El término ingeniería social, es una práctica mediante la que se trata de obtener información confidencial a través de la manipulación de usuarios legítimos. Es un ataque dirigido a la confianza del usuario con fin de ver qué información sensible puede obtenerse siguiendo una metodología propia desarrollada en base a técnicas de Ingeniería Social reconocidas a nivel internacional.
Nuestros servicios de Ingeniería social tienen como objetivo principal, evaluar el comportamiento humano de los empleados en una organización, ante los ataques más habituales en el campo de la ingeniería social, tratando de esta forma de identificar puntos fuertes y débiles sobre las políticas de seguridad, así como su nivel de conocimiento e implantación real.
La información confidencial en las organizaciones es un activo importante a través de la cual pueden cometerse fraude u obtener acceso no autorizado al sistema de información.
Los tipos de ataque pueden ser muy variados:
- Herramientas automatizadas que recogen correos electrónicos desde los buscadores web.
- Búsquedas en redes sociales de información publicada por los empleados, colaboradores, etc.
- Llamadas telefónicas suplantando personas clave, soportes, help desk, etc.
- Acceso físico a instalaciones validando controles de acceso desde el exterior y el interior.
- Ataques de Phishing.
- Etc.
El proceso a seguir en un test de ingeniería social se refleja en el siguiente esquema:
Tras las fases de recopilación de información y establecimiento de relaciones, las fases de explotación y análisis, se realizan dentro de un proceso iterativo consistente por un lado en ejecutar las pruebas de explotación y por otro analizar los resultados obtenidos para modificar aspectos concretos en aquellas pruebas cuyo resultado no ha sido exitoso.
De esta forma, se pueden de corregir aquellos aspectos que hayan podido ser causantes del fallo en alguna de las pruebas ejecutadas.
Finalmente los resultados quedan documentados de la siguiente forma:
- Objetivos y alcance del trabajo.
- Calificación global de la seguridad.
- Resumen ejecutivo de los problemas encontrados.
- Detalle (a bajo nivel) de todas las pruebas realizadas.
- Conclusiones.