En esta entrada quiero hacer referencia a lo que se llama
Ingenieria Social, se conoce como Ingenieria Social a la práctica de obtener información Confidencial a través de los propios usuarios que poseen dicha información. dicha información le da al que la utiliza los privilegios que solo posee el usuario legitimo.
El principio que sustenta la ingeniería social es el que en cualquier
sistema
"los usuarios son el eslabón débil". En la práctica, un
ingeniero social usará comúnmente el teléfono o Internet
para engañar a la gente, fingiendo ser, por ejemplo, un empleado de
algún banco o alguna otra empresa, un compañero de trabajo, un técnico o
un cliente. Vía Internet o la Web se usa, adicionalmente, el envío de solicitudes de renovación de
permisos de acceso a páginas web o memos falsos que solicitan respuestas
e incluso las famosas "cadenas", llevando así a revelar Información Sensible, o a violar las políticas de seguridad típicas.
Para exponer un caso en concreto, haré referencia al famoso robo de
claves de los bancos, en éste caso será el Bicentenario. Un usuario de
correo recibe un mensaje supuestamente del banco donde se le indica que
por medidas de seguridad su tarjeta ha sido bloqueada, para
desbloquearla debe llamar a un numero indicado o ir a la página
principal, amablemente se le ha dispuesto un enlace en el mismo correo.
al hacer click lo dirige a la siguiente página.
Ya que no soy usuario de ese banco identifiqué inmediatamente el caso, y procedí a informarlo al cliente de correo,
y
despues que se elimino el correo me decidí a escribir esta entrada en
el blog por lo que no les tengo el correo que me enviaron, Notese que en la barra de direcciones no la identifica como página segura y no especifica que pertenece a una institución certificada. para seguirle el juego y poder escribir en el blog, procedí a insertar datos ficticios
La página es exactamente igual a la original del banco, estos correos incluyen todos los bancos por lo que siempre debemos tener cuidado sin importar de que país seamos ni de donde sea el banco. incluso el teclado virtual se torna en asteriscos igual que el original. te pide el numero de tarjeta y la clave a utilizar.
Una vez introducida la clave te solicita la clave de operaciones especiales, esta clave le da acceso para modifiar los datos de tu cuenta web, incluir nuevos numeros de cuenta a los cuales tranferir entre otras cosas por lo que deben guardarla mas celosamente que su clave de acceso.
ya en este paso tenemos la soga al cuello y podemos estar seguros que nos van a vaciar la cuenta, bien sea de un solo güamazo o poco a poco, eso es a elección del ladrón de claves, ahora viene el paso de validación por si acaso ustied tiene alguna duda le da el siguiente mensaje de error.
al hacer click en reintentar será dirigido a la página oficial del banco donde podrá accesar y confirmar que de verdad es el banco y borrar sospechas si es que en algun momento nació en usted esa duda.
ahora echen un vistazo al panel original donde deben meter la clave. el legal del banco.
se puede ver en la barra de direcciones un cuadro azul que idenfica que es una página web segura y que posee certificado de autenticidad. si hacen click en el cuadro azul le dara la información del certificado. aunque en realidad indica que es muy dificil que personas diferentes al usuario y cliente puedan leer lo que se transmite a través de esa ventana (sesión). es importante que al utilizar los bancos usted digite directamente las direcciones, o se comunique con la atención al cliente del su banco por los medios oficiales,
Si algo le genera desconfianza, siga sus instintos, y tome todas las medidas de precaución, aunque muchos son los medios no podría abarcarlos todos en una sola entrada, les agradesco sus comentarios y experiencias que ayuden a ser mas precavidos a los lesctores.
