Un experimento muestra lo fácil que es burlar la seguridad corporativa


Un consultor en seguridad se adentró en una importante entidad de servicios financieros como parte de un ejercicio y accedió a los datos de la compañía usando ingeniería social.





Colin Greenless, consultor de seguridad de Siemens Enterprise Communications, llevó a cabo durante una semana una investigación especial en uno de los clientes de su empresa para ver qué información podía obtener usando tácticas de ingeniería social. Sin el uso de ningún equipamiento especial, Greenless fue capaz de entrar en las oficinas de la compañía sin ser abordado por el personal de seguridad para, posteriormente, instalarse en una sala de la tercera planta donde trabajó durante varios días.

El consultor también accedió libremente a diferentes pisos, almacenes, archivos y pudo ver datos confidenciales dejados sobre una mesa. Asimismo, se infiltró en los datos financieros de la compañía, que figura en el FTSE 100 del Financial Times, y en su red de telecomunicaciones y TI. Haciéndose pasar por un trabajador del departamento de informática, Greenless utilizó el sistema de telefonía interno para llamar a los empleados y pedirles información.

Durante el experimento, 17 de 20 trabajadores le proporcionaron sus nombres de usuario y claves, dando a Greenless fácil acceso a los datos electrónicos. “Lo más llamativo es que fue bastante simple. Es sólo cuestión de confianza. Utilizando el truco de pegarse a alguien cuando cruza una puerta operada mediante tarjetas magnéticas o llevando dos tazas de café y esperando a que la gente te abra la puerta”, explica este consultor.

Durante la semana que pasó en la empresa financiera, Greenless se hizo amigo de varios empleados, ganándose incluso la confianza del guardia de seguridad. La ingeniería social, o las trampas basadas en la confianza del usuario, forman parte del arte de manipular a las personas para que divulguen información o realicen acciones que proporcionan acceso a los datos al que comete el fraude.Los sistemas de protección de alta tecnología son completamente inefectivos contra este tipo de ataques, donde la mayoría de los empleados son, en última instancia, inconscientes de que están siendo manipulados, apunta el consultor de Siemens.

Fuente:
http://www.csospain.es



Otras noticias de interés:

Doce boletines para febrero, siete críticos
Para el próximo martes, Microsoft anuncia la publicación de al menos 12 boletines, con una extensa cantidad de vulnerabilidades solucionadas, según su notificación de adelanto de boletines de seguridad para febrero de 2008. ...
Cada vez más brechas de seguridad se originan dentro de la propia empresa
La pérdida de datos confidenciales es la principal vulnerabilidad contra las políticas de seguridad corporativa y la pérdida de satisfacción del cliente, la mayor consecuencia, según un informe de CA....
Los códigos de seguridad fallan
La criptografía era patrimonio de militares y diplomáticos pero con la sociedad de la información pasó a ser un asunto del hombre de la calle. Esta entrevista a AMPARO FÚSTER SABATER Investigadora del Instituto de Física Aplicada de Madrid y es...
Ciberespacio y Ciberseguridad
Los términos ciberespacio y ciberseguridad gozan ya de un uso generalizado por amplios sectores de nuestra sociedad. Sin embargo, antes de abordar un análisis del estado de la ciberseguridad en España y de proponer una aproximación a su gestión,...
Cumpleaños de nuestro amigo Spectro
Felicidades en tu día amigo, recibe un cordial abrazo de tus amigos del Team Xombra. ...
Eres dueño de tu mapa social?
La polémica sobre la exportación de amigos de Facebook a Google+ lleva a plantearse una cuestión fundamental. ¿Quién es el dueño de tus contactos? Facebook siempre se ha mostrado celosa y está bloqueando cualquier opción para llevar los datos...
Eres víctima de la operación #Ghost Click?
Trend Micro y el FBI han estado trabajando juntos para acabar con una operación que ha estado robando datos de personas durante varios años....
La sociedad civilizada bajo el control del ESTABLISHMENT
Vivimos en una sociedad excesivamente controlada. Hay que someterse y consumir, esa es la máxima. Si vemos una película de ciencia ficción, basada en los universos de Philip K.Dick, creemos absurdamente que se trata de una mera película...
Nuevo exploit para vulnerabilidad Plug and Play
Según reporta el Internet Storm Center del SANS Institute, se ha reportado la posible existencia de un nuevo exploit (código malicioso), que se aprovecha de la vulnerabilidad cubierta por Microsoft en el boletín MS05-047: MS05-047 Ejecución ...
Microsoft cubrirá un agujero de día cero en IE la próxima semana
Microsoft ha anunciado que emitirá seis actualizaciones en su próximo boletín mensual de seguridad, que estará disponible el próximo martes. Entre ellas se incluirá un parche desarrollado para cubrir una vulnerabilidad en Internet Explorer (IE)...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • burlar
  • centos
  • chrome
  • cifrado
  • computer
  • corporativa
  • debian
  • experimento
  • exploits
  • facil
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • muestra
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra