Tests de Ingeniería Social

Durante los Tests de Ingeniería Social tratamos de manipular a los empleados de la compañía para obtener acceso a recursos no autorizados e información confidencial.

Esto permite a las organizaciones testear sus políticas de seguridad de la información y el cumplimiento de las mismas por parte de los empleados.

Con este tipo de tests las compañías pueden identificar puntos de falla y entrenar a sus planteles para prevenir pérdidas y robos de información.

Los tests de ingenería social pueden ser en el sitio o remotos, y varias técnicas se usan en cada caso:

En tests en sitio el objetivo es obtener aceso físico a registros, archivos y/o dispositivos que puedan contener información confidencial.

Las técnicas para tests en sitio incluyen, típicamente:

  • Búsqueda en la basura
  • Disfraces de Autoridades Confiables como inspectores de elementos de seguridad física (matafuegos, cámaras, etc), técnicos de aire acondicionado, fumigadores, etc.
  • Suplantación de Empleados (Mesa de Ayuda, Empleados Nuevos, Auditores y Consultores, etc.)

Las pruebas en sitio testean las siguientes vulnerabilidades:

  • Eliminación adecuada de datos sensitivos
  • Conciencia y cumplimiento de las políticas de seguridad de la organización
  • Adhesión a las políticas de la institución
  • Violación de Información
  • Privilegios de Acceso
  • Seguridad de Areas Sensitivas
  • Compromisos en sistemas y dispositivos
  • Controles técnicos preventivos y de detección

Los tests de Ingeniería Social remotos involucran la manipulación de la organización por teléfono o email en un intento para lograr que los empleados divulguen nombres de usuarios, contraseñas, datos privados personales y demás tipos de información confidencial.

En los tests remotos se aplican tipicamente las siguentes técnicas:

  • Llamadas con cualquier pretexto (por ejemplo desde Mesa de Ayuda o Mantenimiento u otros sectores conocidos de la organización)
  • Phishing: Basado en correo electrónico (Intentando que los empleados introduzcan sus credenciales en sitios falsos, reenvìen supuestos correos de negocios, etc)
  • Honeypots físicos (CD's & USB pen drives donde la intención es que los empleados ejecuten programas que son maliciosos)

Las pruebas remotas incluyen tests para lo siguiente:

  • Conciencia y cumplimiento de las políticas de seguridad de la organización
  • Adhesión a las políticas de la instituación
  • Violación de Información
  • Privilegios de Acceso
  • Filtrado de Privacidad
  • Controles técnicos preventivos y de detección

¿Por qué debo realizar pruebas de ingeniería social?

La Ingeniería social permite a las orgamizaciones probar la respuesta ante un ataque activo y medir la efectividad de la conciencia de la seguridad de la información de sus empleados.