Síguenos en nuestras redes sociales

Author: Andres Felipe Morante

  • all
  • Cultura
  • Educación
  • En-Torno
  • investigación
  • Tecnología
La ingeniería social, inseguridad vigente
ingeniero1-

Los ataques de ingeniería social que incluyen phishing y pretextos, en gran porcentaje, es una manera exitosa de violación de sistemas de información. Hoy en día, la ingeniería social es reconocida como una de las mayores amenazas contra la seguridad de las organizaciones. Es de aclarar que este modus operandi difiere de la piratería tradicional en el sentido de que los ataques de ingeniería social pueden ser no técnicos y no implican necesariamente el compromiso o la explotación de softwares o sistemas. Cuando tienen éxito, muchos ataques de ingeniería social permiten a los malhechores obtener acceso legítimo y autorizado a información confidencial o ingresar directamente a una instalación, en cuyo caso, los delincuentes pueden acceder a todos los datos, robar activos, e incluso, dañar físicamente a las personas.   Precisamente, estos peligrosos personajes pueden identificarse como personal de soporte de una empresa que provee el servicio de internet o también pueden comunicarse telefónicamente alertando sobre un problema urgente –lógicamente, inexistente– que requiere acceso inmediato a la red. También los hay quienes se hacen pasar por empleados de una entidad estatal, como por ejemplo la Dian, o de un banco determinado, solicitando a la potencial víctima que abran un archivo adjunto de un correo electrónico que ya está infectado con un malware.   La información que busca un ingeniero social puede ser de muchos tipos. Este tipo de delincuentes, generalmente, intenta engañar a las personas para que revelen sus contraseñas, sus datos bancarios o que les permitan acceder a sus computadores para instalar un software malicioso sin que la víctima se percate de ello, logrando así tener acceso a toda su información privada y asumiendo el control total sobre el computador de esta persona.   En suma, la ingeniería social es la estrategia de engañar a alguien para que divulgue información o actúe, generalmente a través de la tecnología. La idea detrás de la ingeniería social es aprovechar el comportamiento humano y las reacciones emocionales de una posible víctima. Ya se ha identificado que los ingenieros sociales apelan a la vanidad, a la autoridad, a la codicia u otra información obtenida de las escuchas esporádicas o de la investigación en línea, a menudo, a través de las redes sociales.   Posibles medios para un ataque de ingeniería social   A través de un correo electrónico de un amigo:si un delincuente logra conseguir o socializar la clave de un correo electrónico de una persona, además tiene acceso a la lista de contactos de la potencial víctima –que, como la mayoría, usa la misma clave en todas partes–, al igual que logre acceder a la lista de contactos de la red social de esa persona, entonces se allana la posibilidad para el malhechor.   Una vez que el delincuente tiene esa cuenta de correo electrónico bajo su control, envía correos electrónicos a todos los contactos de la persona o deja mensajes en todas las páginas sociales de sus amigos, y posiblemente en las páginas de los amigos de la persona. Tales correos o mensajes pueden contener un hipervínculo o una descarga de imágenes, música, películas o documentos. Basta con hacer clic sobre ellos para que se ejecute un software malicioso que infecte la máquina y permita tomar el control remoto de ella. A través de correos electrónicos de fuentes confiables:los ataques de phishing hacen parte de un subconjunto de estrategias o técnicas de la ingeniería social que imitan o se presentan como una fuente confiable y crean escenarios aparentemente lógicos para la entrega de credenciales de inicio de sesión u otros datos personales confidenciales. Las organizaciones financieras y los organismos del Estado representan la gran mayoría de las empresas suplantadas.   Los ataques de ingeniería social que incluyen phishing y pretextos, en gran porcentaje, es una manera exitosa de violación de sistemas de información.   A través de una historia convincente o un pretexto: son mensajes que se pueden presentar como:   Solicitud urgente de ayuda, manifestándose que un amigo o familiar está atrapado o secuestrado y que necesita que le envíen dinero para que puedan liberarlo o llegar a casa. Indican, además, cómo se debe enviar el dinero. Por lo general, el delincuente envía un correo electrónico, mensaje instantáneo, comentario o mensaje de texto que parece provenir de una empresa, banco, escuela o institución legítima y popular.   Pidiendo donaciones a un fondo caritativo o para otra causa similar, probablemente con instrucciones sobre cómo enviar el dinero. Así, el delincuente se aprovecha de la posible generosidad de la víctima. Estos ingenieros sociales piden ayuda o apoyo para cualquier desastre, campaña política o de caridad que momentáneamente esté en furor.   Presentando un problema determinado que requiere de la verificación de los datos de la persona receptora a través de un enlace o formulario, cuyo todo esquema aparenta originalidad y legitimidad (logotipos, contenido, etc.), ya que los delincuentes pueden haber copiado toda la estructura del sitio original. Así entonces, la potencial víctima confía en el correo electrónico recibido y en el formato –falso– y proporciona la información que el delincuente está pidiendo. Este tipo de estafas con la técnica del phishing, a menudo, incluyen una advertencia de lo que sucederá si no se actúa pronto, ya que los malhechores saben que, si logran que la víctima actúe sin pensarlo debidamente, tendrán más probabilidad de éxito en sus objetivos delictuales.   Recibir la notificación de que se es ganador de algo: quizá de una lotería, que es el heredero de un pariente muerto o que es la millonésima persona que hace clic en su sitio, etc. Con este “gancho” de la posibilidad de recibir ganancias, le piden a la posible víctima que debe brindar cierta información sobre los datos de su cuenta bancaria para poder enviarle el premio o, incluso, revelar su dirección residencial y número de teléfono; asimismo, en ocasiones le piden a la persona que demuestre su identidad incluyendo su número de seguro social.   En general, estos son los conocidos como "phishing codiciosos" donde, incluso el pretexto puede no parecer muy convincente, pero que despiertan en algunas personas la codicia frente a lo que le ofrecen y entonces proceden a validar toda su información privada. Las consecuencias pueden ir desde perder o que falsifiquen su identidad para casos delictivos, hasta perder todo el dinero que la víctima tenga en sus cuentas bancaras.   Tipos de ataque de ingeniería social   Phishing: es una forma muy conocida de obtener información de una víctima involuntaria. A pesar de su furor sigue teniendo bastante éxito en el mundo. En esta técnica, el perpetrador generalmente envía un correo electrónico o mensaje de texto a las personas objetivo en busca de información que le facilite llevar a cabo su delito.   Pretextos: se producen cuando un atacante establece circunstancias falsas para inducir a la víctima a proporcionarle acceso a datos confidenciales o sistemas protegidos. Por ejemplo: un delincuente estafador –desde luego, camuflado como empleado de una entidad confiable o del departamento de Tl– le hace creer a la potencial víctima que necesita informar sus datos financieros para confirmar su identidad, quien a la postre divulga sus credenciales de inicio de sesión o le otorga acceso libre al computador.   Vishing: es la versión de voz de phishing; precisamente, en este caso, “V" significa voz; por lo demás, el intento de estafa es el mismo. Así, el delincuente, telefónicamente, se empeña en engañar a la víctima, quien le da a conocer información valiosa. Este modus operandi es muy común en nuestro medio desde los centros carcelarios.   Baiting: es una técnica que consiste en dejar dispositivos de almacenamiento (usb o cd infectados con un software malicioso) en sitios fáciles de encontrar (baños públicos, ascensores, aceras, etc.). Cualquier persona podrá recoger este dispositivo e insertarlo en su computador; en ese momento, el software se ejecutará automáticamente y le dará acceso al delincuente para que obtenga todos los datos personales del desprevenido usuario.   Imágenes copipegadas de: https://bit.ly/2xE3FuY y https://bit.ly/2O8Xclo (Pixabay). Enlaces con técnica de acortamiento aplicado. Imágenes seleccionadas por el editor.  

En tiempos del covid-19 La transformación digital universitaria

El reto actual para la educación es poder realizar una gran transformación cultural, pedagógica, metodológica y tecnológica para desmaterializar la universidad y llevar al siguiente nivel de evolución digital sus procesos y ofertas académicas.   Estoy seguro que en ningún mapa de riesgos de las direcciones de tecnología de las organizaciones de cualquier sector y, quizá tampoco, en sus departamentos gerenciales, estaba contemplado que se materializara una contingencia asociada a un virus humano generalizado. Aunque, desde luego, el peligro asociado a los virus informáticos y a los ataques cibernéticos han sido ampliamente evaluados y tenidos en cuenta en la gestión de riesgos de la mayoría de organizaciones en el mundo.   Ahora bien, es de aceptar que visionaros y analistas contemporáneos de riesgos habían advertido sobre la posibilidad de una nueva pandemia ocasionada por algún tipo de virus desconocido, pero los análisis de probabilidades de ocurrencia arrojaban porcentajes demasiado bajos como para ponderarlos significativamente en los planes de mitigación de riesgos. Sin embargo, ocurrió lo inesperado; una molécula de ARN, con un tamaño de tan solo 200 nanómetros, ha puesto a tambalear a pequeñas y grandes organizaciones, a los Estados, a la economía y a la humanidad en general. En unas pocas semanas, la enfermedad del covid-19 se propago por todo el globo terráqueo, ocasionado una pandemia mundial y obligando a tomar medidas, incluso reglamentadas, de aislamiento social; fue inevitable el cierre de empresas, de centros comerciales, de aeropuertos, de almacenes y de instituciones de educación superior. Particularmente, las IES, se vieron notoriamente afectadas porque, en primer lugar, agrupan a un número de alto de personal entre estudiantes, profesores y empleados; y, en segundo término, porque que cumplen una misión primordial para el desarrollo de la sociedad. En este contexto, y de manera intempestiva, con el deber de acatar as cuarentenas preventivas, ello implico un cambio en el paradigma académico, especialmente en la modalidad presencial, lo que se ha convertido en un gran reto tecnológico para todas las entidades educativas para seguir desarrollando sus compromisos académicos y administrativos optimizando las herramientas de las TIC.   Activación de las herramientas colaborativas   Difícilmente, en ninguno de los planes estratégicos ni de acción de las universidades, estaba considerado que, de un día para otro, tuviesen que enviar a sus estudiantes de la modalidad presencial, a profesores y a empleados para que asumieran sus roles académicos y operativos desde sus casas, asumiendo una metodología desconocida y ajena para muchos y aprendiendo a manejar diversas herramientas tecnológicas que aún no estaban concebidas en ese momento para tal fin. En consecuencia, el mayor reto para las áreas de tecnología de las IES fue la activación inmediata y contingente de herramientas colaborativas para desarrollar teleclases, así como la configuración de plataformas de gestión académica en línea, el despliegue de herramientas para teletrabajo, facilitar el acceso a escritorios remotos, la apertura de mesas de servicios virtuales, la activación de sistemas de telefonía virtual, redes privadas virtuales, firmas digitales, consultorios virtuales, automatización de trámites y servicios. Así entonces, paradójicamente, esta contingencia provocó, desde un punto de vista positivo, una aceleración en el proceso de la transformación digital que, hasta el momento de iniciarse la pandemia, todavía transcurría en un proceso pausado de implementación, incluso, todavía en planes de acción de mediano o a largo plazo. Ha cambiado el panorama   Actualmente, asumida la contingencia de manera ágil, además de asegurar la continuidad de los procesos académicos apoyados en las tecnologías de la información y las telecomunicaciones, el panorama es muy claro para las universidades y las instituciones educativas, en general. Y aunque la afectación del sector en cuestión de nuevas matrículas y de deserción es significativa, la capacidad creativa, la rápida reacción, la capacidad tecnológica y el autoaprendizaje en tiempos de contingencia, son aspectos que resaltan en su gestión. De la valoración anterior, se puede inferir que el sector de la educación es, quizá, el que más rápidamente reaccionó ante la contingencia y el que con mayor agilidad pudo poner “en línea” el quehacer académico y la continuidad de sus servicios administartivos. Aun así, persiste el enorme reto para la educación de poder realizar una gran transformación cultural, pedagógica, metodológica y tecnológica para desmaterializar la universidad y llevar al siguiente nivel de evolución digital sus procesos y ofertas académicas. Desde luego, ello, únicamente se logrará si se rompen los paradigmas existentes en materia educativa y los líderes de las instituciones académicas orientan las estrategias organizacionales y sus esfuerzos en ese misma dirección u objetivo. Los cierto es que la humanidad, las organizaciones, los Estados, la economía mundial y la educación jamás van a ser iguales después de esta pandemia; solamente sobrevivirán las organizaciones que sean capaces de repensarse en términos estratégicos, operacionales y tecnológicos; que sean lo suficientemente humildes para aceptar la nueva realidad mundial y estén dispuestas totalmente a realizar un verdadera transformación digital, en especial, ahora en tiempos del covid-19 y de la contingencia que afrontamos.     Imágenes copipegadas de: https://bit.ly/2VG2vLS, https://bit.ly/35eWyce y https://bit.ly/2StnLTp (Pixabay - Enlaces con técnica de acortamiento) Imágenes seleccionadas por el editor.

La realidad virtual y la realidad aumentada
realidad1-

La realidad virtual (RV) y la realidad aumentada (RA) son tecnologías paralelas, pero muy diferentes, que nos muestran experiencias mejoradas o transformadas para darnos nuevas perspectivas de ciertas situaciones u objetos. Estos conceptos son usados muy comúnmente en las tecnologías de la información y las comunicaciones en diferentes ámbitos, incluyendo los juegos y la educación.     Realidad virtual (RV)  Más enfocada a percibir cosas que no existen realmente, es decir, que nos muestra mundos imaginarios que podemos ver, especialmente, en los juegos de rol, en los cuales se muestran mundos extraterrestres o ciudades diseñadas totalmente por computador, inspiradas en la fantasía o en la realidad. Para disfrutar en un cien por ciento de la realidad virtual es necesario usar ciertos accesorios que nos permiten una inmersión total dentro de los juegos, tales como pantallas o cascos de realidad virtual; también es común el uso de guantes que nos permiten tener la sensación de manipular objetos dentro de ese mundo virtual, tal como se hace en el holodeck[1] en Star Trek: Next Generation2.     Virtual, aunque muy real  Si bien los mundos ficticios son uno de los puntos fuertes de la realidad virtual, también pueden usarse con otros fines, como, por ejemplo:   Hacer caminatas virtuales por centros comerciales que aún no se han construido, realizar visitas a museos reales, recrear una época pasada o futura para tener una experiencia más realista. En el campo de la educación, se han reconstruido cuerpos humanos virtuales que permiten a los estudiantes de medicina interactuar y realizar todo tipo de cirugías. Pilotos militares que usan aviones simulados, lo cual les permite practicar antes de usar los aviones reales. En el entrenamiento militar, los equipos SWAT hacen reconstrucciones reales del escenario donde se realizará la intervención militar para obtener ventajas. Práctica para misiones de bombardeo antes de llevarlas a cabo en la realidad. Entrenamiento de conductores de automóviles o de operarios para el manejo de cierto tipo de maquinaria antes de exponer al aprendiz a una situación real potencialmente peligrosa.   Realidad aumentada (RA)  La realidad amentada (RA) se basa en el ámbito real, es decir, no genera mundos ficticios o recreados, sino que se apropia de la misma realidad para poder interactuar con esta. La realidad aumentada requiere de elementos como gafas o la propia cámara de un celular, dejando ver la realidad tal y cómo es, aunque mejorada, a diferencia de la realidad virtual, que nos muestra una situación inexistente.     Características de la RA La realidad aumentada facilita la obtención de datos a partir de la realidad, aumentando la información que podemos obtener haciendo uso de una cámara como la de un celular. Nos muestra información de los objetos reales que estamos viendo. Se sumerge a la persona en dos realidades: se une el mundo real con mensajes o información de los elementos que tenemos a nuestro alrededor, así, como por ejemplo, en la película Terminator, en donde se muestra información de los elementos que el exterminador modelo T-800 está viendo. Si enfocamos con una gafa de realidad aumentada a un objeto, esta opción nos puede dar información relevante. Por ejemplo: si estamos en un museo real y miramos una pintura desde la cámara de un celular con una aplicación de realidad aumentada, podremos saber quién la pintó, el año en que se hizo, una reseña histórica, el valor, entre otros aspctos. Existen aplicaciones que permiten reconocer rostros humanos, por lo cual, al conectarse a nuestras redes sociales se podrá ver el lado de la persona que se mira e información, tal como: edad, familiares cercanos, fotos, nombre de los padres, nombres de los hijos y demás datos que estén en la red social   En conclusión  La realidad virtual nos presenta un mundo irreal o una reconstrucción de esta con la que podemos interactuar. La realidad aumentada nos muestra una situación tal como es, enriqueciéndola con información relevante.   [1] “Holodeck, un entorno colaborativo en el que dos o más personas pueden interactuar a través de la realidad virtual” […] “Holodeck", nombre que remite a la "holocubierta" utilizada en Star Trek”. Ver sitio web Clarín Tecnología: https://bit.ly/2DnV4iq. Recuperado el 28 de noviembre de 2019. (Nota del editor) 2 Serie de televisión (ciencia ficción) producida por Paramount Pictures, también conocida como: “Star Trek: La nueva generación”. (Nota del editor) Imágenes copipegadas de: https://bit.ly/2qWNbxQ, https://bit.ly/33rdQjF y https://bit.ly/2OrQm9O (Pixabay - Enlaces con técnica de acortamiento). Imágenes seleccionadas por el editor.