A medida que la sociedad se vuelve más dependiente de la información, el valor de ésta se incrementa, no solamente para las mismas organizaciones que son propietarias de ella, sino también para los criminales que desean lucrar con ella al robarla.
Muchos expertos en el área de Seguridad Informática, creen que la Ingeniería Social continuará siendo la mayor amenaza para cualquier sistema de seguridad y organización.
Los ingenieros sociales emplean estrategias similares a las tradicionales estafas en los cuales una persona es engañada para obtener información confidencial.
Estas estrategias de Ingeniería Social incluyen una amplía variedad, por ejemplo, llamadas telefónicas con peticiones urgentes dirigidas a personas con privilegios administrativos o virus escondidos en correos electrónicos, que fungen como señuelos para que el usuario abra los archivos adjuntos y “caiga en la trampa”.
Los resultados de una encuesta de SearchSecurity.com indican que:
- 34% de los encuestados temen recibir archivos adjuntos en correos electrónicos
- 33% se preocupan de contraseñas débiles
- 23% temen estafas telefónicas
- 10% están preocupados de rastreadores de contenedores de basura
Para combatir los ataques mediante ingeniería social y fortaceler su organización, ofrecemos consultoría para identificar debilidades potenciales que faciliten sufrir un ataque cibernético; así como también entrenar a sus empleados para ayudarlos a volverse más conscientes de la seguridad de las redes.
Los siguientes son los tipos de pruebas de ingeniería social que podemos proveer:
1. Ingeniería Social Externa
- Reconocimiento Pasivo de Internet
Usando recursos disponibles en internet como sitios web, herramientas de búsqueda y registros DNS; reuniremos toda la información relevante como nombres de empleados, títulos, números telefónicos y correos electrónicos de la compañía, así como dicha información que se encuentre disponible en internet. Esta información será muy útil al realizar pruebas de ingeniería social de mayor nivel, es decir, más estratégicas.
- Ingeniería Social externa
Realizaremos llamadas telefónicas a colaboradores de su organización. Los empleados objetivo incluirán colaboradores de las áreas de help desk, tecnologías de información, recursos humanos, finanzas y otros.El objetivo de estas llamadas será persuadirlos para que revelen información sensible que viole las políticas de la organización.
- Ataques dirigidos de “phishing”
Correos electrónicos serán enviados a empleados y grupos de la organización para tratar de persuadirlos a que pulsen un vínculo o link externo. De esta manera recolectaremos información sensible y distribuiremos código malicioso en su navegador y sistema operativo aprovechando vulnerabilidades en sus servicios y activos de red.
- Dispositivos portables maliciosos
Memorias USB y CD-ROMs con atractivas etiquetas como “nómina” serán dejadas en áreas comunes de la organización como pasillos, baños y salas de descanso. Los dispositivos contendrán código malicioso disfrazado que recolectará información sensible de la computadora afectada acerca de la configuración de la red, lista de los procesos ejecutándose, y una lista de todas sus contraseñas cifradas. Esta información será recolectada de vuelta vía HTTPS a un servidor protegido.
- Auditoría de documentos desechados, con información sensible
Buscaremos en contenedores y receptores de basura internos, contenedores externos y áreas de eliminación, documentos sensibles desechados de maneras que violan las políticas de la organización.
- Evaluación de la seguridad de la información (seguridad física)
Evaluación de alto nivel de los controles de seguridad de su organización, incluyendo:
- Acceso al edificio
- Controles de acceso a los activos de tecnologías de información
- Controles de acceso a los conectores de LAN
Nosotros
Nuestra misión es llevar a su organización al Código Verde, es decir, la Zona Certificada en Seguridad Informática.