una vez que la prueba se ha completado, analizar los resultados a los empleados categorizar según el tipo de personalidad

(Johnston, Warkentin, McBride, y Carter, 2016). No puede haber tantos o tan pocos como tiene sentido, pero hay que señalar que se

creará un programa de entrenamiento personalizado para cada categoría.

6.3 Diseñar el programa de concienciación sobre la seguridad

Una vez que la prueba y el análisis se ha completado, el diseño de cada programa puede comenzar (Gupta, sf).

El diseño debe adaptarse a centrarse en las fortalezas potenciales, y lo más importante, las debilidades de cada tipo de

personalidad.

Por ejemplo, si las pruebas de un empleado en particular que caen en el tipo de personalidad extrovertida y se sabe que los

extrovertidos la mínima sensación de amenaza de severidad son más propensos a violar las políticas de seguridad de la empresa; estarán

capacitados para comprender plenamente todas las amenazas conocidas y las consecuencias de esos. Esto no quiere decir que todos los

empleados que no recibirán la formación, así pero para extrovertidos que será un punto de enfoque.

6.4 Desarrollar la formación de conciencia de seguridad

Ahora que la personalidad y el diseño se completa, el desarrollo de la formación puede comenzar (Gupta, sf). El diseño

debe adaptarse a centrarse en las fortalezas potenciales, y lo más importante, las debilidades de cada tipo de personalidad. Desde

el proceso de planificación, materiales de capacitación deben ser creados, las instalaciones deben estar bien sujetos y los horarios

deben ser finalizados. Un ensayo de los materiales se debe realizar en un pequeño grupo de funciones cruzadas de los empleados

y de realimentación se debe recoger y se incorporan en su caso. Además, este es el lugar donde los criterios de éxito deben ser

determinados de manera que cuando se miden los resultados, la gestión sabrá si el programa es un éxito.

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   23

6.5 Poner en práctica la formación de conciencia de seguridad

Esta es la culminación de los pasos anteriores. La planificación se completa, personalidades han sido determinados y

clasificados, y los materiales de formación se han escrito y reescrito. Suponiendo que todos aquellos se hace correctamente, la

entrega de la capacitación debe ir sin problemas. Es importante tener en cuenta que la entrega de la capacitación (y debería)

evolucionan con el tiempo (Gupta,

Dakota del Norte). Además, esto es cuando la cultura de la empresa debe empezar a cambiar. Las políticas y los plazos deben ser

implementados para asegurar el conocimiento de seguridad se convierte en arraigado en la mentalidad de cada empleado y se convierte

en una parte natural de los procesos de la organización.

7. Conclusión
La ingeniería social es más frecuente y más de una amenaza de lo que ha sido nunca. Como indica la figura 3, los ataques

como resultado de la ingeniería social comenzaron a dispararse en 2004 y que no parece que una ralentización de esta tendencia está

ocurriendo en un futuro próximo.

Figura 3. Número de incidentes de seguridad como resultado de la ingeniería social.

Los ataques a la información confidencial de una organización utilizando la ingeniería social son más específicas y

más sofisticada que nunca. la formación de conciencia de seguridad no ha seguido el ritmo con el nivel de sofisticación de

ingeniería social. A pesar de este hecho, la comunidad cibernética se niega a reconocer la gravedad de la amenaza. De

hecho, en la última versión de

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   24

los 20 controles críticos, publicada en octubre de 2015 mediante el Centro de Seguridad de Internet, la clasificación del

control relevante, a saber, “Seguridad evaluación de habilidades y formación adecuadas para llenar los vacíos”, cayó

desde el número 9 en la versión 5 para el número 17 en la versión 6. Se es importante señalar que estos controles se

clasifican por orden de gravedad de la amenaza. Es lógico si la comunidad cibernética no reconoce la amenaza como

crítica, entonces las organizaciones a las que ofrecen servicios de consultoría tampoco. Como resultado, los empleados

siguen cayendo para los ataques de ingeniería social a un ritmo alarmante y están costando organizaciones mil millones

al año (Ashford, 2016). Si bien es imposible evitar todos los ataques contra el wetware porque hay muchas

complejidades y variables dentro de la mente humana,

El desafío para una organización es revisar su actual conciencia de seguridad objetivo del programa de formación. Determinar si su

verdadero propósito es prevenir las infracciones y posible pérdida de datos o es sólo para “marcar la casilla” y ser capaz de responder con la

verdad cuestionario de seguridad de un cliente potencial. Una vez que la pregunta ha sido contestada, el siguiente reto es determinar de forma

proactiva cuál de los empleados de una organización son los más susceptibles a ataques de ingeniería social mediante la determinación

científicamente sus rasgos de personalidad y tendencias. Una forma de determinar esto sería documento que los empleados durante un

período de tiempo dado han sido víctimas de ataques de ingeniería social y prueba de ellos para determinar sus tipos de personalidad y

tendencias. A continuación, revise los perfiles de personalidad de las víctimas y referencia cruzada en busca de similitudes. Luego, una vez

cada empleado ha sido probado, debe ser obvio cuál de los empleados son más propensos a ser víctimas. Finalmente, el último reto es

demasiado personalizar y adaptar su programa de formación de conciencia de seguridad para hacer frente a las tendencias de los empleados

de más alto riesgo. Este esfuerzo debe estar basada en varios factores tales como lo que se utilizó el tipo de ingeniería social para victimizar a

la diana (phishing, quid pro quo, etc.). A continuación, diseñar un programa de entrenamiento dirigido a sólo aquellos empleados que se enfoca

en el tipo exacto de la ingeniería social que se utilizó. Este esfuerzo debe estar basada en varios factores tales como lo que se utilizó el tipo de

ingeniería social para victimizar a la diana (phishing, quid pro quo, etc.). A continuación, diseñar un programa de entrenamiento dirigido a sólo

aquellos empleados que se enfoca en el tipo exacto de la ingeniería social que se utilizó. Este esfuerzo debe estar basada en varios factores

tales como lo que se utilizó el tipo de ingeniería social para victimizar a la diana (phishing, quid pro quo, etc.). A continuación, diseñar un

programa de entrenamiento dirigido a sólo aquellos empleados que se enfoca en el tipo exacto de la ingeniería social que se utilizó.

Cabe señalar que no todos los profesionales de la seguridad cibernética está de acuerdo con este enfoque. Hay una escuela de

pensamiento que los estados que gastar dinero en la formación de conciencia de seguridad es un desperdicio. El argumento es que cualquier

presupuesto destinado a la formación de conciencia de seguridad estaría mejor invertido en la seguridad de las redes, servidores y estaciones

de trabajo (Aitel, 2012). La teoría es

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   25

que una mejor seguridad del hardware y el software que impediría cualquier empleado de que se les permita poner en peligro los datos

de una organización. Asimismo, debe tenerse en cuenta que esta opinión está en la inmensa minoría. La mayoría de los profesionales de

la seguridad cibernética creíbles de acuerdo en que más y mejor formación evitará que algunos atacantes de ingeniería social de alcanzar

sus objetivos.

La capacitación adecuada conciencia de seguridad lleva tiempo y es costoso. Se requiere un fuerte compromiso por parte de una

organización para seguir a través de todos los pasos descritos anteriormente. Sin embargo, en comparación con el costo potencial de una

violación tanto en dólares y la reputación de la marca, es insignificante. Con seguridad de la información mucho más de un tema hacia

delante y hacia el centro de lo que ha sido siempre, con las empresas que gastan millones de asegurar sus datos, ¿tiene sentido que salir

de esta zona tan expuesta a la amenaza?

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   26

referencias

Abraham, S., y Chengalur-Smith, I. (2010). Una visión general de malware de ingeniería social:

Tendencias, tácticas y consecuencias. Tecnología en la sociedad, 32 (3), 183-196. Aitel, D. (2012). Por qué no debe

capacitar a sus empleados para la conciencia de seguridad. OSC.

Consultado el 14 de abril de, 2016, frente

http://www.csoonline.com/article/2131941/securityawareness/why-you-shouldn-t-train-employees-for-security-awareness.html?nsdr=true

Algarni, A., Xu, Y., Chan, T., y Tian, ​Y. (2014). La ingeniería social en los sitios de redes sociales

: Lo bueno se vuelve malo. En Actas de la Conferencia de Asia Pacífico 18a en Sistemas de Información ( PACIS2014),

la Asociación de Sistemas de Información (AIS), Chengdu, China.

Applegate. SD Mayor. (2009). Ingeniería social: Hackear la Wetware! Información

Seguridad Diario: una perspectiva global, 18: 1, 40-46, DOI:

10.1080 / 19393550802623214

Ashford, W. (2016). La ingeniería social es el método de piratería superior, muestra la encuesta.

ComputerWeekly.com. Consultado el 22 de de marzo de, 2016, frente

http://www.computerweekly.com/news/4500272941/Social-engineering-is-top-hackingmethod-survey-shows

Bariff, ML, y Lusk, EJ (1977). Las pruebas cognitivas y de personalidad para el diseño de

Sistemas de Información Gerencial. Gestión de la Ciencia, 23 (8), 820-829. Bisson, D. (2015). 5

Ingeniería Social Ataques a tener en cuenta. Tripwire. Obtenido

13 de marzo de, 2016, frente

http://www.tripwire.com/state-of-security/security-awareness/5social-engineering-attacks-to-watch-out-for/

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   27

Bryce, T. (2005). La guerra de Troya: ¿mito o realidad? El Reino de los hititas, 357-371.

doi: 10.1093 / acprof: Oso / 9780199281329.003.14

Bullée, JWH, Montoya, L., Pieters, W., Junger, M., y Hartel, PH (2015). la persuasión

y experimentar la conciencia de seguridad: reducir el éxito de los ataques de ingeniería social. Diario de la

criminología experimental, 11 (1), 97-115.

Burgess, C. (2015). Tres razones ingeniería social sigue siendo una amenaza Empresas. Seguridad

Inteligencia. Consultado el 15 de de abril de, 2016, frente

https://securityintelligence.com/threereasons-social-engineering-still-threatens-companies/

Chatterjee, C. (2015). 5 pruebas de personalidad directores de recursos humanos están usando que podría hacer o romper

su entrevista de trabajo. MSN Money. Consultado el 30 de de marzo de, 2016, frente

http://www.msn.com/en-nz/money/careersandeducation/5-personality-tests-hiringmanagers-are-using-that-could-make-or-break-your-next-

trabajo de entrevista / arBBl1TRB # page = 2

Cullina, M. (2012). 9 alarmantes estadísticas sobre el robo de identidad. IDT911. Obtenido de marzo

12, 2016 de http://idt911.com/education/blog/9-alarming-statistics-about-identitytheft

Dattner, B. (2014). La mayoría del trabajo Los conflictos no se deben a la personalidad. Harvard Business

Revisión. Obtenido de https://hbr.org/2014/05/most-work-conflicts-arent-due-topersonality/

DePaul, N. (2013). Hackear la mente: cómo y por qué Sociales Obras de Ingeniería. Veracode.

Consultado el 12 de marzo de, 2016, frente

https://www.veracode.com/blog/2013/03/hacking-themind-how-why-social-engineering-works

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   28

DeWolf, J. (2013). 5 tipos de ataques de ingeniería social. Datto. Obtenido 20 de abril de, el año 2016

de http://www.datto.com/blog/5-types-of-social-engineering-attacks Flores, WR, y Ekstedt, M.

(2016). Dar forma a la intención de resistir la ingeniería social a través

liderazgo transformacional, la cultura y la conciencia de seguridad de la información. Computadoras y Seguridad, 59, 26-44.

Gardner, B., & Thomas, V. (2014). La construcción de un programa de sensibilización Seguridad de la Información:

La defensa contra la ingeniería social y técnica Amenazas. Elsevier. Goodchild, J. (2011). Ingeniería

social: 3 ejemplos de piratería humano. OSC. Obtenido

12 de marzo de, 2016, frente

http://www.csoonline.com/article/2126983/socialengineering/social-engineering-social-engineering-3-examples-of-humanhacking.htm

Gupta, M. (nd). Diseño y desarrollo de un sistema eficaz sobre temas de seguridad

y el programa de entrenamiento. Instituto Nacional de Estándares y Tecnología. Obtenido abril

23, 2016 de http://csrc.nist.gov/organizations/fissea/2009-

conferencias / presentaciones / fissea09-mgupta-Día 3-panel_process-programa de acumulación de effectivetraining.pdf

Hadnagy, C. (2011). Ingeniería social: El arte de la piratería humano. Indianapolis, IN: Wiley. Huang, JL, Ryan,

AM, Zabel, KL, y Palmer, A. (2014). Personalidad y adaptativa

el rendimiento en el trabajo: Una investigación meta-analítica. Journal of Applied Psychology, 99 ( 1), 162-179. doi:

10.1037 / a0034285

Henry, A. (2014). ¿Por qué la ingeniería social debe ser su preocupación más grande de Seguridad.

Lifehacker. Consultado el 3 de abril de, 2016, frente

http://lifehacker.com/why-social-engineeringshould-be-your-biggest-security-1630321227

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   29

Heyden, J. (2011). RSA explica cómo los atacantes rompieron sus sistemas. El registro. Obtenido

09 de marzo 2016 de http://www.theregister.co.uk/2011/04/04/rsa_hack_howdunnit/ Johansson, J.

(2008). De isla en isla: El Infecciosa Allure of Vendor botín. Technet

Revista. Retreived 14 de abril de, 2016, frente

https://technet.microsoft.com/enus/magazine/2008.01.securitywatch.aspx

Johnston, AC, Warkentin, M., McBride, M., & Carter, L. (2016). y de disposición

factores de la situación: influencias sobre violaciónes de política de seguridad de la información. Revista Europea de

Sistemas de Información. doi: 10.1057 / ejis.2015.15

KnowBe4 comunicado de prensa. (2015). KnowBe4 Láminas CEO Fraude ataque gracias a la Seguridad

Entrenamiento de conciencia. Retreived 3 de abril de, 2016, frente

https://www.knowbe4.com/press/knowbe4-foils-ceo-fraud-attack-thanks-to-securityawareness-training

Krebs, B. (2013). El incumplimiento Bit9 se inició en julio de 2012. KrebsOnSecurity. Consultado el 12 de abril

2016 de http://krebsonsecurity.com/2013/02/bit9-breach-began-in-july-2012/ Lewis, K. (2014). Cómo

Social Media Networks faciliten el fraude de robo de identidad.

Organización de los empresarios. Consultado el 22 de de marzo de, 2016, frente

https://www.eonetwork.org/octane-magazine/special-features/social-media-networksfacilitate-identity-theft-fraud

Lewis, N. (2010). Correo electrónico, página web y la suplantación de IP: ¿Cómo prevenir un ataque de suplantación.

TechTarget. Consultado el 17 de de abril de, 2016, frente

http://searchsecurity.techtarget.com/tip/Email-website-and-IP-spoofing-How-to-preventa-spoofing-attack

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   30

Señor, N. (2015). Los ataques de ingeniería social: técnicas comunes y cómo prevenir un ataque.

Guardián digital. Consultado el 18 de de marzo de, 2016, frente

https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-howprevent-attack

Señor, N. (2016). Expertos en Seguridad de datos revelan la errores más grandes compañías hacen con

Datos y Seguridad de la Información. Guardián digital. Consultado el 3 de abril de, 2016, frente

https://digitalguardian.com/blog/data-security-experts-reveal-biggest-mistakescompanies-make-data-information-security

Mitnick, K. y Simon, WL (2002). El arte del engaño: Controlar el elemento humano de

seguridad. Nueva York: John Wiley & Sons.

Olavsrud, T. (2010). 9 mejores defensas contra ataques de ingeniería social. eSecurity planeta.

Consultado el 12 de marzo de, 2016, frente

http://www.esecurityplanet.com/views/article.php/3908881/9-Best-Defenses-AgainstSocial-Engineering-Attacks.htm

Olavsrud, T. (2014). 11 pasos atacantes salieron a la grieta de destino. CIO. Consultado el 18 de marzo

2016 de

http://www.cio.com/article/2600345/security0/11-steps-attackers-took-tocrack-target.html?nsdr=true

Okenyi, PO y Owens, TJ (2007). En la anatomía humana piratería. Información

Sistemas de seguridad. , 16 (6), 302-314. Consultado el 8 de abril de, 2016, frente base de datos Academic Search Premiere

Paganini, P. (2015). Según la firma Symantec, un número creciente de agentes de amenaza en

la naturaleza se dirige a los profesionales en LinkedIn con perfiles falsos de LinkedIn. Seguridad

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   31

Asuntos. Consultado el 2 de abril de, 2016, frente

http://securityaffairs.co/wordpress/42498/cybercrime/fake-linkedin-profiles.html

Pascual, A., Marchini, K., Miller, S. (2016). 2016 Identidad Fraude: Fraude realiza un Inflexión

Punto. Jabalina. Obtenido March22, 2016 de

https://www.javelinstrategy.com/coverage-area/2016-identity-fraud-fraud-hitsinflection-point

Peltier, T. (2006). Ingeniería social: conceptos y soluciones. Sistemas de Información de Seguridad,

15: 5, 13-21, DOI: 10.1201 / 1086.1065898X / 46353.15.4.20060901 / 95427.3 Peters, S. (2015). Los siete

mejores ataques de ingeniería social cada vez. InformationWeek oscuro

Leyendo. Consultado el 10 de marzo de, 2016, frente

http://www.darkreading.com/the-7-best-socialengineering-attacks-ever/d/d-id/1319411?image_number=4

Robinson, R. (2015). La ingeniería social atacantes Implementar falso perfiles en redes sociales

Inteligencia de seguridad. Consultado el 18 de de abril de, 2016, frente

https://securityintelligence.com/social-engineering-attackers-deploy-fake-social-mediaprofiles/

Schwartz, M. (2011). RSA SecurID Incumplimiento Costo $ 66 millones. Information Week Oscuro

Leyendo. Consultado el 11 de abril de, 2016, frente

http://www.darkreading.com/attacks-andbreaches/rsa-securid-breach-cost-$66-million/d/d-id/1099232? Vidalis, S. &

Kazmi, Z. (2007). Seguridad a través del engaño, Sistemas de Información de Seguridad,

16: 1, 34-41, DOI: 10.1080 / 10658980601051458

Whitwam, R. (2015). Google Play Books está plagado de falsos 'guías' que prometen

Agrietado Android APK, las prestaciones deseadas sólo malware y estafas de phishing. Android Police.

Consultado el 14 de abril de, 2016, frente http://www.androidpolice.com/2015/03/03/google-play-

Michael Alexander,•  michael6933@yahoo.com• 


La comprensión y la reducción de los ataques de ingeniería social   32

libros-is-arrastraban-con-falsas-guías-que-promesa-agrietada-android-un apk-proporcionar-onlymalware-y-estafas de

phishing-/

Winkler, I. y Manke, S. (2013). 7 razones para la conciencia de seguridad Falure. OSC.

Obtenido March18. 2012 desde

http://www.csoonline.com/article/2133697/metricsbudgets/7-reasons-for-security-awareness-failure.html?nsdr=true

Workman, M. (2007). Obtener acceso a la ingeniería social: un estudio empírico de la

Amenaza. Sistemas de Información de Seguridad, 16: 6, 315-331, DOI:

10.1080 / 10658980701788165

Workman, M. (2008). Wisecrackers: Una teoría - la investigación a tierra de phishing y pretexto

amenazas de ingeniería social para la seguridad de la información. Revista de la Sociedad Americana de Ciencias de la

Información y Tecnología, 59 (4), 662-674. Zhang L. (2006). Estilos de pensamiento y los cinco grandes rasgos de la personalidad

revisitados. Personalidad

y las diferencias individuales. 40: 1177-11187.

Zitter, K. (2105). Hacker Lexicon: ¿Cuáles son phishing y spear phishing ?. Con conexión de cable.

Retreived April17 de 2016 de https://www.wired.com/2015/04/hacker-lexicon-spearphishing/

Michael Alexander,•  michael6933@yahoo.com• 


Última actualización: 10 de de marzo de, 2020

Formación SANS próxima


Haga clic aquí para ver una lista de todos los cursos de SANS

SANS Secure Singapur 2020 Singapore, SG 16 marzo 2020 a 28 marzo 2020 Evento en vivo

SANS Norfolk 2020 Norfolk, VAUS Marzo 16, 2020 a marzo 21, 2020 Evento en vivo

SANS SEC504 Nantes de marzo de 2020 (en francés) Nantes, FR Marzo 16, 2020 a marzo 21, 2020 Evento en vivo

SANS marzo en Londres 2020 Londres, GB Marzo 16, 2020 a marzo 21, 2020 Evento en vivo

SEC588 Beta Uno 2020 Arlington, VAUS Mar 23 de, 2020 - 28 mar, 2020 Evento en vivo

SANS SEC560 Lyon de marzo de 2020 (en francés) Lyon, FR Mar 23 de, 2020 - 28 mar, 2020 Evento en vivo

SANS Oslo de marzo de 2020 Oslo, NO Mar 23 de, 2020 - 28 mar, 2020 Evento en vivo

SANS Madrid de marzo de 2020 Madrid, ES Mar 23 de, 2020 - 28 mar, 2020 Evento en vivo

SANS Secure Canberra 2020 Canberra, AU Mar 23 de, 2020 - 28 mar, 2020 Evento en vivo

SANS Frankfurt de marzo de 2020 Frankfurt, DE 30 de Mar, 2020 - Apr 04, 2020 Evento en vivo

SANS Filadelfia 2020 Filadelfia, PAUS 30 de Mar, 2020 - Apr 04, 2020 Evento en vivo

SANS 2020 Orlando, GRIPES 3 abril 2020 a 10 abril 2020 Evento en vivo

SANS Riad de abril de 2020 Riyadh, SA Abr 04, 2020 - 16 de Abr, 2020 Evento en vivo

SANS Muscat de abril de 2020 Muscat, OM 4 abril 2020 a 9 abril 2020 Evento en vivo

SANS 2020 Minneapolis Minneapolis, MNUS Abr 14, 2020 - 19 abr, 2020 Evento en vivo

SANS Bethesda 2020 Bethesda, de MDUS Abr 14, 2020 - 19 abr, 2020 Evento en vivo

SANS Bruselas de abril de 2020 Bruselas, BE 20 abril 2020 a 25 abril 2020 Evento en vivo

SANS Londres de abril de 2020 Londres, GB 20 abril 2020 a 25 abril 2020 Evento en vivo

SANS Boston Primavera 2020 Boston, MAUS 20 abril 2020 a 25 abril 2020 Evento en vivo

SANS SEC440 Copenhague de abril de 2020 Copenhagen, DK Abr 27 de, 2020 - 28 abr, 2020 Evento en vivo

SANS pluma de la prueba Austin 2020 Austin, Txus Abr 27 de, 2020 - 02 de mayo de, 2020 Evento en vivo

SANS Baltimore Primavera 2020 Baltimore, de MDUS Abr 27 de, 2020 - 02 de mayo de, 2020 Evento en vivo

SANS Bucarest de mayo de 2020 Bucarest, RO 4 mayo 2020 a 9 mayo 2020 Evento en vivo

SANS que Milán no 2020 Milán, IT 4 mayo 2020 a 9 mayo 2020 Evento en vivo

SANS Seguridad West 2020 San Diego, CAUS 6 mayo 2020 a 13 mayo 2020 Evento en vivo

SANS Hong Kong 2020 Hong Kong, Hong Kong 11 mayo 2020 hasta 16 mayo 2020 Evento en vivo

SANS Amsterdam Mayo 2020 Ámsterdam, NL Mayo 11, 2020 a mayo 18, 2020 Evento en vivo

SANS Norte de Virginia-2020 Alejandría Alejandría, VAUS 17 mayo 2020 a 22 mayo 2020 Evento en vivo

SANS San Antonio 2020 San Antonio, Txus 17 mayo 2020 a 22 mayo 2020 Evento en vivo

SANS otoño Sydney 2020 Sydney, AU 18 mayo 2020 a 23 mayo 2020 Evento en vivo

SANS mayo en Londres 2020 Londres, GB 18 mayo 2020 a 23 mayo 2020 Evento en vivo

SANS Estocolmo de mayo de 2020 Estocolmo, SE 25 mayo 2020 a 30 mayo 2020 Evento en vivo

SANS Doha de marzo de 2020 OnlineQA 14 marzo 2020 a 19 marzo 2020 Evento en vivo

SANS OnDemand Libros y MP3 onlyUS En cualquier momento Ritmo propio