En el mundo informático, la ingeniería social es utilizada para explotar vulnerabilidades humanas para la obtención de información y ejecución de programas maliciosos, dejando en evidencia que el eslabón más débil continúa siendo el usuario. Por lo tanto, los tests de intrusión y las auditorías más exhaustivas suelen incluir test de ingeniería social que buscan conocer cuán vulnerables podrían ser las personas que trabajan en la organización. Legalmente, la situación más favorable para el investigador será contar con las autorizaciones correspondientes por parte de la organización. Sin embargo, en muchos casos dichos contratos no son del todo claros o ni siquiera existe esta autorización, dando lugar a las situaciones más complejas y de riesgo para el investigador.
Si bien las leyes varían según el país en donde estemos realizando la actividad, he recopilado de este workshop algunos consejos que pueden ser aplicados en cualquier país de Latinoamérica con el fin de evitar problemas legales y, sobre todo, pasar un mal rato mientras realizamos nuestro trabajo.
Lo primero que debemos entender, más allá de las leyes propias de cada país, es la diferencia entre la responsabilidad civil y penal. La primera es reparadora, es decir, que busca reparar un daño ya causado, que en general no es intencional y puede ser transferible. Los delitos de responsabilidad civil suelen resolverse mediante el pago de una cantidad de dinero que repare los daños causados, los cuales incluso pueden transferirse a un seguro. Además, los delitos de esta índole suelen ser genéricos y de amplía interpretación, ya que lo que se busca es reparar o compensar a la víctima. En cambio, la responsabilidad penal es sancionadora; es decir, busca sancionar a aquellos que hayan cometido un delito específicamente tipificado en la ley en general de forma intencional o dolosa. Este tipo de delitos suelen ser penados con privación de libertad u otro tipo de sanción personal e intransferible.
En lo que respecta a delitos informáticos, cada país tiene sus leyes y sus delitos tipificados, pero estos suelen ser: el acceso indebido o no autorizado a sistemas informáticos, el acceso a información privada o confidencial (como un correo electrónico), el daño informático (por ejemplo, un ransomware o una denegación de servicio), etc. También existen otras leyes que podrían aplicarse a los datos o medios digitales, como las leyes de protección de datos personales, el delito de fraude o engaño, etc. Por lo tanto, la primera recomendación es estar al tanto de las leyes del país en el que trabajamos y que podrían afectar nuestra actividad, ya que la omisión o no conocimiento de la ley no exime a una persona de la responsabilidad penal.
La perspectiva civil es mucho más amplia y en general está relacionada con el resarcimiento de un daño, el cual será definido por el juez en cada caso. En general, contar con buenas prácticas y una buena documentación por escrito suele mitigar la mayor parte de los problemas civiles.
Las pruebas de Ingeniería Social son de vital importancia para las empresas debido a los siguientes motivos:
1. Identificar vulnerabilidades: Las pruebas de Ingeniería Social permiten identificar las posibles vulnerabilidades en la seguridad de una organización, especialmente en lo que respecta al factor humano. Estas pruebas evalúan la susceptibilidad de una empresa a los ataques de Ingeniería Social, que buscan explotar la confianza y manipular a las personas para obtener información confidencial.
2. Fortalecer la conciencia de seguridad: Estas pruebas ayudan a fortalecer la conciencia de seguridad de los empleados de una empresa. Al someterlos a situaciones simuladas de ataques de Ingeniería Social, se les educa sobre los métodos utilizados por los atacantes y se les enseña a reconocer y evitar este tipo de ataques.
3. Prevenir riesgos de seguridad: Al identificar las vulnerabilidades y concienciar a los empleados, las pruebas de Ingeniería Social ayudan a prevenir los riesgos de seguridad relacionados con el factor humano. Esto contribuye a fortalecer la seguridad de la organización y protegerla contra posibles ataques.
4. Cumplimiento regulatorio: Realizar pruebas de Ingeniería Social puede ser parte del cumplimiento regulatorio de algún estándar o legislación en materia de seguridad. Estas pruebas demuestran el compromiso de la empresa con la seguridad de la información y su disposición a tomar medidas proactivas para protegerla.
5. Evaluación de políticas y controles: Las pruebas de Ingeniería Social también pueden ser utilizadas por las empresas para evaluar la efectividad de sus políticas y controles de seguridad. Al simular ataques reales, se puede evaluar la respuesta de los empleados y la eficacia de las medidas de seguridad implementadas.
En resumen, las pruebas de Ingeniería Social son fundamentales para las empresas, ya que permiten identificar vulnerabilidades, fortalecer la conciencia de seguridad, prevenir riesgos, cumplir con regulaciones y evaluar políticas y controles de seguridad.
No hay comentarios.:
Publicar un comentario