lunes, 16 de febrero de 2009

Redes sociales y hackers


Nos cuentan hoy en Snosoft la historia que todo aquél “sabedor” sobre seguridad en la Red sabe, pero la gente no se cree: que las redes sociales (facebook, en particular, supongo que por ser la más popular), se pueden utilizar para hacer ingeniería social, en este caso a los empleados de una empresa.

Dicen que para hacer un test de intrusión a uno de sus clientes, crearon un perfil en facebook como una empleada ficticia (por supuesto muy guapa), y después de entrar en el grupo de la empresa y hacer vida social (que para eso está la Red Social) unos cuantos días, pues pusieron un enlace a uno de los sitios de la empresa, explotando un XSS. El texto del enlace decía que les habían hackeado, y por lo visto, muchísima gente se lanzó a probar sus credenciales, incluida la misma persona que les había contratado (¿de verdad?).

Bien podría ser posible, aunque igualmente fácil es inventárselo, vamos a dar un voto de confianza y buena fe, y nos lo vamos a creer. La conclusión es interesante en cualquier caso. Es cierto que hoy día de muchas empresas hay grupos en redes sociales, no sé si bajo auspicio y tutela de la empresa o no (¿cuáles son las consecuencias de un ataque así si es que no? ¿y si es que sí?), y desde luego la concienciación en seguridad que se da a los empleados, por parte de la empresa, es de cero… . La gente es así… ¡si funcionan cosas como el timo nigeriano!. Otra razón más para educar en seguridad informática, aunque la solución más fácil es prohibir por contrato.


Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...

2 comentarios:

Lobosoft dijo...

¡Buenas!

Si está visto que los humanos caemos como borregos, jejeje. La noticia que publicas me parece, no increíble (porque ya sabemos hasta el punto al que puede llegar el ser humano), pero sí asombrosa...

En fin, está claro que las redes sociales son el caldo de cultivo de nuevos ataques al eslabón más débil de la cadena... Una de las carencias más importantes en seguridad, y posiblemente la que más problemas conlleve de cuantas citabas el otro día en la lista, que me dió que pensar tanto como las de VariableNotFound para reír.

Un saludo.

Mith.

des dijo...

¡Gracias Mith!. Como dices, el ser humano es el eslabón más débil de la cadena, eso está claro. Por eso precisamente se insiste tanto en el gobierno de la seguridad, es decir, en poner políticas, procedimientos, normas... en vez de soluciones técnicas.

Slds y gracias por estar aquí siempre :)