Si no puede ver este mail, haga click aquí

Inicio

AÑO 10 - Nº 7 - JUL 14

PALABRAS DE CISO

Endureciendo el cortafuegos humano. El arte de la contrainteligencia social

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


En un mundo de información instantánea, de oportunidades y amenazas, las organizaciones y los seres humanos, viven expuestos a toda clase de estímulos y condiciones de interacción, que exigen una vista balanceada de expresiones y declaraciones que permitan informar lo que se requiere y mantener en reserva aquello que es necesario.

Así las cosas, cada persona en una organización debe reconocer sus propio marco de referencia sobre la protección de la información, darse la oportunidad para repensarlo en el contexto de la empresa para cual trabaja y crear un nuevo comportamiento que, no solamente se ajuste a los mandatos corporativos, sino que se incorpore en su persona, como capacidad inherente para desarrollar un “mínimo de paranoia bien administrada”, que le permite ser un buen escucha de su entorno y tomar las acciones que correspondan en el momento que se requieran.

Reconociendo al enemigo

Desarrollar habilidades para comprender y valorar lo que ocurre en el entorno de las operaciones y actuaciones dentro y fuera de la organización, demanda una serie de acciones que las personas deben conocer y aplicar con el fin de balancear su normal actuar con el estado de alerta base requerido para identificar situaciones potencialmente adversas.

Los ingenieros sociales cuentan con diferentes estrategias para motivar la extracción de información de sus objetivos, algunas pasivas otras activas. Las pasivas buscan identificar y recolectar información disponible en los medios de comunicación, en el internet, en conversaciones o publicaciones que hablen sobre la organización o particularmente sobre la(s) persona(s) claves. (HADNAGY 2014, pág.30) Con estos datos, establecen un perfil base de la(s) persona(s) claves para comenzar a obtener la información requerida de la empresa y empezar a armar el rompecabezas con los diferentes elementos recabados y entender la dinámica de las relaciones de la(s) persona(s) seleccionadas, para establecer los puentes requeridos para llegar a su objetivo final.

Basado en lo anterior, se da paso a las técnicas activas como son el pretexto (pretexting), la provocación (elicitation) y la simpatía (rapport). La combinación de estas tres establece el puente requerido para sintonizar con el objetivo establecido y desarrollar un marco psicológico confiable que permita abrir la posibilidad para un flujo de información personal y corporativa, con amabilidad y elegancia.

El pretexto es una técnica que demanda conocimiento de la persona objetivo, para establecer un contexto creíble de acción y operación de aquel que pretende entrar en contacto con la persona seleccionada. Esta persona puede ser desde un desconocido o alguien cercano que busca por lo general un “gancho adecuado” para desarrollar una aproximación clave que termine en una conversación inicial con vocación de contacto futuro.

La provocación consiste en “(…) formular preguntas de carácter benigno y no sospechosas que acaben revelando información que probablemente no obtendríamos de haber preguntado directamente. (…)” (Idem, pág.37). Esto supone que el atacante es entrenado en el “cómo” y “qué” preguntar, con el fin de no mostrarse demasiado vago o prudente en su discurso o ser excesivamente descarado o agresivo.

Finalmente y no menos importante la simpatía, que siendo una habilidad importante y natural en las relaciones humanas, es posible utilizarla para crear un entorno de confianza y apertura que genere una oportunidad para el atacante, sin que la persona objetivo lo note. Múltiples formas se tienen previstas para que esto ocurra, dentro de las cuales se anotan: (CARLESON 2013, pág.43-44)

Contraatacando al enemigo

Anota Carleson (2013, pág.61) “(…) la mejor defensa es tener un sentido muy agudo de la percepción y practicar la habilidad de intuir el engaño. (…)”. Nótese que no se habla de proteger o detener la situación que se presenta, sino de tener la capacidad de “percibir o intuir” el marco conceptual que se está creando alrededor para lograr motivar el flujo de la información que la tercera parte requiere.

En este sentido, los interesados en la información de la empresa o de una persona particular, se preparan muy bien para adelantar las acciones pertinentes con el fin de lograr su objetivo. Lucen como personas naturales, que con argumentos y planes establecidos en sus conversaciones, configuran un escenario de diálogo confortable y amistoso que conforma el primer paso en su estrategia de extracción de información.

La ex agente de la CIA Carleson establece una serie de consejos, sobre este particular, para desestimar los esfuerzos de los atacantes y aumentar nuestra resistencia a este tipo de actividades que podríamos denominar de “espionaje” de información. Las recomendaciones son: (Adaptado de: CARLESON 2013, pág.63-65)

1. Viaje sólo con los datos que necesite para el viaje

2. Tenga cuidado con los lugares de acceso público a internet

3. Destruya lo que no use

4. Sea consciente de su huella pública

5. No se deje impresionar por la familiaridad o los títulos académicos

6. Confíe en sus instintos

7. No se deje retar, los seres humanos somos competitivos por naturaleza

8. No consuma bebidas alcohólicas

9. Mantenga un bajo perfil

10. Cuide sus conversaciones en entornos públicos

Reflexiones finales

La amenaza de la filtración de información es una realidad evidente y son muchos los casos que tenemos tanto por fallas informáticas como por fallas del “cortafuegos humano”. Como quiera que los seres humanos somos “eminentemente sociales”, es clave desarrollar la habilidad para resistir los embates de los “ataques sociales”, los cuales se manifiestan sin mayores anuncios e instrumentos, para pasar desapercibidos y así conquistar su objetivo.

La ingeniería social y sus diferentes estrategias y técnicas establecen un reto personal y corporativo para identificar aquellos aspectos que son vulnerables de las personas claves de las organizaciones y motivar el flujo de información clave, de una forma elegante y sin presiones. Esto supone conocer muy bien la gestión de la información en la empresa para conocer las redes de contactos donde esta fluye y analizar los puntos menos asegurados, donde es posible hacer un menor esfuerzo y extraer la mayor información sin quedar en evidencia.

Fuente: http://insecurityit.blogspot.com.ar

 

_____________| Ediciones Anteriores |______________________________________________________________________

Una Introducción a COBIT 5
Por Clara Vidovich
ISACA Cap. Uruguay
Montevideo - Uruguay


Experiencia práctica de adecuación GRC y Ley 1581 de Protección de Datos Personales con GESCONSULTOR
Por Iván Darío Marrugo Jimenez
Especialista en Derecho de las Telecomunicaciones, Privacidad, Seguridad de la Información. Auditor ISO 27001
GESCONSULTOR - Colombia
Extracto de la conferencia dictada para Infosecurity Vip - Tour 2014


Network Access Control

Por Jan Michael de Kok

Sales Engineering Manager – Caribbean & Central America

AVAYA

Extracto de la conferencia dictada para Infosecurity Vip - Tour 2014


Privacidad y seguridad de la información. Desafíos territoriales alrededor de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


OJO CON TUS DATOS

Se inició en España, en diciembre pasado una serie de documentales sobre Protección de Datos Personales y Privacidad, con diferentes temáticas dirigidas a la sociedad española pero que son de utilidad para el resto de Latinoamérica.


Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital - ISO/IEC 27037:2012

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Análisis del riesgo en la gestión de parches

Por Maximiliano Cittadini
Nuevas Tecnologías
Trend Argentina


McAfee Webinar | Protegiendo las identidades en la nube

Por Carlos González

Director de Ingeniería de Preventa

McAfee LATAM.


Unidades de estado sólido. El reto de la computación forense en el mundo de los semiconductores
Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Building an Identity Management Business Case

Por Enrique Santiago

Director - SIDIF

CA & Caribe


Securing Movile Devices: using Cobit 5 on BYOD

Por Alfonso Mateluna Concha
CISA – CISM – CRISC – CISSP

ISACA - Chile


Tripp Lite Colombia apostó al acceso y monitoreo seguro en la gestión de infraestructura

Por Camilo Ochoa

Gerente de Desarrollo

Tripp Lite Colombia


 

Mitos y Verdades sobre la Certificación ISO 207001

Por Harro Osthoff

Auditor ISO 9001,
ISO/IEC 20000, ISO/IEC 27001, ISO 28000
TÜV Rheinland Argentina S.A.
Extracto de la Conferencia para Infosecurity Vip 2013


Las contraseñas. Un sobreviviente de las batallas frente a la inseguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


ADN: el medio de almacenamiento más seguro!

Por Nick Goldman

European Bioinformatics Institute

Hinxton - UK

Los investigadores, del Instituto Europeo de Bioinformática (IEB), con sede en Inglaterra, demostraron que es posible guardar textos, imágenes y sonidos en "la molécula de la vida".


Reputación online, un valor en alza

Por Samuel Segarra

Consultor de sistemas de gestión de S2 Grupo

España


El impacto financiero del cibercrimen se incrementa en casi un 40%

HP ha presentado los datos de la tercera edición del “Estudio sobre el cibercrimen 2012”, conducido por el Instituto Ponemon, en el que ha quedado manifiesto que la frecuencia de los ciberataques se ha duplicado.


Desafíos de la Seguridad 2012

Por Juan Ospina
Bit Defender - Colombia


Documentos electrónicos: la inseguridad más allá de la manifestación de la voluntad

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Auditando la inseguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Automatizando ITIL

Por Joaquin Rivas

Grupo CONSISA

Costa Rica


Microsoft Online Services EN LA NUBE: compliance a 10 mil metros de altura

Por Alex Campos

IT Evangelist

Microsoft Chile


SEGURIDAD EN LA NUBE: compliance a 10 mil metros de altura

Por Lisseth Rodríguez

Proyect Manager - Delta Networks Systems


Cloud Computing: Los Retos de la Seguridad

Por Mariangel Hernández Aldana

Channel Manager  - Astaro Región Andina y Venezuela


Seguridad Informática Hoy, tendencias de los ataques informáticos.

Por Oscar Leonardo Banchiero
Instructor Ethical Hacking
ISEC Information Security Inc


Pronósticos de seguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


LA RED EL NUEVO CAMPO DE BATALLA
Andrés A. Buendía Ucrós

Sales Engineer – North LatinAmerica & Caribbean


Infosecurity y seguridad informática
Por Frano Capeta Mondoñedo

Country Manager Perú

ISEC Information Security Inc.


Autenticación Segura en un mundo nublado

Por Esteban Lubensky
Gerente General
GMS


Seguridad Multinivel
Por Carlos Moreno Carrascal
Channel Account Manager
Trend Micro Latinoamérica


Seguridad Multinivel
Por Carlos Mario Reyes
Especialista de Producto
TECNASA El Salvador


Cloud & Virtualization Security

Por Carlos Rienzi
System Engineer
CISCO - Argentina


El Factor Gente en la Seguridad de la Información

Por Sandra Da Silva
Analista de Infraestructura TIC
Petrobras Paraguay Distribución Ltd.


Impacto de las Amenazas Físicas y Ambientales en la Seguridad de Data Centers y Cuartos de Cableado

Por Daniel A. Molina

APC by Schneider Electric

Territory Manager - Puerto Rico & Dominican Republic


WikiLeaks: 40 Minutos de Verdad

HÉCTOR MARIO DELGADO
GERENTE GENERAL - SOFTNET S.A
Medellín - Colombia


Arquitectura de Seguridad de la Información: Una lección pendiente para los CISO's

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


La lección que nos deja Wikileaks
Alfredo Zuccotti

Subgerente de Seguridad

Cooperativa Universitaria - Paraguay


Administración de Eventos de Seguridad
Stephen Fallas
Security Solution Architect – Latin America
Hewlett Packard - Disertante para Infosecurity Vip - Quito 2010

Gestión Infosec

Entrevista

Las leyes

Palabras de ciso

Tips para un ciso

Puntos de vista

Actualización Técnica

Hacking bajo la lupa

Estadísticas

Productos

Toolbox

Capacitaciones

Links de interés

¿lo sabias?

Hot vulnerabilities

Comunidad Infosec

Efraude

Noticias

Bolsa de trabajo

Agenda y eventos

Lectores

Libro de pases

El chiste del mes

Ver Anteriores

 

Envíenos su Comentario

 

Conferencias 2014, 2013, 2012, 2011 aquí

 

ULTIMAS CONFERENCIAS:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2014 ISEC. Todos los derechos reservados - Política de privacidad