La amenaza del robo de información contenida en un correo electrónico o un sistema de una organización volvió a cobrar relevancia tras conocerse causas judiciales que pusieron a la luz investigaciones por el robo y tráfico de información confidencial
En la actualidad, si bien un hacker (aquel que accede a información en un sistema informático sin autorización) o un cracker (quien accede al haber robado la contraseña mediando el uso de softwares) son percibidos como una amenaza para la seguridad de una organización, no son las únicas. Entre las principales causas de vulnerabilidad se encuentra la ingeniería social, acaso una de las formas más utilizadas para violar una cuenta de correo electrónico.
Esta amenaza, si bien parece novedosa, no es más que el engaño para obtener información u otro beneficio; el clásico engaño que desde hace mucho tiempo conocemos como el cuento del tío.
El típico ejemplo que mejor ilustra esta problemática es el del llamado telefónico: “Buenas tardes, lo llamo de Microsoft. Veo que su nombre de usuario es maria_lopez122, pero no tiene configurada una “pregunta secreta” en su cuenta. Tuvimos un problema con la misma, alguien intentó utilizarla para cometer un delito y, a efectos de que la cuenta no sea desactivada, necesito que corrobore su contraseña…”.
Confianza ciega
En la práctica, una contraseña es frecuentemente compartida con colegas de la organización, personal del soporte técnico, familiares, amigos, etc. Como en todas las relaciones humanas, la confianza es un bien preciado que tiene su contrapartida en la traición. De esta forma, aquello que se percibía seguro, la contraseña más compleja, mejor lograda, puede ser conocida por individuos con intereses opuestos al dueño de la casilla de correo; una situación que puede provocar daños graves a una persona o a una compañía.
Contra el enfoque de los administradores de redes de generar estrategias de blindaje cada vez más sólidas, se perfeccionaron las herramientas de “ingeniería social” orientadas a vulnerar casillas de correo, sin la necesidad de hackear ni crackear. La ingeniería social no es sino el uso de la manipulación de las personas para que realicen actos o divulguen información confidencial.
En este sentido, la mejor o quizás única forma de proteger la privacidad del correo y del resto de la información es capacitar a las personas para que nunca revelen información confidencial a un extraño por más convincente que pueda parecer el pretexto. Por cierto, las medidas de seguridad tradicional siguen siendo válidas: cuidar las contraseñas, cambiarlas periódicamente, por ejemplo cada 90 días, y evitar utilizar información conocida por el entorno como fechas de nacimiento, direcciones físicas, nombres de familiares, mascotas, etc.
Es simple. La falta de conocimiento y capacitación en los recursos humanos puede determinar el fracaso, incluso contando con los sistemas de protección más avanzados. Un complemento recomendable es sumar la supervisión externa de profesionales especializados en seguridad informática, con experiencia en múltiples organizaciones y tecnologías, que brinden apoyo para monitorear la funcionalidad de los sistemas de seguridad y capacitar al personal interno.
En pocas palabras, la seguridad del correo electrónico y otros documentos digitales yace en gran medida en la habilidad de los usuarios para administrar sus contraseñas de manera segura y responsable, y de las compañías, de generar y comunicar claramente las políticas de seguridad en torno al uso de los sistemas, en donde circula uno de sus bienes más preciados, la información.
Alessio Aguirre-Pimentel
Director del Área Seguridad Informática e Informática Forense
FTI Consulting de Argentina
Esta amenaza, si bien parece novedosa, no es más que el engaño para obtener información u otro beneficio; el clásico engaño que desde hace mucho tiempo conocemos como el cuento del tío.
El típico ejemplo que mejor ilustra esta problemática es el del llamado telefónico: “Buenas tardes, lo llamo de Microsoft. Veo que su nombre de usuario es maria_lopez122, pero no tiene configurada una “pregunta secreta” en su cuenta. Tuvimos un problema con la misma, alguien intentó utilizarla para cometer un delito y, a efectos de que la cuenta no sea desactivada, necesito que corrobore su contraseña…”.
Confianza ciega
En la práctica, una contraseña es frecuentemente compartida con colegas de la organización, personal del soporte técnico, familiares, amigos, etc. Como en todas las relaciones humanas, la confianza es un bien preciado que tiene su contrapartida en la traición. De esta forma, aquello que se percibía seguro, la contraseña más compleja, mejor lograda, puede ser conocida por individuos con intereses opuestos al dueño de la casilla de correo; una situación que puede provocar daños graves a una persona o a una compañía.
Contra el enfoque de los administradores de redes de generar estrategias de blindaje cada vez más sólidas, se perfeccionaron las herramientas de “ingeniería social” orientadas a vulnerar casillas de correo, sin la necesidad de hackear ni crackear. La ingeniería social no es sino el uso de la manipulación de las personas para que realicen actos o divulguen información confidencial.
En este sentido, la mejor o quizás única forma de proteger la privacidad del correo y del resto de la información es capacitar a las personas para que nunca revelen información confidencial a un extraño por más convincente que pueda parecer el pretexto. Por cierto, las medidas de seguridad tradicional siguen siendo válidas: cuidar las contraseñas, cambiarlas periódicamente, por ejemplo cada 90 días, y evitar utilizar información conocida por el entorno como fechas de nacimiento, direcciones físicas, nombres de familiares, mascotas, etc.
Es simple. La falta de conocimiento y capacitación en los recursos humanos puede determinar el fracaso, incluso contando con los sistemas de protección más avanzados. Un complemento recomendable es sumar la supervisión externa de profesionales especializados en seguridad informática, con experiencia en múltiples organizaciones y tecnologías, que brinden apoyo para monitorear la funcionalidad de los sistemas de seguridad y capacitar al personal interno.
En pocas palabras, la seguridad del correo electrónico y otros documentos digitales yace en gran medida en la habilidad de los usuarios para administrar sus contraseñas de manera segura y responsable, y de las compañías, de generar y comunicar claramente las políticas de seguridad en torno al uso de los sistemas, en donde circula uno de sus bienes más preciados, la información.
Alessio Aguirre-Pimentel
Director del Área Seguridad Informática e Informática Forense
FTI Consulting de Argentina
No hay comentarios:
Publicar un comentario