Home > Blog > Técnicas de investigación > Números de tarjetas de crédito, información empresarial confidencialBlog, Técnicas de investigación
El punto débil de la seguridad en internet: Los usuarios.
La Agencia de Seguridad Europea de las Redes y la Información (Enisa en sus siglas en inglés) ha observado un aumento de las técnicas psicológicas para conseguir datos personales (como números de targetas de crédito), información empresarial confidencial, …
Es más rápido, se necesitan menos conocimientos informáticos y es mucho más efectivo saber manipular a la posible víctima que intentar romper sistemas de seguridad.
El método que usan es la personalización del ataque, que consiste en investigar a las posibles víctimas en las diferentes redes sociales como Facebook, Viadeo, … para realizar un ataque personal con la información conseguida.
Es por eso que las redes sociales siempre aconsejan de hacer el perfil privado para que solo lo vean los amigos de confianza, aún así, un gran porcentaje de usuarios tienen el perfil abierto a todo el mundo.
Un ejemplo de investigación sería conseguir los hobbys de la víctima a partir de sus fotos y comentarios en Facebook, además de conseguir su e-mail y cotejarlo con otras redes sociales (ver esta entrada, hasta es posible saber la entidad bancaria con la que trabajan a partir de algún comentario crítico con algún banco.
A partir de ahí preparan un correo electrónico personalizado: con una oferta falsa pero muy atractiva, aviso falso de tu banco, links hacia tiendas falsas online que en realidad no venden nada, pero que capturan el número de la tarjeta bancaria al hacer una compra falsa.
En el estudio “Ingeniería social, explotando los puntos más débiles” se explica que los delinquentes buscan ahora información sobre grupos de internautas en las redes sociales, como Facebook o Twitter, para conocer mejor al objetivo. También invitan a descargar música con la misma intención. Incluso se han detectado algunos casos en los que los delinquentes suplantan la identidad de directivos para conseguir contraseñas.
Información de El Informe Anual de Seguridad de Cisco:
“A medida que el número de usuarios de redes sociales aumenta, también lo hacen las amenazas. Las amenazas web crecieron un 139 por ciento en 2010, mientras en el primer trimestre de 2011 las empresas se toparon con una media de 274 infecciones web mensuales. Así, para cualquier responsable de seguridad empresarial las redes sociales constituyen una potencial puerta de entrada de malware.
Con tantos usuarios accediendo a múltiples contenidos y compartiéndolos con plena libertad, un solo enlace corrupto puede suponer un tremendo fallo de seguridad capaz de extenderse con gran rapidez a lo largo de la empresa.
Así por ejemplo, el pasado mes de septiembre usuarios de LinkedIn de todo el mundo recibieron correos electrónicos con avisos que supuestamente procedían de la red social, pero que en realidad se trataba de spam. Los PCs de los destinatarios que pincharon sobre cualquiera de los links del mensaje quedaban infectados por Zeus, un troyano diseñado para robar datos bancarios personales.
Sin embargo, la amenaza del malware y del spam no es el único peligro potencial de las redes sociales; los propios usuarios pueden desvelar información corporativa sensible o confidencial sin darse cuenta.
El año pasado, el Ministerio de Defensa británico reconoció que en los últimos 18 meses había sufrido 16 fallos de seguridad al haberse filtrado información confidencial a través de los canales sociales. Mucha gente cree que no hay problema en compartir información con sus amigos en Facebook, pero podrían estar revelando información clasificada sin pretenderlo.”