Professional Documents
Culture Documents
Además de reconocer estos puntos iniciales, también debe saber lo que el pirata informático
espera obtener. Sus objetivos se basan en las mismas necesidades que nos guían a todos: el
dinero, el avance social y la autoestima. Los piratas informáticos desean obtener dinero y
recursos, desean que se les reconozca en la sociedad o en su grupo y desean sentirse bien
con ellos mismos. Desgraciadamente, logran todo esto de forma ilegal robando o dañando
los sistemas informáticos. Los ataques de cualquier tipo le costarán dinero, al perder
ingresos, recursos, información, disponibilidad o credibilidad comercial. Cuando diseñe sus
defensas contra esas amenazas, debe calcular lo que le costará un ataque.
Amenazas en línea
En nuestro mundo donde los negocios están cada vez más relacionados, el personal suele
usar y responder a solicitudes e información que recibe de forma electrónica tanto desde
dentro como desde fuera de la compañía. Esta conectividad permite a los piratas
informáticos contactar con su personal desde el anonimato relativo de Internet. En
ocasiones habrá oído hablar en la prensa de los ataques en línea, como ataques por correo
electrónico, aplicaciones emergentes y mensajes instantáneos que usan caballos de Troya,
gusanos y virus, a los que se conoce conjuntamente como malware, para dañar o trastocar
los recursos informáticos. Puede empezar a poder hacer frente a muchos de estos ataques de
malware mediante la implementación de fuertes defensas antivirus.
Nota Para obtener más información acerca de las defensas antivirus, consulte la Guía de
defensa en profundidad antivirus en http://go.microsoft.com/fwlink/?linkid=28732 (puede
estar en inglés).
El pirata informático de ingeniería social persuade a un empleado para que le proporcione
información mediante una artimaña creíble, en lugar de infectando un equipo con malware
mediante un ataque directo. Un ataque puede proporcionar información que permitirá al
pirata informático realizar un posterior ataque de malware, pero este resultado no es una
función de la ingeniería social. Por tanto, debe aconsejar a su personal sobre cómo poder
identificar mejor y evitar los ataques de ingeniería social en línea.
Amenazas por correo electrónico
Muchos empleados reciben decenas e incluso cientos de mensajes de correo electrónico
cada día, tanto de sistemas de correo electrónico privados como de empresas. El volumen
del correo electrónico manejado puede hacer que no se preste la atención necesaria a cada
uno de los mensajes que se reciben. Este hecho es muy útil para un pirata informático de
ingeniería social. La mayoría de los usuarios del correo electrónico se sienten bien consigo
mismos cuando manejan la correspondencia; se trata del equivalente electrónico de mover
el papel de una bandeja de entrada a una de salida. Si el pirata informático puede realizar
una solicitud que no requiera acciones complicadas por parte de la víctima de su ataque,
ésta aceptará hacer algo sin ni siquiera pensar en lo que está haciendo.
Un ejemplo de este tipo de ataque sencillo consiste en enviar un mensaje de correo
electrónico a un empleado que indique que su jefe desea que se le envíen todas las fechas
de vacaciones para una reunión y se copia a todo el mundo en el mensaje. Es muy fácil
incluir un nombre externo en la lista de personas con copia y suplantar el nombre del
remitente para que el mensaje parezca proceder de una fuente interna. La suplantación es
especialmente sencilla si un pirata informático tiene acceso al sistema informático de una
compañía, ya que no es necesario traspasar los firewalls del perímetro. Conocer las
vacaciones de un departamento puede que no parezca una amenaza de seguridad, pero
significa que un pirata informático sabe cuándo estará ausente un empleado. Será entonces
cuando pueda hacerse pasar por esa persona con pocas posibilidades de ser descubierto.
El uso del correo electrónico como herramienta de ingeniería social se ha convertido en
endémico en la última década. El término suplantación de identidad (phishing) describe el
uso del correo electrónico para obtener información restringida o personal identificable de
un usuario. Los piratas informáticos pueden enviar mensajes de correo electrónico que
parezcan proceder de organizaciones válidas, como bancos o socios comerciales.
En la siguiente figura se muestra un vínculo aparentemente válido al sitio de administración
de cuentas de Contoso.
Figura 1. Hipervínculo de suplantación de identidad (phishing) mediante correo
electrónico
Como indica el término suplantación de identidad (phishing), estos métodos suelen ser
especulativos y en ellos se realiza una solicitud genérica de información a un cliente. El
camuflaje realista que se usa en los mensajes de correo electrónico, con logotipos de
compañía, fuentes e incluso números de soporte telefónico gratuito aparentemente válidos,
hace que el mensaje parezca más creíble. En cada mensaje de suplantación de identidad
(phishing) hay una solicitud de información del usuario, que suele proporcionar, a cambio,
un servicio adicional o una actualización. Una extensión de la suplantación de identidad
(phishing) es el spear-phishing, en el que se contacta con una persona o grupo
departamental explícitos. Este método es mucho más sofisticado, porque se necesita
información personal y relevante de la compañía para conseguir que el engaño sea creíble.
Para él se necesitan más conocimientos sobre la persona objeto del ataque, pero con él se
puede obtener información más detallada y específica.
El mensaje de correo electrónico también puede llevar hipervínculos que pueden tentar a un
empleado a incumplir la seguridad de la compañía. Como se muestra en la Figura 1, los
vínculos no siempre llevan al usuario a la ubicación esperada o prometida. El pirata
informático cuenta con una serie de opciones adicionales en el mensaje de correo
electrónico de suplantación de identidad (phishing), incluidas imágenes que son
hipervínculos que descargan malware, como virus o software espía, o texto que se presenta
en una imagen con el fin de eludir los filtros de seguridad de los hipervínculos.
La mayoría de las medidas de seguridad ayudan a mantener alejados a los usuarios no
autorizados. Un pirata informático puede eludir muchas defensas si puede engañar a un
usuario para que introduzca un caballo de Troya, un gusano o un virus en la compañía
mediante un vínculo. El hipervínculo también puede llevar a un usuario a un sitio en el que
se usen aplicaciones emergentes para solicitar información u ofrecer ayuda.
Puede usar una matriz de vectores de ataque, objetivos de los ataques, descripciones y el
costo que suponen para su compañía similar a la que aparece en la siguiente tabla para
poder clasificar los ataques y establecer el riesgo de cada uno de ellos para su compañía. En
ocasiones, una amenaza representa algo más que un riesgo. Cuando éste sea el caso, en los
siguientes ejemplos se muestran los principales riesgos en negrita.
Tabla 1. Ataques en línea por correo electrónico y costos
Objetivos de los
Descripción Costo
ataques
Al igual que en la mayoría de los engaños de confianza, puede conseguir resistirse a los
ataques de piratas de ingeniería social de forma más efectiva mediante una actitud de
prudencia ante cualquier mensaje inesperado que reciba en la bandeja de entrada. Para que
se implante este método en una organización, debe incluir en la directiva de seguridad unas
directrices específicas sobre uso del correo electrónico que incluyan:
Archivos adjuntos en documentos.
Hipervínculos en documentos.
Solicitudes de información personal o de la compañía desde dentro de ésta.
Solicitudes de información personal o de la compañía desde fuera de ésta.
Los dos métodos más habituales de engañar a un usuario para que haga clic en un botón de
un cuadro de diálogo son el advertir de un problema, por ejemplo, mostrando un mensaje
de error de la aplicación o del sistema operativo realista, u ofreciendo servicios adicionales,
por ejemplo, una descarga gratuita que haga que el equipo del usuario vaya más rápido.
Para los usuarios de TI y web experimentados, estos métodos pueden parecer engaños
clarísimos. Sin embargo, para los usuarios no experimentados, estas aplicaciones o cuadros
de diálogo emergentes pueden ser intimidatorios o atractivos.
Tabla 2. Ataques en línea mediante aplicaciones y cuadros de diálogo emergentes y
costos
Objetivos de los
Descripción Costo
ataques
El pirata informático (de color rojo) se hace pasar por otro usuario conocido y envía un
mensaje de correo electrónico o de la mensajería instantánea que el destinatario asumirá
que procede de alguien conocido. La familiaridad hace que se relajen las defensas del
usuario, por lo que es mucho más probable que éste haga clic en un vínculo o abra un
archivo adjunto de alguien que conozca o que crea conocer. La mayoría de los proveedores
de mensajería instantánea permiten la identificación de los usuarios según la dirección de
correo electrónico, lo que permite a un pirata informático que ha identificado un estándar
de direcciones en una compañía enviar invitaciones de contactos de mensajería instantánea
a otras personas de la organización. Esta funcionalidad no supone una amenaza, pero
significa que aumenta significativamente el número de personas que pueden ser objeto de
un ataque en la compañía.
Tabla 3. Ataques por mensajería instantánea y costos
Objetivos de los
Descripción Costo
ataques
Si los usuarios son conscientes de estas reglas y la directiva apoya su implementación, los
piratas informáticos lo tendrán mucho más difícil a la hora de conseguir sus objetivos o
pasar inadvertidos. La pista de auditoría de 360 grados es la herramienta más valiosa para
evitar y detectar actos ilícitos.
Amenazas en la gestión de residuos
El análisis ilícito de los residuos, o búsqueda en contenedores, como se conoce
habitualmente, es una actividad muy valiosa para los piratas informáticos. Los restos de
documentos comerciales pueden contener información de utilidad inmediata para un pirata
informático, por ejemplo, números de cuenta e Id. de usuario desechados, o bien puede
servir como información de base, por ejemplo, para listados telefónicos y gráficos de
organizaciones. Este último tipo de información es importantísimo para un pirata
informático de ingeniería social, ya que permite que parezca creíble cuando realiza un
ataque. Por ejemplo, si el pirata informático parece tener un buen conocimiento del
personal del departamento de una compañía, es mucho más probable que tenga éxito
cuando contacte con el mismo; la mayoría del personal asumirá que alguien que sabe
mucho de su compañía tiene que ser un empleado de ésta.
Los medios electrónicos pueden ser incluso más útiles. Si las compañías no cuentan con
reglas de gestión de residuos que incluyan el desecho de medios redundantes, se podrá
encontrar todo tipo de información en unidades de disco duro, CDs y DVDs desechados. La
naturaleza sólida de los medios fijos y extraíbles implica que los responsables de la
seguridad de TI deban estipular directivas de gestión de medios que incluyan instrucciones
de borrado o destrucción.
Tabla 6: Ataques de gestión de residuos y costos
Objetivos de los
Descripción Costo
ataques
Su personal debe comprender las implicaciones que tiene el arrojar residuos de papel o
medios electrónicos a una papelera o contenedor. Una vez que los residuos salen del
edificio, su propiedad puede entrar en un vacío legal. La búsqueda en contenedores tal vez
no se considere ilegal en todas las circunstancias, por lo que debe asegurarse de que
aconseja a su personal sobre cómo tratar los residuos. Triture los documentos y borre o
destruya los medios magnéticos que vaya a desechar. Si algún residuo es lo demasiado
grande o rígido como para poderlo destruir en una trituradora, como una agenda telefónica,
o técnicamente el usuario no lo puede destruir, se deberá crear un protocolo específico para
su desecho. También debe colocar los contenedores en una zona segura a la que no pueda
acceder todo el mundo.
Cuando diseñe una directiva de gestión de residuos, es importante que se asegure de que
cumple con la normativa local sobre seguridad. También puede ser una buena medida desde
el punto de vista social adoptar estrategias de gestión de recursos que respeten el
medioambiente.
Además de la gestión de residuos externos (el papel o los medios electrónicos que se
puedan enviar a personas externas a la compañía) también debe gestionar los residuos
internos. Las directivas de seguridad no suelen tener en cuenta este asunto, porque se suele
asumir que cualquier persona que tenga acceso a la compañía debe ser de confianza. Está
claro que éste no es siempre el caso. Una de las medidas más efectivas a la hora de
gestionar los residuos de papel es la especificación de una clasificación de datos. Puede
definir distintas categorías de información en papel y especificar cómo debe desechar el
personal los residuos en cada caso. Entre las categorías de ejemplo se podrían incluir:
Información confidencial de la compañía. Triture todos los documentos
confidenciales de la compañía antes de desecharlos en cualquier papelera o
contenedor.
Información privada. Triture todos los documentos privados antes de desecharlos
en cualquier papelera o contenedor.
Información del departamento. Triture todos los documentos del departamento
antes de desecharlos en contenedores públicos.
Información pública. Deseche todos los documentos públicos en cualquier
papelera o recíclelos.
Para obtener más información acerca del desarrollo de clasificaciones de datos, consulte el
tema Función SMF de administración de la seguridad en Microsoft® TechNet en la
dirección http://go.microsoft.com/fwlink/?linkid=37696 (puede estar en inglés).
Contactos directos
La forma más sencilla y barata en la que un pirata informático puede obtener información
es solicitarla directamente. Este método puede parecer rudimentario y obvio, pero se ha
convertido en la base de los engaños por confianza desde el comienzo. Hay cuatro métodos
principales que demuestran ser útiles para los ingenieros sociales:
Intimidación. Este método puede implicar la suplantación de una figura de
autoridad para coaccionar a una persona a responder a una solicitud.
Persuasión. Las formas más habituales de persuasión suelen incluir la adulación o
el mencionar a alguien importante.
Congraciamiento. Este método suele ser una estratagema más a largo plazo, en la
que un compañero de trabajo de la misma categoría de una inferior inicia una
relación para conseguir la confianza y, finalmente, información de esta persona.
Ayuda. En este método, el pirata informático se ofrece a ayudar al objetivo del
ataque. La ayuda normalmente hará que finalmente el objetivo del ataque divulgue
información personal que permitirá al pirata informático robar su identidad.
La mayoría de las personas asumen que cualquiera que les hable es una persona de
confianza, lo que es interesante ya que es un hecho que la mayoría de las personas admite
que se mienten a sí mismas. The Lying Ape: An Honest Guide to a World of Deception (El
mono mentiroso: una guía honesta en un mundo de engaños), Brian King, Icon Books
Limited. La confianza total es uno de los objetivos de un pirata informático de ingeniería
social.
Es muy difícil defender a los usuarios frente a estos tipos de contactos directos. Algunos
usuarios tienen una predisposición natural a que la ingeniería social use uno de estos cuatro
ataques. La defensa frente a un ataque por intimidación es el resultado de una cultura “sin
miedo” dentro de una empresa. Si el comportamiento habitual es la educación, se reduce el
éxito que tendrá la intimidación, ya que es más probable que los empleados consulten las
situaciones polémicas. Una actitud de apoyo en la directiva y funciones de supervisión que
busquen la consulta de problemas y la toma de decisiones es lo peor con lo que se puede
encontrar un pirata informático de ingeniería social. Su objetivo consiste en alentar a los
destinatarios del ataque a tomar una decisión rápida. Si el problema se consulta a una
autoridad superior, es mucho menos probable que consigan su objetivo.
La persuasión siempre ha sido un método muy usado por los humanos para lograr objetivos
personales. No puede conseguir esto sin más de sus empleados, pero puede proporcionar
una guía firme sobre lo que un individuo debe y no debe hacer. El pirata informático
siempre preguntará o creará una situación en la que un usuario ofrece voluntariamente
información restringida. Su mejor defensa son las campañas de concienciación continuadas
y la ayuda básica sobre dispositivos de seguridad como las contraseñas.
Los piratas informáticos necesitan tiempo para congraciarse con los usuarios. Tendrán que
contactar habitualmente, probablemente asumiendo el papel de un compañero de trabajo.
Para la mayoría de las medianas empresas, la principal amenaza de un compañero de
trabajo procede del personal de contratas o de servicio habitual. El grupo de recursos
humanos debe tener la misma precaución al investigar los antecedentes del personal de
contratas que al hacerlo con el personal fijo. Puede encargar la mayor parte de este trabajo
al contratista. Para asegurarse de que esta empresa realiza un trabajo efectivo, puede pedirle
que cumpla con sus propias directivas de investigación de antecedentes que se aplica al
personal fijo. Si un pirata informático de ingeniería social consigue un puesto fijo en la
compañía, la mejor defensa sería la concienciación del personal y su cumplimiento de las
reglas de la directiva de seguridad sobre la seguridad de la información.
Finalmente, los ataques de ayuda se pueden reducir si cuenta con un servicio de ayuda
efectivo. El recurrir a la ayuda de alguien interno suele ser el resultado de una
animadversión hacia los servicios de soporte existentes de la compañía. Debe aplicar dos
elementos para asegurarse de que el personal contacta con el servicio de ayuda en lugar de
con un experto interno no autorizado o, lo que es peor aún, un experto externo a la
compañía:
Especifique en la directiva de seguridad que el servicio de ayuda es el único lugar al
que deben informar los usuarios sobre sus problemas.
Asegúrese de que el personal de servicio cuente con un proceso de respuesta
acordado dentro de acuerdo de nivel de servicio del departamento. Realice una
auditoría frecuente del rendimiento del servicio de ayuda para asegurarse de que los
usuarios reciban el nivel adecuado de respuesta y solución.
En línea
Teléfono
Central de
conmutación
(PBX)
Contactos
directos
Seguridad física
Otros,
específicos de la
compañía
Cuando el comité de control de seguridad conozca bien las vulnerabilidades, podrá crear
una tabla Vulnerabilidades vectoriales de ataque de ingeniería social a compañías (como se
muestra en el ejemplo anterior). En la tabla se señalan los protocolos de la compañía en
áreas potencialmente vulnerables. Conocer las vulnerabilidades permite al comité crear un
borrador con los posibles requisitos de directivas.
El comité de control de seguridad debe identificar en primer lugar las áreas que pueden
suponen un riesgo para la compañía. Este proceso debe incluir todos los vectores de ataque
identificados en este artículo y los elementos específicos de la compañía, como el uso de
terminales públicas o procedimientos de administración de la oficina.
Evaluación de riesgos
Cualquier tipo de seguridad exige que se evalúe el nivel de riesgo que supone un ataque
para la compañía. Si bien la evaluación de riesgos debe ser concienzuda, no tiene que
tardarse mucho tiempo en realizarse. Según el trabajo realizado para identificar los
elementos principales de un marco de administración de la seguridad por parte del comité
de control de seguridad, podrá establecer categorías y prioridades en los riesgos. Entre las
categorías de riesgo se incluyen:
Información confidencial
Credibilidad comercial
Disponibilidad comercial
Recursos
Dinero
Debe establecer prioridades mediante la identificación del riesgo y el cálculo del costo que
implica su mitigación; si mitigar un riesgo es más caro que el propio riesgo, puede que
dicho costo no sea justificable. La fase de evaluación de riesgos puede resultar muy útil en
el desarrollo final de la directiva de seguridad.
Por ejemplo, el comité de control de seguridad puede resaltar al personal de recepción el
peligro para la seguridad que suponen los visitantes. En el caso de una compañía que no
espera más de 20 visitantes a la hora, no hay necesidad de tener que pensar en algo más
sofisticado que un(a) recepcionista, un libro de firmas y algunos pases de visitantes
numerados. Sin embargo, en el caso de una compañía que espera 150 visitas a la hora,
puede que sea necesario más personal de recepción o terminales de registro de autoservicio.
Si bien la compañía más pequeña no podría justificar los costos de estos terminales, la
compañía grande no podría justificar el costo de la pérdida de actividad debido a largas
esperas.
Por otro lado, una compañía que nunca tenga visitas ni personal contratista puede
considerar que existe un riesgo mínimo de dejar documentos en una ubicación central
mientras esperan a ser recogidos. Sin embargo, una compañía que tenga una gran número
de personas que no sean empleados puede considerar que tiene que salvar el riesgo
comercial que presentaría que hubiera información confidencial en una impresora mediante
la instalación de dispositivos de impresión locales en cada puesto de trabajo. La compañía
puede obviar este riesgo mediante la estipulación de que un miembro del personal
acompañe a un visitante durante su visita. Esta solución es mucho menos cara, excepto,
posiblemente en términos de tiempo del personal.
Según la evaluación comercial de la matriz Vulnerabilidades vectoriales de ataque de
ingeniería social a compañías, el comité de control de seguridad podrá definir los requisitos
de directivas, los tipos y niveles de riesgo para la compañía, como se muestra en la
siguiente tabla.
Tabla 10. Requisitos del comité de control de seguridad y matriz de riesgos
Tipo de riesgo Nivel
Información de
Vector de Posible requisito de confidencial riesgo
Acción
ataque directiva Credibilidad Alto = 5
comercial Bajo =
Disponibilidad 1
comercial Recursos
Dinero
Conjunto escrito de
directivas de seguridad
frente a la ingeniería
social
En línea
Teléfono
Gestión de
residuos
Directrices para la
gestión de contenedores
Contactos
directos
Otros/
específicos de
la compañía
Como puede ver, esta lista puede ser muy larga. Puede decidir contratar ayuda
especializada para agilizar este elemento del proceso. El comité de control de seguridad
debe centrarse en las áreas que considere de gran importancia, según el proceso de
evaluación de riesgos.
Principio de la página
Implementación de defensas frente a las amenazas de la
ingeniería social
Después de escribir y acordar la directiva de seguridad, debe darla a conocer al personal y
hacer que la cumpla. Si bien puede implementar controles técnicos sin que lo sepan sus
empleados, debe conseguir su apoyo si desea implementar con éxito defensas frente a la
ingeniería social. Para apoyar la implementación, debe desarrollar protocolos de respuesta a
incidentes para el personal del servicio de ayuda.
Concienciación
No hay ningún sustituto a una buena campaña de concienciación cuando se implementan
los elementos de ingeniería social de la directiva de seguridad. Claro está, la
implementación es una forma de ingeniería social y debe conseguir que su personal
conozca la directiva, aprenda por qué existe y sepa cómo debe reaccionar ante un posible
ataque. El elemento clave de un ataque de ingeniería social es la confianza; la persona
objeto del ataque confía en el pirata informático. Para enfrentarse a este tipo de ataque,
debe estimular a que haya un saludable escepticismo entre su personal sobre cualquier cosa
que se salga de lo normal y conseguir que éstos confíen en la infraestructura de soporte de
TI de la compañía.
Los elementos de una campaña de concienciación dependen de cómo se transmite la
información al personal de la compañía. Puede optar por un aprendizaje estructurado,
reuniones menos formales, campañas con pósteres u otros eventos para anunciar las
directivas de seguridad. Cuanto más refuerce los mensajes de sus directivas, más exitosa
será su implementación. Si bien puede iniciar la concienciación sobre seguridad con un
gran evento, es igualmente importante que la seguridad siga siendo un asunto importante de
la agenda de la directiva y el personal. La seguridad es un modo de pensar de la compañía,
por lo que debe asegurarse de que las sugerencias sobre seguridad acerca del
mantenimiento de la concienciación sobre este tema vengan de todas las personas de la
compañía. Consiga opiniones de todos los departamentos y de distintos tipos de usuarios,
especialmente, de los que trabajan fuera del entorno de la oficina.
Administración de incidentes
Cuando se produce un ataque de ingeniería social, asegúrese de que el personal de servicio
de ayuda sabe cómo tratarlo. Deben existir protocolos reactivos en los procedimientos
relacionados con la directiva de seguridad, pero la administración de incidentes significa
que se usa el ataque para iniciar posteriores revisiones de la seguridad. La seguridad es más
un viaje que un destino, ya que los vectores de ataque cambian.
Cada incidente proporciona nueva información para una revisión continua de la seguridad
en el modelo de respuesta a incidentes, que se muestra en la siguiente figura.
Figura 6. Modelo de respuesta a incidentes
Cuando diseñe sus defensas, este modelo le ayudará a visualizar las áreas de su empresa
que están amenazadas. El modelo no es específico de las amenazas de ingeniería social,
pero cada uno de los niveles debe contar con defensas frente a la ingeniería social.
Las defensas globales del modelo son: las directivas de seguridad, los procedimientos y la
concienciación. Estas defensas van destinadas al personal de una organización, y en ellas se
explica qué hacer, cuándo, por qué y quién debe hacerlo. Los demás niveles pueden ajustar
las defensas, pero la protección esencial proviene de contar con un conjunto de reglas bien
estructurado y conocido que proteja su entorno de TI.
Para obtener más información acerca del modelo de defensa en profundidad, consulte el
tema Función SMF de administración de la seguridad en Microsoft TechNet en la dirección
http://go.microsoft.com/fwlink/?linkid=37696 (puede estar en inglés).
Principio de la página
Apéndice 1: Listas de comprobación de la directiva de seguridad
para amenazas de ingeniería social
Se presentó una serie de tablas para capturar las vulnerabilidades de la ingeniería social y
los requisitos de directiva de defensa en los documentos. En este apéndice encontrará
versiones de plantillas de éstas que podrá copiar y rellenar.
Vulnerabilidades vectoriales de ataque de ingeniería social a compañías
Vector de ataque Descripción de uso de la compañía Comentarios
En línea
Correo electrónico
Internet
Aplicaciones emergentes
Mensajería instantánea
Teléfono
Servicio de ayuda
Gestión de residuos
Interno
Externo
Contactos directos
Seguridad física
Seguridad de la oficina
Otros/específicos de la compañía
En línea
Teléfono
Gestión de
residuos
Contactos
directos
Otros/
específicos
de la
compañía
...
Informe de incidentes
Representante del servicio de ayuda
Fecha
Vector de ataque
Recomendaciones,
Principio de la página
Apéndice 2: Glosario
Término Definición
software espía Software que puede mostrar anuncios (como anuncios emergentes),
recopilar información sobre el usuario o incluso cambiar la
configuración del equipo, generalmente sin obtener antes su
consentimiento.
contraseña segura Contraseña que ofrece una defensa efectiva frente al acceso no
autorizado a un recurso. Una contraseña segura tiene al menos 6
caracteres de longitud, no contiene ni la totalidad ni parte del
nombre de la cuenta de usuario y contiene al menos tres de las
cuatro categorías siguientes de caracteres: letras mayúsculas, letras
minúsculas, dígitos en base 10 y símbolos del teclado como !, @ y
#.
caballo de Troya Programa que parece ser útil o inofensivo, pero que contiene
código oculto diseñado para explotar o dañar el equipo en el que se
ejecuta. Los programas de caballos de Troya suelen llegar a los
usuarios mediante mensajes de correo electrónico que engañan
sobre la función y objetivo del programa. También se denominan
código troyano.
actualización Paquete de software que sustituye a una versión instalada por una
más reciente del mismo software. El proceso de actualización suele
dejar intactos los datos y preferencias existentes del cliente y sólo
sustituye el software existente por el de una versión más actual.
Id. del usuario Nombre único con el que un usuario puede iniciar sesión en un
equipo.
Principio de la página
Descargar
Obtener el artículo Cómo proteger la información confidencial de las amenazas de la
ingeniería social
Principio de la página
ImprimirCompartir