Un consultor pone en evidencia la facilidad de burlar la seguridad TI de las empresas
Written by javier.peris on 26/05/2009
Colin Greenless, consultor de seguridad de Siemens Entereprise Communications ha llevado a cabo un experimento para demostrar lo sencillo que es saltarse las medidas de seguridad de las empresas. Para ello e adentró en una importante entidad de servicios financieros como parte de un ejercicio y accedió a los datos de la compañía usando ingeniería social.
Colin Greenless llevó a cabo durante una semana una investigación especial en uno de los clientes de su empresa para ver qué información podía obtener usando tácticas de ingeniería social. Sin el uso de ningún equipamiento especial, Greenless fue capaz de entrar en las oficinas de la compañía sin ser abordado por el personal de seguridad para, posteriormente, instalarse en una sala de la tercera planta donde trabajó durante varios días.
El consultor también accedió libremente a diferentes pisos, almacenes, archivos y pudo ver datos confidenciales dejados sobre una mesa. Asimismo, se infiltró en los datos financieros de la compañía, que figura en el FTSE 100 del Financial Times, y en su red de telecomunicaciones y TI.
Haciéndose pasar por un trabajador del departamento de informática, Greenless utilizó el sistema de telefonía interno para llamar a los empleados y pedirles información. Durante el experimento, 17 de 20 trabajadores le proporcionaron sus nombres de usuario y claves, dando a Greenless fácil acceso a los datos electrónicos.
«Lo más llamativo es que fue bastante simple. Es sólo cuestión de confianza. Utilizando el truco de pegarse a alguien cuando cruza una puerta operada mediante tarjetas magnéticas o llevando dos tazas de café y esperando a que la gente te abra la puerta», explica este consultor. Durante la semana que pasó en la empresa financiera, Greenless se hizo amigo de varios empleados, ganándose incluso la confianza del guardia de seguridad.
La ingeniería social, o las trampas basadas en la confianza del usuario, forman parte del arte de manipular a las personas para que divulguen información o realicen acciones que proporcionan acceso a los datos al que comete el fraude. «Los sistemas de protección de alta tecnología son completamente inefectivos contra este tipo de ataques, donde la mayoría de los empleados son, en última instancia, inconscientes de que están siendo manipulados», apunta el consultor de Siemens.
CIO [25/05/2009 ]