Estudio de metodologías de ingeniería social

Abstract

Este trabajo consiste en un estudio sobre las técnicas de ingeniería social y los métodos usados para obtener información. Para ello se hace uso de algunos estudios e informes publicados, en los que el factor humano y por tanto la ingeniería social, adoptan un papel protagonista. En primer lugar se lleva a cabo la caracterización de la temática a través del análisis del factor humano como recurso vulnerable habilitante, del conocimiento de las distintas categorías y técnicas empleadas, del estudio de las etapas en las que se divide según diversos autores y de su configuración como proceso. A continuación se adentra en las principales motivaciones de un ciberdelincuente de cara al empleo de vectores de ataque basados en ingeniería social, básicamente los beneficios alcanzables a través de la información obtenida. Como contrapartida, se ofrece una visión respecto del tratamiento que esta técnica tiene en las normas legales, poniendo el foco en la consideración como delito penal. El trabajo no olvida realizar un repaso de las estadísticas relativas a ciberincidentes registrados y cibercriminalidad, los estudios publicados y algunas brechas de seguridad populares. Finalmente se exponen algunas estrategias de gestión de riesgos con impacto en la ingeniería social, enumerando pautas para combatirla a distintos niveles. El resultado de este trabajo podría definirse como una detallada manifestación del estado del arte entorno a esta amenaza de seguridad para las organizaciones, pretendidamente actualizado y fundamentado en una ingente cantidad de fuentes autorizadas de información. Una buena base para la capacitación de profesionales de seguridad de la información y la elaboración de material destinado a empleados.

Aquest treball consisteix en un estudi sobre les tècniques d'enginyeria social i els mètodes usats per obtenir informació. Per a això es fa ús d'alguns estudis i informes publicats, en els quals el factor humà i per tant l'enginyeria social, adopten un paper protagonista. En primer lloc es duu a terme la caracterització de la temàtica a través de l'anàlisi del factor humà com a recurs vulnerable habilitante, del coneixement de les diferents categories i tècniques empleades, de l'estudi de les etapes en les quals es divideix segons diversos autors i de la seva configuració com a procés. A continuació s'endinsa en les principals motivacions d'un ciberdelinqüent de cara a l'ocupació de vectors d'atac basats en enginyeria social, bàsicament els beneficis assolibles a través de la informació obtinguda. Com a contrapartida, s'ofereix una visió respecte del tractament que aquesta tècnica té en les normes legals, posant el focus en la consideració com a delicte penal. El treball no oblida realitzar un repàs de les estadístiques relatives a ciberincidents registrats i cibercriminalitat, els estudis publicats i algunes bretxes de seguretat populars. Finalment s'exposen algunes estratègies de gestió de riscos amb impacte en l'enginyeria social, enumerant pautes per combatre-la a diferents nivells. El resultat d'aquest treball podria definir-se com una detallada manifestació de l'estat de l'art ajusto a aquesta amenaça de seguretat per a les organitzacions, pretendidament actualitzat i fonamentat en una ingent quantitat de fonts autoritzades d'informació. Una bona base per a la capacitació de professionals de seguretat de la informació i l'elaboració de material destinat a empleats.

This work consists of a study about social engineering techniques and the methods used to obtain information. For that purpose, some studies and published reports are used in which the human factor and, therefore, social engineering take a crucial role. In the first place, the characterization of the subject is carried out through the analysis of the human factor as a vulnerable enabling resource, the knowledge of the different categories and techniques used, the study of the stages in which it is divided according to different authors and its configuration as a process. Then, it delves into the main motivations of a cybercriminal for the use of attack vectors based on social engineering, basically the benefits achievable through the information obtained. In return, a view is offered regarding the treatment that this technique has in the legal norms, placing the focus on consideration as a criminal offense. The work does not forget to review the statistics related to registered cyber-incidents and cybercrime, published studies and some popular security gaps. Finally, some risk management strategies with impact on social engineering are exposed, listing guidelines to respond it at different levels. The result of this work could be defined as a detailed manifestation of the state of the art knowledge around this security threat for organizations, supposedly updated and based on a huge number of authoritative sources of information. A good base for the training of information security professionals and the preparation of material for employees.