¿Cuánto vale tu contraseña? y otros experimentos de Ingeniería Social

Seba Bortnik —  6 marzo 2008 — 4 comentarios

La importancia de los passwords y la seguridad no es algo que voy a poner en tela de juicio en este post. Incluso ya escribí mis opiniones al respecto anteriormente.

Pero del dicho al hecho hay una distancia importante y, aunque es de creerse que en el ámbito empresarial la gente está más educada que en el hogareño respecto a la seguridad, no siempre es tan así. La realidad es que hay un gran déficit en cualquier contexto respecto a la concientización en seguridad. Y hoy quiero contarles sobre dos experimentos diferentes que se realizaron para medir cuánto las personas consideran primordial la seguridad.

En un primer experimento, la gente de InfoSecurity se acercó a una terminal en Londres y logró obtener las contraseñas del 90% de las personas involucradas en el exámen. ¿Cómo lo lograron? Ofreciendo un bolígrafo a cambio de la contraseña. Muchos podrán pensar que era una prueba vulnerable ya que yo podía aceptar el bolígrafo y decir cualquier password pero aún así, el número es demasiado alto como para poder considerar un error y que siga siendo increíble pensar que para tanta gente, su contraseña vale lo que un bolígrafo. Yo vuelvo con la idea de siempre: ¿cambiarías las llaves de tu casa por un bolígrafo?

En un segundo experimento, la gente de Dark Reading logró penetrar la seguridad de una organización dejando veinte memorias USB “tiradas por ahí”, en diferentes zonas de la empresa. El truco: los pen drives estaban infectados y, cuando los empleados los colocaban en la Pc, automáticamente ésta comenzaba a enviar información al atacante. Probablemente a ningúno de ustedes se les ocurriría, al encontrarse un USB, utilizarlo primero en una Pc fuera de riesgo (llámese un cyber café) y formatear el dispositivo. Sin embargo, no sería una mala práctica.

Estas experiencias están enmarcadas en técnicas que involucran a la Ingeniería Social. Ésta, consiste en manipular al usuario para lograr que éste, o bien brinde la información necesitada o ejecute una acción deseada. Si prestan atención, no hay robo de información ni un acto delictivo explícito por parte del “atacante” en estos hechos. Incluso es la misma víctima quién termina siendo el principal complice del delito.

Uno de los ingenieros sociales más conocidos, llamado Kevin Mitnick, postula que la Ingeniería Social se basa en cuatro principios, que resultan muy interesantes para entender mejor:
* Todos queremos ayudar.
* El primer movimiento es siempre de confianza hacia el otro.
* No nos gusta decir No.
* A todos nos gusta que nos alaben.

En fin, no está mal que querramos ayudar, o que nos guste confiar, pero todos estos actos, hay que hacerlos en un marco de conocimiento y conciencia. Caso contrario, las probabilidades de que seamos víctimas de algún ataque informático, son mayores de las que creemos.

Anuncios

4 comentarios para ¿Cuánto vale tu contraseña? y otros experimentos de Ingeniería Social

  1. 

    muy bueno el articulo,
    lo de las memorias usb es un punto xD

  2. 

    La contraseña es el punto que separa el espacio público del espacio privado en la web.
    Nada más y nada menos…

Trackbacks y pingbacks:

  1. En pos de la seguridad: cuida tus calzones « Mundo Binario - febrero 9, 2009

    […] ¿Cuánto vale tu contraseña? y otros experimentos de Ingeniería Social […]

  2. Virus gallegos « Mundo Binario - marzo 7, 2008

    […] El otro día les contaba un poco de qué se trata la Ingeniería Social y cómo en muchos casos, somos los mismos usuarios quienes terminamos ejecutando las acciones […]

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s