Un experimento muestra lo fácil que es burlar la seguridad corporativa


Un consultor en seguridad se adentró en una importante entidad de servicios financieros como parte de un ejercicio y accedió a los datos de la compañía usando ingeniería social.





Colin Greenless, consultor de seguridad de Siemens Enterprise Communications, llevó a cabo durante una semana una investigación especial en uno de los clientes de su empresa para ver qué información podía obtener usando tácticas de ingeniería social. Sin el uso de ningún equipamiento especial, Greenless fue capaz de entrar en las oficinas de la compañía sin ser abordado por el personal de seguridad para, posteriormente, instalarse en una sala de la tercera planta donde trabajó durante varios días.

El consultor también accedió libremente a diferentes pisos, almacenes, archivos y pudo ver datos confidenciales dejados sobre una mesa. Asimismo, se infiltró en los datos financieros de la compañía, que figura en el FTSE 100 del Financial Times, y en su red de telecomunicaciones y TI. Haciéndose pasar por un trabajador del departamento de informática, Greenless utilizó el sistema de telefonía interno para llamar a los empleados y pedirles información.

Durante el experimento, 17 de 20 trabajadores le proporcionaron sus nombres de usuario y claves, dando a Greenless fácil acceso a los datos electrónicos. “Lo más llamativo es que fue bastante simple. Es sólo cuestión de confianza. Utilizando el truco de pegarse a alguien cuando cruza una puerta operada mediante tarjetas magnéticas o llevando dos tazas de café y esperando a que la gente te abra la puerta”, explica este consultor.

Durante la semana que pasó en la empresa financiera, Greenless se hizo amigo de varios empleados, ganándose incluso la confianza del guardia de seguridad. La ingeniería social, o las trampas basadas en la confianza del usuario, forman parte del arte de manipular a las personas para que divulguen información o realicen acciones que proporcionan acceso a los datos al que comete el fraude.Los sistemas de protección de alta tecnología son completamente inefectivos contra este tipo de ataques, donde la mayoría de los empleados son, en última instancia, inconscientes de que están siendo manipulados, apunta el consultor de Siemens.

Fuente:
http://www.csospain.es



Otras noticias de interés:

Descubren vulnerabilidad en Skype + Facebook
Skype ha confirmado que sus actualizaciones 5.3 y 5.5 contienen una vulnerabilidad que podría ser explotada por cibercriminales para hacerse con el control de una cuenta....
Documento que muestra los problemas del OOXML
Julio Ortega de vaslibre.org.ve tradujo un interesante documento donde se expone puntos importantes para decirle NO a la solicitud de estandar del OOXML...
Microsoft publicará cuatro boletines de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cuatro boletines de seguridad, uno dedicado a Windows Media Player, otro a Windows, otro a Windows Media Encoder y el últ...
El Tetris cumplió 17 años.
El popular juego de lógica espacial, todo un clásico y que dispone de miles de clones en todo el mundo acaba de cumplir 17 añitos. ...
Múltiples vulnerabilidades en Sphera HostingDirector
Sphera HostingDirector es un software que ofrece una administración centralizada para cientos de páginas Web desde un solo servidor. Integra en un solo paquete componentes fundamentales para ofrecerle el máximo control sobre sus sitios a revendedo...
Hay que respetar las Licencia de uso
Desempolvando otros artículos que habían sido publicado en el sitio web desaparecido (mencionado en el anterior post), conseguí este post que particularmente me parecio interesante. Es necesario que las personas que publican textos, programas y/o ...
Fuga de datos en discos parcialmente cifrados
Un trabajo de la Universidad de Washington y Bruce Schneier, titulado Defeating Deniable File Systems: A TrueCrypt Case Study (que será presentado oficialmente el próximo día 29 en HotSec 2008, pero que ya puede ser descargado desde el sitio de Sc...
Botnets como herramientas de fraude en sistemas de pago por click
Las redes de fraude y crimen organizado tienen un nuevo juguete. En realidad, más que una novedad, es la última manifestación de un fenómeno que lleva dándose bastante tiempo, si bien, como era de esperar, estamos ante nuevas variantes much...
Control de los gobiernos hace peligrar futuro de Internet
Los gobiernos quieren controlar más rigurosamente Internet y ése es el principal riesgo para el futuro de la Web. Así al menos lo creen en Internet Society....
Vulnerabilidad en Apache Tomcat
Apache Software Foundation ha hecho pública la resolución de una nueva vulnerabilidad en Apache Tomcat. Esta vulnerabilidad con el CVE-2011-2729 (afecta a las versiones 5, 6 y 7), y queda definida con un nivel de severidad de Importante al permitir...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • burlar
  • centos
  • chrome
  • cifrado
  • computer
  • corporativa
  • debian
  • experimento
  • exploits
  • facil
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • muestra
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra