LA INGENIERÍA SOCIAL Y LA SEGURIDAD EN TI1

ALEJANDRO DOMÍNGUEZ TORRES JADOMING@MAIL.UNITEC.MX

DIRECTOR ACADÉMICO MAESTRÍA EN DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN

DIVISIÓN DE ESTUDIOS DE POSGRADO UNIVERSIDAD TECNOLÓGICA DE MÉXICO, UNITEC, WWW.UNITEC.MX

En el renombrado libro El Arte de la Guerra, su autor Sun Tzu señala que “Los que se llama conocimiento previo no puede obtenerse de los espíritus, ni de los dioses, ni por analogía con los acontecimientos del pasado, ni de los cálculos. Es necesario obtenerlo de hombres que conozcan la situación del enemigo (XIII.4)”. De forma conciente o inconciente, este es el principio de actuación de los hackers al hacer Ingeniería Social. En efecto, los que más conocen la situación de una organización son, por lo general, el personal que trabaja en ella. La Ingeniería Social, en el ámbito de la TI, es el acto de obtener, o intentar obtener, información sobre seguridad de la TI por medio de engaños al personal. Así, el éxito de este tipo de ingeniería depende fuertemente de las “contribuciones” del interlocutor y del talento del que la aplica.

Existen muchos métodos dentro de la Ingeniería Social para obtener información del personal; algunos de ellos son la persuasión, la intriga, la explotación de la pasividad, el hurgamiento en los papeles de desecho, el uso de las mismas claves de seguridad en diferentes aplicaciones, la ingeniería inversa. Este último método es tal vez el más complejo puesto que se requiere tomar el papel de un alto ejecutivo de la organización a atacar y hacer preguntas a los empleados sobre la seguridad de la TI, o algunas veces pidiéndole que haga cambios en los sistemas seguridad a su cargo.

Los ingenieros sociales son personas que, por lo regular, exhiben un comportamiento amigable, pero que hacen preguntas que los demás no hacen. Además son seguros en su forma de actuar, están presentes en las situaciones críticas de seguridad y siempre dispuestos a colaborar; aunque algunas veces pareciera que cometen algunos errores u olvidos, los cuales aprovechan para hacer más preguntas y obtener más información.

Existen varias formas de disminuir los efectos de la Ingeniería Social. La más confiable es sin duda ir un paso adelante y tomar medidas de prevención con respecto a la seguridad de la TI. Esto requiere del establecimiento de políticas y procedimientos de seguridad, así como de la capacitación del personal para que puedan reconocer y disuadir las acciones de los ingenieros sociales. Para las organizaciones, contar con personal clave de seguridad en TI que conozca a fondo y reconozca los diversos métodos con los que cuenta la ingeniería social, así como otros métodos de hackeo,

1 Revista Infochannel, julio de 2005.

permite reducir los riesgos de un posible ataque a sus comunicaciones y sistemas. En otras palabras, se requiere contar con hackers que estén del lado organizacional y no del enemigo; es decir, contar con hackers éticos.