Como parte de las constantes investigaciones que realizamos en el Laboratorio de ESET Latinoamérica, hemos logrado... Continuar leyendo

Ilustración gracias a la cortesía de Alejandro Cuenca.

Cada vez que tengo que entrevistar a gente durante cualquier tipo de proceso de selección, me gusta perder un poco de tiempo en Internet para ver qué cosas interesantes encuentro de ese candidato por los vericuetos de la red, ya que en 20 minutos no es fácil sacar toda la información de esa persona y en unas búsquedas por el ciber mundo puedes aprender mucho, sobre todo de aquellas redes sociales que se usan para "conocer gente y lo que surja".

Mucha gente cree que ligar en Internet es fácil, pero no todo el mundo es consciente de la cantidad de información que se deja en la red durante el “proceso de cortejo” y que esta información puede estar a “tiro de buscador” para cualquiera que haga un poco de hacking con ellos, como vamos a ver en este artículo... Continuar leyendo

Con la evolución de la tecnología y de las medidas técnicas de seguridad, si algo ha quedado patente es que el eslabón más importante de la famosa cadena de la seguridad de la información de las organizaciones es la persona. La seguridad de la información no se garantiza únicamente con la definición de procedimientos de gestión de incidencias o la implantación de mecanismos de cifrado, por poner algunos ejemplos.

Por ese motivo, es fundamental que el personal de la organización esté concienciado e implicado. No sólo en el cumplimiento de las normas que se hayan implantado, sino también manteniendo una actitud de precaución y alerta en el uso cotidiano de los sistemas de información, en las relaciones personales y laborales. Los empleados son la última barrera del sistema de defensa de la seguridad de las empresas.

Porque somos personas, somos seres humanos. En eso se basa la ingeniería social: en el principio de que el punto más débil de... Continuar leyendo

Hace poco he sido participante del I Reto para Jóvenes Profesionales de ISACA, presentando un paper sobre information gathering y social engineering. Tras pasar dos procesos de selección me quedé a las puertas del evento final, quedándome sin la posibilidad de exponer mi paper.

El motivo de este post es para enseñar unos de los ejemplos que contenía mi paper, donde se observa como el más mínimo detalle puede acabar resultando en un ataque de ingeniería social.

Todo empezó en mi antiguo trabajo, debido a que una de las aplicaciones no gestionaba correctamente el envío de información y cualquiera que tuviera acceso a la misma red podría leerla sin problema.

Mientras tuneaba el SIEM me encuentro con varias alertas que indicaban que "habiámos sufrido" un ataque web, sin embargo, se trataban de falsos positivos. Lo curioso es que al analizarlas me encuentro que la petición que había hecho saltar la alarma era parecida a la siguiente:
GET /someapp/consultas... Continuar leyendo

La ingeniería social se logra a través de la manipulación psicológica y de las habilidades sociales con el fin de obtener algún tipo de información sensible o datos útiles sin que la víctima sea consciente de su utilización maliciosa. Se puede realizar de manera directa o indirecta, con el uso de la tecnología o mediante el trato personal. La idea es poder saltarse los sistemas de seguridad a través de la información que otorga directamente el protegido o los administradores de la protección.

Teniendo en cuenta que somos muy vulnerables y nos movemos a través de una serie de impulsos irracionales, el que ejecute esta técnica usará comúnmente el teléfono, el internet, el disfraz u otros métodos para engañar fingiendo ser alguien más. En muchos de los casos que he conocido, la persona suplanta a un trabajador de la empresa o a alguien de servicio técnico, dice Emanuel Abraham, hacker ético de Security Solution & Education.
La persona que practica... Continuar leyendo