¿Cómo tapar los agujeros en el firewall humano?
El hacker ético Kevin Mitnick, quien estuvo recientemente de visita por Caracas, para participar en el Foro Mundial de Tecnología organizado por la C.A Editora El Nacional, destacó que en el entorno de la Ingeniería Social, esa práctica que permite la obtención de datos valiosos para propinar ataques informáticos, existen prácticas identificadas que pueden ser revertidas por las posibles víctimas.
En el mundo de las organizaciones empresariales, Mitnick descubre que las propias páginas web de las compañías suelen ser depósitos de información muy valiosa para un atacante. "A través de esta ventana se pueden obtener datos precisos como nombres, cargos, etc, que permiten crear una identidad falsa para obtener información determinada. De igual forma, a través de las llamadas telefónicas a personas "desprevenidas", que además son llevadas a estados particulares para la obtención de información se pueden conseguir nombres, cargos, teléfonos directos, direcciones de correo, hasta hobbies de las personas para posteriormente hacer uso de la misma con fines delictivos". La publicación de organigramas, estructuras organizativas, los boletines internos, directorios, listados de recursos humanos, incluyendo las vacantes y hasta los nuevos empleados son fuentes vivas para la obtención de datos que más tarde serán utilizados en contra de una persona u organización. Por eso Mitnick alude al Firewall Humano, especie de cortafuegos que se construye con los cambios de actitud en las personas, identificando y estando alertas ante cualquier comportamiento sospechoso que pretende "sacar" información confidencial.
Por esta razón es tan importante para proteger los activos de información de las empresas:
• Documentar los incidentes sospechosos, lo que permite modelar cómo suceden,
• Emitir alertas durante un evento sospechoso o confirmado, a través de correo de voz, e-mail, etc,
• Considerar el uso de la Ingeniería Social para saber más del otro, si cree que está frente a una persona que levanta sospechas.
También resulta vital para las empresas educar y refrescar sobre el tema, pues aparecen nuevas prácticas que deben conocidas y difundidas. "Sólo si se involucra a la gente y se le demuestra cómo puede suceder un evento y cómo puede evitarse, se obtendrán resultados en materia de prevención ante los ataques informáticos.
Fuente: Mariam Larrazábal G – negociosytecnología/net